新用戶掃碼下載
掃碼下載APP
及時接收最新考試資訊及
備考信息
化解SaaS安全問題的三大措施
在面臨云計算應用中的安全性問題時(特別是在軟件即服務SaaS級別),密碼管理不當和不安全協議威脅都將會對您的系統保密造成破壞或數據泄露,同時可能需要由您的企業來承擔法律責任。在本文中,我們將探討SaaS所帶來的三大威脅,以及能夠預先采取措施減輕這些威脅的戰略。
本文的目的在于讓大家明確,這里所探討的三大威脅將是您自己能夠采取措施而緩解的,而不是要靠供應商來解決。這其中的區別取決于你所使用的“模式”級別(例如SaaS,平臺即服務PaaS和基礎設施即服務(IaaS)),正如國家標準與技術研究所關于云計算定義中所定義的那樣。
請注意,當供應方的威脅仍然可以影響您的服務時,可以進行風險轉移,這都是可以通過合同方式進行處理的。
在SaaS云服務中最具威脅的因素是什么?
由于SaaS模式一般是基于一個瘦型或Web客戶端,或一組Web服務,因此大多數威脅都被留給了供應商。而事實上,供應商處理了幾乎所有的威脅問題。這其中對于合同的理解和恰當處理是很重要的。
盡管如此,我的經驗表明SaaS產品中您必須處理的三大威脅如下:
·易損證書
·不安全協議 基于Web的應用缺陷
·易損或不安全的證書
所有有安全需求的云應用都需要用戶登錄。有許多安全機制可提高訪問安全性,比如說通行證或智能卡,而最為常用的方法是可重用的用戶名和密碼。對于那些缺乏標準管理的證書,密碼的強度最小(例如需要的長度和字符集過短),也沒有密碼管理(過期,歷史)。
密碼失效是攻擊者獲得信息的首選方法,而容易被猜到的密碼則是主要目標。對于該威脅的最佳緩解措施是:
創建一個高強度密碼。我建議使用基于短句變形的密碼,且至少8個字符長。例如,將短句“What a great one for me to know!”變形為“Wagr814me2know!”(注:請不要在實際中使用這個例子)。 每90天修改一次您的密碼。時間長度必須基于數據的敏感程度。 不要使用舊密碼。 不安全的協議
云應用是遠程定義,因此需要基于網絡協議功能的通信。但是當供應商配置應用使用不安全的協議時,就可能發生問題。這意味著應用會在客戶端和服務器之間使用不具保密性和完整性的協議傳遞信息。
用戶和管理員都經常遇到這類問題。使用不安全協議的應用往往會將使數據暴露給數據傳送沿途的任何人,例如遠程訪問的Telnet、文件傳輸的文件傳輸協議(FTP)、用于郵件的郵局協議(POP)與互聯網消息訪問協議(IMAP)、以及基于網絡訪問的超文本傳輸協議(HTTP)。
為了減輕不安全協議的威脅,您有三種選擇:
·要求供應商替換該協議。例如使用安全殼(SSH)替代用于遠程終端訪問的Telnet。
·要求供應商支持該協議的安全版本。例如,FTP安全(FTPS),使用SSL的POP,SSL的IMAP和超文本傳輸協議安全(HTTPS)。
·使用應用保護連接上的數據。這要求應用在數據上線之前進行加密。注意這是最不可取的選擇,因為它涉及核心管理問題。
了解HTTP
在我們談及HTTP時重要的是要認識到我們并不是要討論您HTTP的起源。使用HTTP協議、XML、AJAX等作為通用封裝運送允許應用通過HTTP管道傳送幾乎任何東西。當您聽到HTTP,您可能會想到“網絡”。但是在實際中,應用可能甚至會發送您所不了解的數據。
基于網絡的應用缺陷
第三大威脅是當客戶有能力將適用范圍擴大時,也可能引入應用缺陷和安全風險。此類威脅會隨具體應用而變化,但也不容忽視。
要成功化解這類威脅,您需要理解您試圖擴展的應用。對應用程序編程接口(API)和安全特性進行適當的培訓是成功的關鍵。
接近的想法
我們已解決了公共云SaaS產品的三大威脅。管理好您的證書,使用適當協議保護數據和證書,避免引入安全漏洞,將有助于您安全的實施SaaS解決方案。
責任編輯:zoe
上一篇:Word快速定位到上次編輯位置
下一篇:ERP選型:需要先明白自己
學員討論(0)
實務學習指南
距6月報稅結束還有天
新用戶掃碼下載
京公網安備 11010802044457號