文档章节

企业应要求SaaS云服务商提供的三类安全措施

lingnet
 lingnet
发布于 2015/01/08 16:55
字数 1277
阅读 14
收藏 0
点赞 0
评论 0

  在面临SaaS云服务应用中的安全性问题时,密码管理不当和不安全协议威胁都将会对您的系统保密造成破坏或数据泄露,同时可能需要由您的企业来承担法 律责任。在本文中,我们将探讨SaaS所带来的三大威胁,以及能够预先采取措施减轻这些威胁的战略。   本文的目的在于让大家明确,这里所探讨的三大威胁将是您自己能够采取措施而缓解的,而不是要靠供应商来解决。这其中的区别取决于你所使用的“模式”级 别(例如SaaS,平台即服务PaaS和基础设施即服务(IaaS)),正如国家标准与技术研究所关于云计算定义中所定义的那样。   请注意,当供应方的威胁仍然可以影响您的服务时,可以进行风险转移,这都是可以通过合同方式进行处理的。   在SaaS云服务中最具威胁的因素是什么?   由于SaaS模式一般是基于一个瘦型或Web客户端,或一组Web服务,因此大多数威胁都被留给了供应商。而事实上,供应商处理了几乎所有的威胁问题。这其中对于合同的理解和恰当处理是很重要的。   尽管如此,经验表明SaaS云服务产品中您必须处理的三大威胁如下:   易损证书   不安全协议   基于Web的应用缺陷   易损或不安全的证书   所有有安全需求的云应用都需要用户登录。有许多安全机制可提高访问安全性,比如说通行证或智能卡,而最为常用的方法是可重用的用户名和密码。对于那些缺乏标准管理的证书,密码的强度最小(例如需要的长度和字符集过短),也没有密码管理(过期,历史)。   密码失效是攻击者获得信息的首选方法,而容易被猜到的密码则是主要目标。对于该威胁的最佳缓解措施是:   创建一个高强度密码。我建议使用基于短句变形的密码,且至少8个字符长。例如,将短句“Whatagreatoneformetoknow!”变形为“Wagr814me2know!”(注:请不要在实际中使用这个例子)。   每90天修改一次您的密码。时间长度必须基于数据的敏感程度。   不要使用旧密码。   不安全的协议   云应用是远程定义,因此需要基于网络协议功能的通信。但是当供应商配置应用使用不安全的协议时,就可能发生问题。这意味着应用会在客户端和服务器之间使用不具保密性和完整性的协议传递信息。   用户和管理员都经常遇到这类问题。使用不安全协议的应用往往会将使数据暴露给数据传送沿途的任何人,例如远程访问的Telnet、文件传输的文件传输 协议(FTP)、用于邮件的邮局协议(POP)与互联网消息访问协议(IMAP)、以及基于网络访问的超文本传输协议(HTTP)。   为了减轻不安全协议的威胁,您有三种选择:   要求供应商替换该协议。例如使用安全壳(SSH)替代用于远程终端访问的Telnet。   要求供应商支持该协议的安全版本。   使用应用保护连接上的数据。这要求应用在数据上线之前进行加密。注意这是最不可取的选择,因为它涉及核心管理问题。   了解HTTP   在我们谈及HTTP时重要的是要认识到我们并不是要讨论您HTTP的起源。使用HTTP协议、XML、AJAX等作为通用封装运送允许应用通过 HTTP管道传送几乎任何东西。当您听到HTTP,您可能会想到“网络”。但是在实际中,应用可能甚至会发送您所不了解的数据。   基于网络的应用缺陷   第三大威胁是当客户有能力将适用范围扩大时,也可能引入应用缺陷和安全风险。此类威胁会随具体应用而变化,但也不容忽视。   要成功化解这类威胁,您需要理解您试图扩展的应用。对应用程序编程接口(API)和安全特性进行适当的培训是成功的关键。   大部分市面上的SaaS云服务提供商都已解决了公共云SaaS产品的三大威胁。管理好用户证书,使用适当协议保护数据和证书,避免引入安全漏洞,将有助于用户安全的实施SaaS解决方案。 文章转载自【china-saas.com平台】 更多资讯,请点击http://www.china-saas.com/a/ERPqijianban/

© 著作权归作者所有

共有 人打赏支持
lingnet
粉丝 2
博文 407
码字总数 608722
作品 0
青岛
安全知识框架

一、安全领域分类: 内容包括: - 基础设施安全(Infrastructure Security) - 终端安全(Endpoint Security) - 消息安全(Messaging Security) - 应用安全(Application Security) - 网络安...

lnredone
2017/01/03
0
0
鸟巢因奥运而生,智能化建站因云计算而起

重庆中体体育设施建筑工程有限公司于1994年成立,是由中国建设部批准,具有体育场地设施工程专业承包一级资质的施工企业。公司拥有一支稳定的从事体育设施研究和专业施工的技术骨干队伍,通过...

云市场转载
06/22
0
0
Gartner:警惕云计算合同的安全陷阱

Gartner近日在一篇新闻稿中指出:商业云服务,尤其是SaaS服务的用户普遍对合同中的安全条款不满意。通常SaaS云计算服务合同在数据保密、数据完整性和数据恢复方面的条款都含混不清,这不但引...

Cashcow
2013/08/05
0
0
阿里云市场联合犀思云开启云V认证 首推“严选”模式企业采购更安心

12月20日,2017云栖大会·北京峰会上,阿里云市场联合犀思云开启企业“云V”认证。今后,具有正规资质、服务评价高、无投诉记录、产品部署在阿里云上的云市场服务商,均可申请开启“云V”认证...

1809868318151445
2017/12/21
0
0
云计算的增值服务与“私有云际存储云”

一提到云计算,SaaS, PaaS, IaaS等名词,许多人也许都会说这些都是各种提供和使用IT服务的省钱妙招。的确,服务器虚拟化与互联网技术的飞速发展使IT资源的使用也可以采用象“群租”和“拼车”...

晨曦之光
2012/03/09
0
0
2017最具活力与创新可能的云计算服务商TOP100

有多难就有多少问题 云计算的定义是将待处理的数据送到互联网上的超级计算机集群中,进行计算和处理,能够在网络上实现按需购买和按使用付费的业务模式。随着互联网技术的飞速发展,信息量与...

玄学酱
04/12
0
0
云上服务器安全

关于云上服务器安全得详细内容: 云上服务器安全 企业网络系统遭受恶意攻击事件频出,《网络安全法》的执行,让没有做好网络安全保护工作的企业背负了法律责任。这就是说,有可能你是受害者,...

mcy0425
03/07
0
0
云计算:SaaS,IaaS,PaaS 通俗解释

云计算生意三个范畴: 1. SaaS(Software as a Service) AMAZON搞出了他们的云计算服务,把自己闲置的计算资源出租给其他人来使用。有的客户什么都不懂,你把计算资源直接给他,他毛也不会用...

chenhao_asd
04/25
0
0
国内 SaaS 产业三大问题

最近两年,SaaS与SOA、云计算几乎成为IT业最时髦的三大名词。其中,又尤以SaaS最为普及。有人认为,SaaS是中国软件产业与国际巨头正面抗衡的唯一途径。 不过,虽然国内软件企业投入了很大的热...

红薯
2009/05/26
830
1
企业级云若遭受安全攻击,我们第一时间应做哪些紧急措施?

面对云安全挑战,企业必须有效地应对不断变化的环境,确保其业务在未来继续蓬勃发展。当然,网络攻击事故总是难以避免,时刻保持云安全的警惕性也应成为企业战略的重要组成部分。 如何在众多...

你好伤人
03/08
0
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

springMVC的流程

1.用户发送请求至前端控制器DispatcherServlet 2.DispatcherServlet收到请求调用HandlerMapping处理器映射器。 3.处理器映射器根据请求url找到具体的处理器,生成处理器对象及处理器拦截器(...

JavaSon712
10分钟前
0
0
大数据教程(3.2):Linux系统软件安装之自动化脚本

博主前面文章有介绍过软件的安装,可以帮助IT人员顺利的完成功能软件安装;但是,对于我们运维人员或者需要管理软件安装的项目经理来说,有些应用一次行需要搭建很多台相同的软件环境(如tom...

em_aaron
28分钟前
0
0
Spring Boot 2.0.3 JDBC整合Oracle 12

整合步骤 1. Oracle驱动引入 Oracle驱动一般不能通过maven仓库直接下载得到,需自行下载并导入到项目的lib目录下,建议通过如下pom依赖引入下载的Oracle驱动 <!-- Oracle 驱动 -->...

OSC_fly
37分钟前
0
0
java 8 并行流 - 1

下面创建一个并行流,与顺序流 //顺序流Stream.iterate(0L, i -> i + 1) .limit(Integer.MAX_VALUE) .reduce(0L, Long::sum);//并行流Stream.iterate(0L, i -> i......

Canaan_
54分钟前
0
0
数据结构与算法5

二分法采用向下取整的方法 使用有序数组的好处是查找的速度比无序数组快的多,不好的方面是因为要将所有靠后的数据移开,所以速度较慢,有序数组和无序数组的删除操作都很慢。 有序数组在查找...

沉迷于编程的小菜菜
昨天
1
1
SpringBoot | 第十一章:Redis的集成和简单使用

前言 上几节讲了利用Mybatis-Plus这个第三方的ORM框架进行数据库访问,在实际工作中,在存储一些非结构化或者缓存一些临时数据及热点数据时,一般上都会用上mongodb和redis进行这方面的需求。...

oKong
昨天
5
0
对基于深度神经网络的Auto Encoder用于异常检测的一些思考

一、前言 现实中,大部分数据都是无标签的,人和动物多数情况下都是通过无监督学习获取概念,故而无监督学习拥有广阔的业务场景。举几个场景:网络流量是正常流量还是攻击流量、视频中的人的...

冷血狂魔
昨天
0
0
并发设计之A系统调用B系统

A-->B A在发送请求之前,用乐观锁,减少对B的重复调用,这样一定程度上是幂等性。 比如A系统支付功能,要调用B系统进行支付操作,但是前端对"支付"按钮不进行控制,即用户会不断多次点击支付...

汉斯-冯-拉特
昨天
0
0
HTTP协议通信原理

了解HTTP HTTP(HyperText Transfer Protocol)是一套计算机通过网络进行通信的规则。计算机专家设计出HTTP,使HTTP客户(如Web浏览器)能够从HTTP服务器(Web服务器)请求信息和服务。 HTTP使用...

寰宇01
昨天
0
0
【Java动态性】之反射机制

一、Java反射机制简介

谢余峰
昨天
1
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部