文档章节

企业应要求SaaS云服务商提供的三类安全措施

lingnet
 lingnet
发布于 2015/01/08 16:55
字数 1277
阅读 37
收藏 0

#程序员薪资揭榜#你做程序员几年了?月薪多少?发量还在么?>>>

  在面临SaaS云服务应用中的安全性问题时,密码管理不当和不安全协议威胁都将会对您的系统保密造成破坏或数据泄露,同时可能需要由您的企业来承担法 律责任。在本文中,我们将探讨SaaS所带来的三大威胁,以及能够预先采取措施减轻这些威胁的战略。   本文的目的在于让大家明确,这里所探讨的三大威胁将是您自己能够采取措施而缓解的,而不是要靠供应商来解决。这其中的区别取决于你所使用的“模式”级 别(例如SaaS,平台即服务PaaS和基础设施即服务(IaaS)),正如国家标准与技术研究所关于云计算定义中所定义的那样。   请注意,当供应方的威胁仍然可以影响您的服务时,可以进行风险转移,这都是可以通过合同方式进行处理的。   在SaaS云服务中最具威胁的因素是什么?   由于SaaS模式一般是基于一个瘦型或Web客户端,或一组Web服务,因此大多数威胁都被留给了供应商。而事实上,供应商处理了几乎所有的威胁问题。这其中对于合同的理解和恰当处理是很重要的。   尽管如此,经验表明SaaS云服务产品中您必须处理的三大威胁如下:   易损证书   不安全协议   基于Web的应用缺陷   易损或不安全的证书   所有有安全需求的云应用都需要用户登录。有许多安全机制可提高访问安全性,比如说通行证或智能卡,而最为常用的方法是可重用的用户名和密码。对于那些缺乏标准管理的证书,密码的强度最小(例如需要的长度和字符集过短),也没有密码管理(过期,历史)。   密码失效是攻击者获得信息的首选方法,而容易被猜到的密码则是主要目标。对于该威胁的最佳缓解措施是:   创建一个高强度密码。我建议使用基于短句变形的密码,且至少8个字符长。例如,将短句“Whatagreatoneformetoknow!”变形为“Wagr814me2know!”(注:请不要在实际中使用这个例子)。   每90天修改一次您的密码。时间长度必须基于数据的敏感程度。   不要使用旧密码。   不安全的协议   云应用是远程定义,因此需要基于网络协议功能的通信。但是当供应商配置应用使用不安全的协议时,就可能发生问题。这意味着应用会在客户端和服务器之间使用不具保密性和完整性的协议传递信息。   用户和管理员都经常遇到这类问题。使用不安全协议的应用往往会将使数据暴露给数据传送沿途的任何人,例如远程访问的Telnet、文件传输的文件传输 协议(FTP)、用于邮件的邮局协议(POP)与互联网消息访问协议(IMAP)、以及基于网络访问的超文本传输协议(HTTP)。   为了减轻不安全协议的威胁,您有三种选择:   要求供应商替换该协议。例如使用安全壳(SSH)替代用于远程终端访问的Telnet。   要求供应商支持该协议的安全版本。   使用应用保护连接上的数据。这要求应用在数据上线之前进行加密。注意这是最不可取的选择,因为它涉及核心管理问题。   了解HTTP   在我们谈及HTTP时重要的是要认识到我们并不是要讨论您HTTP的起源。使用HTTP协议、XML、AJAX等作为通用封装运送允许应用通过 HTTP管道传送几乎任何东西。当您听到HTTP,您可能会想到“网络”。但是在实际中,应用可能甚至会发送您所不了解的数据。   基于网络的应用缺陷   第三大威胁是当客户有能力将适用范围扩大时,也可能引入应用缺陷和安全风险。此类威胁会随具体应用而变化,但也不容忽视。   要成功化解这类威胁,您需要理解您试图扩展的应用。对应用程序编程接口(API)和安全特性进行适当的培训是成功的关键。   大部分市面上的SaaS云服务提供商都已解决了公共云SaaS产品的三大威胁。管理好用户证书,使用适当协议保护数据和证书,避免引入安全漏洞,将有助于用户安全的实施SaaS解决方案。 文章转载自【china-saas.com平台】 更多资讯,请点击http://www.china-saas.com/a/ERPqijianban/

© 著作权归作者所有

lingnet
粉丝 2
博文 407
码字总数 608807
作品 0
青岛
私信 提问
加载中

评论(0)

安全知识框架

一、安全领域分类: 内容包括: - 基础设施安全(Infrastructure Security) - 终端安全(Endpoint Security) - 消息安全(Messaging Security) - 应用安全(Application Security) - 网络安...

lnredone
2017/01/03
0
0
《中小企业数字化赋能专项行动方案》解读:SaaS和PaaS,是中小企业上云的唯一选项吗?

3月19日,工信部印发《中小企业数字化赋能专项行动方案》,提出十三项重点任务。其中提到,助推中小企业上云用云,引导数字化服务商面向中小企业推出云制造平台和云服务平台,支持中小企业设...

powertoolsteam
04/28
0
0
青藤云安全细述:三大云安全工具(CASB、CSPM、CWPP)的使用场景

https://www.aqniu.com/vendor/59616.html 近年来,随着云计算市场的发展,不少企业都开始选择业务上云,并且企业并不只是采用一种云,而是采用多种云相互结合的方式,例如,公有云、私有云、...

Bright_朝晖
05/14
0
0
三大云安全工具(CASB、CSPM、CWPP)的使用场景

https://www.anquanke.com/post/id/194220 近年来,随着云计算市场的发展,不少企业都开始选择业务上云,并且企业并不只是采用一种云,而是采用多种云相互结合的方式,例如,公有云、私有云、...

Bright_朝晖
05/07
0
0
鸟巢因奥运而生,智能化建站因云计算而起

重庆中体体育设施建筑工程有限公司于1994年成立,是由中国建设部批准,具有体育场地设施工程专业承包一级资质的施工企业。公司拥有一支稳定的从事体育设施研究和专业施工的技术骨干队伍,通过...

云市场转载
2018/06/22
0
0

没有更多内容

加载失败,请刷新页面

加载更多

屏蔽nginx默认页面或者openresty默认页面

openresty是对nginx做了一层封装,屏蔽nginx或者openresty的默认页面的方法是一样的,就是对nginx/html/index.html进行修改即可。 ssh nginx@126.10.*.* // 使用ssh进行登录,根据提示输入密...

osc_2wznp7fr
10分钟前
7
0
基于Python的arcgis二次开发和ENVI二次开发

https://www.cnblogs.com/jhlong/p/5394530.html https://search.bilibili.com/all?keyword=arcgis%20python...

osc_gkcftr6g
11分钟前
4
0
[Go] gorm 返回指定模型数据的处理方式

重新 var 声明一个变量,类型为包含指定字段的结构体。 查询的时候,还是使用原始模型类型的变量。 example: // For return data var retMember struct { Hash string `json...

osc_eoffv2le
12分钟前
3
0
Spring boot Access-Control-Allow-Origin 问题解决

import org.springframework.context.annotation.Bean;import org.springframework.context.annotation.Configuration;import org.springframework.web.cors.CorsConfiguration;import or......

osc_3361hjxk
13分钟前
8
0
通过人才测评系统,对程序员岗位进行招聘测评

一、 程序员的基本工作内容 1、 负责项目组内的代码维护和更新迭代,保证研发效率,对于运营产品提出的需求应积极沟通并实现。 2、 规范相关开发文档等相关资料,对于有变更的代码和功能需求...

蛤蟆丸子
14分钟前
7
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部