文档章节

企业应要求SaaS云服务商提供的三类安全措施

lingnet
 lingnet
发布于 2015/01/08 16:55
字数 1277
阅读 15
收藏 0

  在面临SaaS云服务应用中的安全性问题时,密码管理不当和不安全协议威胁都将会对您的系统保密造成破坏或数据泄露,同时可能需要由您的企业来承担法 律责任。在本文中,我们将探讨SaaS所带来的三大威胁,以及能够预先采取措施减轻这些威胁的战略。   本文的目的在于让大家明确,这里所探讨的三大威胁将是您自己能够采取措施而缓解的,而不是要靠供应商来解决。这其中的区别取决于你所使用的“模式”级 别(例如SaaS,平台即服务PaaS和基础设施即服务(IaaS)),正如国家标准与技术研究所关于云计算定义中所定义的那样。   请注意,当供应方的威胁仍然可以影响您的服务时,可以进行风险转移,这都是可以通过合同方式进行处理的。   在SaaS云服务中最具威胁的因素是什么?   由于SaaS模式一般是基于一个瘦型或Web客户端,或一组Web服务,因此大多数威胁都被留给了供应商。而事实上,供应商处理了几乎所有的威胁问题。这其中对于合同的理解和恰当处理是很重要的。   尽管如此,经验表明SaaS云服务产品中您必须处理的三大威胁如下:   易损证书   不安全协议   基于Web的应用缺陷   易损或不安全的证书   所有有安全需求的云应用都需要用户登录。有许多安全机制可提高访问安全性,比如说通行证或智能卡,而最为常用的方法是可重用的用户名和密码。对于那些缺乏标准管理的证书,密码的强度最小(例如需要的长度和字符集过短),也没有密码管理(过期,历史)。   密码失效是攻击者获得信息的首选方法,而容易被猜到的密码则是主要目标。对于该威胁的最佳缓解措施是:   创建一个高强度密码。我建议使用基于短句变形的密码,且至少8个字符长。例如,将短句“Whatagreatoneformetoknow!”变形为“Wagr814me2know!”(注:请不要在实际中使用这个例子)。   每90天修改一次您的密码。时间长度必须基于数据的敏感程度。   不要使用旧密码。   不安全的协议   云应用是远程定义,因此需要基于网络协议功能的通信。但是当供应商配置应用使用不安全的协议时,就可能发生问题。这意味着应用会在客户端和服务器之间使用不具保密性和完整性的协议传递信息。   用户和管理员都经常遇到这类问题。使用不安全协议的应用往往会将使数据暴露给数据传送沿途的任何人,例如远程访问的Telnet、文件传输的文件传输 协议(FTP)、用于邮件的邮局协议(POP)与互联网消息访问协议(IMAP)、以及基于网络访问的超文本传输协议(HTTP)。   为了减轻不安全协议的威胁,您有三种选择:   要求供应商替换该协议。例如使用安全壳(SSH)替代用于远程终端访问的Telnet。   要求供应商支持该协议的安全版本。   使用应用保护连接上的数据。这要求应用在数据上线之前进行加密。注意这是最不可取的选择,因为它涉及核心管理问题。   了解HTTP   在我们谈及HTTP时重要的是要认识到我们并不是要讨论您HTTP的起源。使用HTTP协议、XML、AJAX等作为通用封装运送允许应用通过 HTTP管道传送几乎任何东西。当您听到HTTP,您可能会想到“网络”。但是在实际中,应用可能甚至会发送您所不了解的数据。   基于网络的应用缺陷   第三大威胁是当客户有能力将适用范围扩大时,也可能引入应用缺陷和安全风险。此类威胁会随具体应用而变化,但也不容忽视。   要成功化解这类威胁,您需要理解您试图扩展的应用。对应用程序编程接口(API)和安全特性进行适当的培训是成功的关键。   大部分市面上的SaaS云服务提供商都已解决了公共云SaaS产品的三大威胁。管理好用户证书,使用适当协议保护数据和证书,避免引入安全漏洞,将有助于用户安全的实施SaaS解决方案。 文章转载自【china-saas.com平台】 更多资讯,请点击http://www.china-saas.com/a/ERPqijianban/

© 著作权归作者所有

共有 人打赏支持
lingnet
粉丝 2
博文 407
码字总数 608722
作品 0
青岛
私信 提问
安全知识框架

一、安全领域分类: 内容包括: - 基础设施安全(Infrastructure Security) - 终端安全(Endpoint Security) - 消息安全(Messaging Security) - 应用安全(Application Security) - 网络安...

lnredone
2017/01/03
0
0
鸟巢因奥运而生,智能化建站因云计算而起

重庆中体体育设施建筑工程有限公司于1994年成立,是由中国建设部批准,具有体育场地设施工程专业承包一级资质的施工企业。公司拥有一支稳定的从事体育设施研究和专业施工的技术骨干队伍,通过...

云市场转载
06/22
0
0
Gartner:警惕云计算合同的安全陷阱

Gartner近日在一篇新闻稿中指出:商业云服务,尤其是SaaS服务的用户普遍对合同中的安全条款不满意。通常SaaS云计算服务合同在数据保密、数据完整性和数据恢复方面的条款都含混不清,这不但引...

Cashcow
2013/08/05
0
0
2017最具活力与创新可能的云计算服务商TOP100

有多难就有多少问题 云计算的定义是将待处理的数据送到互联网上的超级计算机集群中,进行计算和处理,能够在网络上实现按需购买和按使用付费的业务模式。随着互联网技术的飞速发展,信息量与...

玄学酱
04/12
0
0
阿里云市场联合犀思云开启云V认证 首推“严选”模式企业采购更安心

12月20日,2017云栖大会·北京峰会上,阿里云市场联合犀思云开启企业“云V”认证。今后,具有正规资质、服务评价高、无投诉记录、产品部署在阿里云上的云市场服务商,均可申请开启“云V”认证...

1809868318151445
2017/12/21
0
0

没有更多内容

加载失败,请刷新页面

加载更多

《稻盛和夫经营学》读后感心得体会3180字范文

《稻盛和夫经营学》读后感心得体会3180字范文: 一代日本经营之圣稻盛和夫凭借刻苦勤奋的精神以及深植于佛教的商业道德准则,成为了“佛系”企业家的代表人物。在《稻盛和夫经营学》“领导人...

原创小博客
48分钟前
1
0
java框架学习日志-5(常见的依赖注入)

依赖注入(dependency injection) 之前提到控制反转(Inversion of Control)也叫依赖注入,它们其实是一个东西,只是看的角度不同,这章详细说一下依赖注入。 依赖——指bean对象创建依赖于...

白话
今天
2
0
红外接收器驱动开发

背景:使用系统的红外遥控软件没有反应,然后以为自己接线错误,反复测试,结果烧坏了一个红外接收器,信号主板没有问题。所以自己开发了一个红外接收器的python驱动。接线参见https://my.os...

mbzhong
今天
2
0
ActiveMQ消息传送机制以及ACK机制详解

AcitveMQ是作为一种消息存储和分发组件,涉及到client与broker端数据交互的方方面面,它不仅要担保消息的存储安全性,还要提供额外的手段来确保消息的分发是可靠的。 一. ActiveMQ消息传送机...

watermelon11
今天
2
0
HashTable和Vector为什么逐渐被废弃

HashTable,不允许键值为null,还一个就是put方法使用sychronized方法进行线程同步,单线程无需同步,多线程可用concurren包的类型。 如编程思想里面说的作为工具类,封闭性做的不好没有一个...

noob_chr
昨天
1
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部