文档章节

企业应要求SaaS云服务商提供的三类安全措施

lingnet
 lingnet
发布于 2015/01/08 16:55
字数 1277
阅读 15
收藏 0

  在面临SaaS云服务应用中的安全性问题时,密码管理不当和不安全协议威胁都将会对您的系统保密造成破坏或数据泄露,同时可能需要由您的企业来承担法 律责任。在本文中,我们将探讨SaaS所带来的三大威胁,以及能够预先采取措施减轻这些威胁的战略。   本文的目的在于让大家明确,这里所探讨的三大威胁将是您自己能够采取措施而缓解的,而不是要靠供应商来解决。这其中的区别取决于你所使用的“模式”级 别(例如SaaS,平台即服务PaaS和基础设施即服务(IaaS)),正如国家标准与技术研究所关于云计算定义中所定义的那样。   请注意,当供应方的威胁仍然可以影响您的服务时,可以进行风险转移,这都是可以通过合同方式进行处理的。   在SaaS云服务中最具威胁的因素是什么?   由于SaaS模式一般是基于一个瘦型或Web客户端,或一组Web服务,因此大多数威胁都被留给了供应商。而事实上,供应商处理了几乎所有的威胁问题。这其中对于合同的理解和恰当处理是很重要的。   尽管如此,经验表明SaaS云服务产品中您必须处理的三大威胁如下:   易损证书   不安全协议   基于Web的应用缺陷   易损或不安全的证书   所有有安全需求的云应用都需要用户登录。有许多安全机制可提高访问安全性,比如说通行证或智能卡,而最为常用的方法是可重用的用户名和密码。对于那些缺乏标准管理的证书,密码的强度最小(例如需要的长度和字符集过短),也没有密码管理(过期,历史)。   密码失效是攻击者获得信息的首选方法,而容易被猜到的密码则是主要目标。对于该威胁的最佳缓解措施是:   创建一个高强度密码。我建议使用基于短句变形的密码,且至少8个字符长。例如,将短句“Whatagreatoneformetoknow!”变形为“Wagr814me2know!”(注:请不要在实际中使用这个例子)。   每90天修改一次您的密码。时间长度必须基于数据的敏感程度。   不要使用旧密码。   不安全的协议   云应用是远程定义,因此需要基于网络协议功能的通信。但是当供应商配置应用使用不安全的协议时,就可能发生问题。这意味着应用会在客户端和服务器之间使用不具保密性和完整性的协议传递信息。   用户和管理员都经常遇到这类问题。使用不安全协议的应用往往会将使数据暴露给数据传送沿途的任何人,例如远程访问的Telnet、文件传输的文件传输 协议(FTP)、用于邮件的邮局协议(POP)与互联网消息访问协议(IMAP)、以及基于网络访问的超文本传输协议(HTTP)。   为了减轻不安全协议的威胁,您有三种选择:   要求供应商替换该协议。例如使用安全壳(SSH)替代用于远程终端访问的Telnet。   要求供应商支持该协议的安全版本。   使用应用保护连接上的数据。这要求应用在数据上线之前进行加密。注意这是最不可取的选择,因为它涉及核心管理问题。   了解HTTP   在我们谈及HTTP时重要的是要认识到我们并不是要讨论您HTTP的起源。使用HTTP协议、XML、AJAX等作为通用封装运送允许应用通过 HTTP管道传送几乎任何东西。当您听到HTTP,您可能会想到“网络”。但是在实际中,应用可能甚至会发送您所不了解的数据。   基于网络的应用缺陷   第三大威胁是当客户有能力将适用范围扩大时,也可能引入应用缺陷和安全风险。此类威胁会随具体应用而变化,但也不容忽视。   要成功化解这类威胁,您需要理解您试图扩展的应用。对应用程序编程接口(API)和安全特性进行适当的培训是成功的关键。   大部分市面上的SaaS云服务提供商都已解决了公共云SaaS产品的三大威胁。管理好用户证书,使用适当协议保护数据和证书,避免引入安全漏洞,将有助于用户安全的实施SaaS解决方案。 文章转载自【china-saas.com平台】 更多资讯,请点击http://www.china-saas.com/a/ERPqijianban/

© 著作权归作者所有

共有 人打赏支持
lingnet
粉丝 2
博文 407
码字总数 608722
作品 0
青岛
安全知识框架

一、安全领域分类: 内容包括: - 基础设施安全(Infrastructure Security) - 终端安全(Endpoint Security) - 消息安全(Messaging Security) - 应用安全(Application Security) - 网络安...

lnredone
2017/01/03
0
0
鸟巢因奥运而生,智能化建站因云计算而起

重庆中体体育设施建筑工程有限公司于1994年成立,是由中国建设部批准,具有体育场地设施工程专业承包一级资质的施工企业。公司拥有一支稳定的从事体育设施研究和专业施工的技术骨干队伍,通过...

云市场转载
06/22
0
0
Gartner:警惕云计算合同的安全陷阱

Gartner近日在一篇新闻稿中指出:商业云服务,尤其是SaaS服务的用户普遍对合同中的安全条款不满意。通常SaaS云计算服务合同在数据保密、数据完整性和数据恢复方面的条款都含混不清,这不但引...

Cashcow
2013/08/05
0
0
阿里云市场联合犀思云开启云V认证 首推“严选”模式企业采购更安心

12月20日,2017云栖大会·北京峰会上,阿里云市场联合犀思云开启企业“云V”认证。今后,具有正规资质、服务评价高、无投诉记录、产品部署在阿里云上的云市场服务商,均可申请开启“云V”认证...

1809868318151445
2017/12/21
0
0
云计算的增值服务与“私有云际存储云”

一提到云计算,SaaS, PaaS, IaaS等名词,许多人也许都会说这些都是各种提供和使用IT服务的省钱妙招。的确,服务器虚拟化与互联网技术的飞速发展使IT资源的使用也可以采用象“群租”和“拼车”...

晨曦之光
2012/03/09
0
0

没有更多内容

加载失败,请刷新页面

加载更多

Swift-系统默认UICollectionViewController的基本用法

不用xib创建时,需要重写 override init(collectionViewLayout layout: UICollectionViewLayout){} 在调用时需传 UICollectionViewLayout值,不然就会报错 let layout = UICollectionViewFlow......

west_zll
21分钟前
2
0
Spring Boot 最核心的 3 个注解详解

最近面试一些 Java 开发者,他们其中有些在公司实际用过 Spring Boot, 有些是自己兴趣爱好在业余自己学习过。然而,当我问他们 Spring Boot 最核心的 3 个注解是什么,令我失望的是鲜有人能答...

Java技术栈
22分钟前
5
0
Sqoop 增量导入导出及Job操作示例

增量导入 递增列的增量导入append # 第一次导入[root@node222 ~]# /usr/local/sqoop-1.4.7/bin/sqoop import --connect jdbc:mysql://192.168.0.200:3306/sakila?useSSL=false --table ac......

PeakFang-BOK
28分钟前
3
0
Thread中断的理解

★中断的理解:1)中断可以理解为线程的一个标识位属性;2)表示一个运行中的线程是否被其他线程进行了中断操作 中断好比其他线程向该线程打了个招呼,其他线程通过调用该线程的interrupt()...

karma123
35分钟前
2
0
App store 侵权投诉

App Store Content Dispute 侵权投诉 https://www.apple.com/legal/internet-services/itunes/appstorenotices/#?lang=zh...

壹峰
59分钟前
2
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部