SaaS供应商的安全问题
对于供应商和客户来说,可以明显的看出经济效益,用户使用SaaS的成本,和自己购买软体加上布署的成本比起来是吸引的多。因为集中化的特质,SaaS供应商可以更迅速和容易地去更新以及管理软体和服务,可以直接观察客户使用模式来改善应用程式。而它的可扩展性和以量计价模式对于客户和供应商来说都极具吸引力。另外,它也提供更有弹性的整合能力和开放介面,许多SaaS供应商开始提供社群媒体模式的协作功能或开放介面(APIs)。五个关键的安全问题要问你的SaaS供应商:
1 – 渗透测试 – 如何以及多常进行整个环境的渗透测试,是否有能力自己独立对部分环境进行渗透测试?如果没有常常进行深入的渗透测试,你就不能得知当前安全状况的全貌。
2 – 资料安全 – 在使用资源共享的SaaS供应商数据中心时,如何对储存和传输中的资料进行加密?谁可以拿到加密金钥?是否有做权责区分(separation of duties),并将加密金钥和资料维护分开负责?供应商是否能提供你SAS 70报告?
3 – 多租户 – 是否有提供单一租户托管的选项?还要确认单一租户是否只包括应用程式,还是也包括资料储存的部份?
4 – 灾难复原 – 当发生灾难性故障、受到外部入侵或资料遗失时,有准备备份和回复的程序吗?备份的资料储存在哪里(再次提醒,需要加密)以及如何有效地回复?
5 – 用户验证 – SaaS应用程式的登入程序为何?是否使用多因子认证?是否可以和客户正在使用中的认证机制做整合?
构建云计算数据中心是第六届IDC产业年度大典的主题,在线订票登录中国IDC圈,大家还有没有关于这方面的问题呢?一起讨论下吧
补充:云计算 , 云安全