SaaS安全的八大挑戰(zhàn)

　　下列重大安全問題，企業(yè)在將應用遷移到云時必須仔細考慮。

　　1、數據安全

　　在SaaS模式，企業(yè)數據存儲在SaaS供應商的數據中心。因此，SaaS企業(yè)應采取措施保障數據安全，防止由于應用程序漏洞或者惡意特權用戶泄漏敏感信息。

　　SaaS的解決方案應該使用強大的密碼保護，以確保在數據訪問上的控制。所有數據，包括有管理權限的訪問，都應該被記錄下來，并定期審計。這些檢查是至關重要的。

　　2、數據分離

　　在一個多租戶SaaS的部署中，多個企業(yè)的數據可能會保存在相同的數據存儲位置。因此要保證其中一個用戶在進行數據訪問時不能訪問到其他用戶。泄漏敏感的業(yè)務計劃可能暴露競爭對手的弱點，因為這類數據可能會導致嚴重的經濟損失。

　　SaaS的應用體系結構和數據模型的設計應確保正確的數據隔離。如果SaaS的應用程序部署在一個公開的云供應商那里，則應加強防范措施，以便通過一個應用程序的數據不能訪問到其他應用程序。一個第三方SaaS的安全評估是至關重要的，隔離并查明這些數據的安全問題和解決這些問題之后，SaaS才可以更好地被應用。

　　3、SaaS應用程序的安全部署

　　用戶在選擇SaaS供應商的解決方案后可以部署使用公共云供應商或SaaS供應商的私有云。然而，這些部署應首先確保其安全性，采用托管SaaS的部署要求賣方提供相關服務(防火墻，入侵檢測系統等)來強化其安全性。

　　第三方的SaaS應用程序部署的安全審計也十分必要，這樣可以更好地識別任何安全問題或威脅，以確保您的企業(yè)數據的安全。

　　4、網絡安全

　　在SaaS的部署模式中，企業(yè)和SaaS提供商之間的數據流在傳輸過程中必須得到保護，以防止敏感信息外泄。

　　SaaS的供應商應使用諸如SSL確保數據在互聯網上流動的安全性，或者在SaaS的部署網絡中采取加密技術。其他保障措施還包括MITM攻擊對網絡安全造成的問題，IP欺騙，端口掃描，數據包嗅探等。

　　5、法規(guī)遵從

　　風險和法規(guī)遵從在SaaS應用程序的審計中至關重要，通過對是否符合監(jiān)管標準的評估，有助于確定是否合規(guī)問題，并確保正確的業(yè)務流程到位。

　　6、可用性

　　SaaS的應用程序需要支持高可用性，以確保其能夠24*7地為企業(yè)服務。這涉及到架構設計和基礎設施的應用，以使他們能夠適應硬件/軟件故障以及拒絕服務攻擊。此外，適當的業(yè)務連續(xù)性和災后恢復計劃也需要制訂，以確保停機時間最短。

　　7、備份

　　SaaS企業(yè)應確保服務水平協議涵蓋安全的備份和恢復服務，在SaaS應用的備份需經過驗證，基礎設施和云級恢復服務的需要，以促進災后恢復和減輕對敏感數據的丟失，由于失敗的風險。

　　備份的數據應該得到嚴格保護，如業(yè)務數據等就需要使用強大的加密機制。這些檢查也是非常必要的，它可以減少未經授權的訪問和敏感數據泄漏的風險。

　　8、身份管理和登錄安全

　　身份管理(IDM)和簽署組件可以為用戶提供服務的帳戶處理、密碼管理和安全認證。并且可以根據安全方面的挑戰(zhàn)不同對身份管理也進行區(qū)別對待。

　　一個SaaS供應商可以提供完整的IDM和登錄服務。在這種情況下，用戶的信息、密碼等，都保留在SaaS供應商的網站，因此應該安全地存儲和處理。SaaS供應商應該能夠保障密碼的安全性和企業(yè)密碼過期政策，并遵守監(jiān)管要求。

　　另外，一個SaaS供應商可以為用戶提供帳戶和證書復制的支持。在這種情況下，用戶帳戶的處理是通過每一個供應商的客戶端進行的，相關的用戶帳戶信息復制到身份驗證和授權功能，SaaS供應商都必須確保他們的安全性，并防止其泄露。

　　在一個聯合IDM模式下，用戶帳戶信息(包括證書)的管理和存儲是每個客戶獨立的，用戶身份驗證發(fā)生在企業(yè)客戶端，用戶身份和某些屬性隨之傳播到SaaS供應商使用身份驗證和訪問控制聯合會。 因此，SaaS的供應商和租戶必須建立起信任關系，并能夠確保用戶身份的安全聯盟。

　SaaS應用程序安全

　　以下關鍵減災戰(zhàn)略可以幫助SaaS供應商確保其安全和應用程序數據的完整性。

　　安全部署：采取措施，防止網絡滲透、拒絕服務(DoS)等，在公共云等應用上提供安全保障。

　　第三方SaaS的安全性評估：定期進行應用和網絡性能評估。這些有助于驗證SaaS應用和部署的安全性和完整性。

　　第三方治理和審計：第三方機構進行定期審計，驗證是否符合政府法規(guī)和行業(yè)標準。

　　這些做法，對于保證SaaS的安全性至關重要，只有這樣才能確保企業(yè)數據的安全性和完整性，并最終促進SaaS更加快速的普及。