SaaS安全性：評價(jià)SaaS加密方法

來源：互聯(lián)網(wǎng)   發(fā)布日期：2012-10-21 16:08:56   瀏覽：7378次  

    在所有云計(jì)算服務(wù)的選項(xiàng)中，軟件即服務(wù)（SaaS）提供了最低程度的洞察力和控制。通過SaaS，企業(yè)正在使用一個(gè)軟件應(yīng)用程序并不得不依賴之，在大多數(shù)情況下，幾乎完全信賴供應(yīng)商的安全控制和承諾。所有我們所知的就是他們所歸檔的信息、他們讓我們知道的信息以及他們在他們的合同中承諾的信息。

    SaaS是一個(gè)與其他人共享的軟件應(yīng)用程序，即使是最著名的安全供應(yīng)商通常也需要訪問我們在某些地點(diǎn)的數(shù)據(jù)。他們可能永遠(yuǎn)不會偷看，可能有一大堆針對訪問的安全與審計(jì)控制，但是最終我們的數(shù)據(jù)在數(shù)據(jù)庫中的某處，而在該相同位置也有其他人會進(jìn)行管理和保持運(yùn)行。我不是說，這會產(chǎn)生一堆FUD。我向我過去維護(hù)我們業(yè)務(wù)的不同SaaS供應(yīng)商提供大量的私有數(shù)據(jù)，但是那并不意味著其中沒有涉及風(fēng)險(xiǎn)。在我們的例子中，這有時(shí)就是意味著保存某些內(nèi)部數(shù)據(jù)。對于你們中的一些，這將意味著使用SaaS，但是在他們的環(huán)境中保護(hù)你的數(shù)據(jù)。

    SaaS安全涉及眾多不同的控制，其中包括身份管理、內(nèi)部安全設(shè)置和角色管理、事件響應(yīng)和服務(wù)停用規(guī)劃，以及審計(jì)。在本文中，我們將重點(diǎn)關(guān)注于保護(hù)存儲在SaaS應(yīng)用程序中敏感數(shù)據(jù)的技術(shù)，其中包括SaaS加密技術(shù)。

    有四個(gè)主要選項(xiàng)，但除非你使用以文件為導(dǎo)向的服務(wù)否則只有其中兩個(gè)選項(xiàng)對你是具有實(shí)際意義的：

1. 信任供應(yīng)商，依賴于他們的內(nèi)部控制（其中可能包括加密、數(shù)據(jù)分散性以及其他選項(xiàng)）。

2. 在發(fā)送客戶應(yīng)用程序中的加密數(shù)據(jù)至供應(yīng)商前，如果服務(wù)提供一個(gè)具有該功能的客戶端應(yīng)用程序，則通常只有一個(gè)選擇。

3. 在發(fā)送至服務(wù)前，在本地加密數(shù)據(jù)。

4. 使用一個(gè)本地或遠(yuǎn)程加密代理，加密和解密將提供給供應(yīng)商的數(shù)據(jù)。

    相信供應(yīng)商并不總是壞事；很多供應(yīng)商所采用更好的安全控制遠(yuǎn)比你在內(nèi)部應(yīng)用程序中所進(jìn)行的安全控制要完善得多。我們?nèi)匀粎⒖寄承┯美�，如你可能需要保護(hù)某些你所擁有的一些信息，而這就是其他選項(xiàng)起作用之處。

    SaaS加密方法

    某些服務(wù)提供一個(gè)客戶端應(yīng)用程序，不一定需要通過網(wǎng)絡(luò)瀏覽器運(yùn)行任何東西。這在綜合SaaS和PaaS功能的文件存儲和備份應(yīng)用程序中很常見。這些服務(wù)中的一些允許你在發(fā)送數(shù)據(jù)至他們服務(wù)器之前在客戶端應(yīng)用程序加密你的數(shù)據(jù)，而安全服務(wù)甚至允許你管理你自己的密鑰。此舉使他們對你的數(shù)據(jù)完全見而不識，盡管他們通�？梢钥吹皆獢�(shù)據(jù)。隨著時(shí)間的推移，我希望看到一些在網(wǎng)絡(luò)瀏覽器內(nèi)擴(kuò)展加密數(shù)據(jù)的功能，但是目前我還沒有看到任何實(shí)施應(yīng)用。

    客戶端加密是偉大的，但并不總是一個(gè)選項(xiàng)（特別是對非文件導(dǎo)向的服務(wù)）。另一個(gè)選項(xiàng)是使用你自己的軟件在發(fā)送至互聯(lián)網(wǎng)之前進(jìn)行本地加密。這可能是難以管理的，我?guī)缀踔豢吹皆撨x項(xiàng)應(yīng)用于基于文件的數(shù)據(jù)。也有一些瞄準(zhǔn)掩碼的解決方案，即本地?cái)r截網(wǎng)絡(luò)表單的加密數(shù)據(jù)塊，但是該選項(xiàng)并未常用，未為一項(xiàng)市場前途未明的前衛(wèi)技術(shù)。

    最后一個(gè)選項(xiàng)是使用某種基于網(wǎng)絡(luò)的加密代理，這就是當(dāng)大多數(shù)企業(yè)不完全信任他們供應(yīng)商時(shí)所轉(zhuǎn)而尋求的解決方案。

    該代理被置于網(wǎng)絡(luò)上，并如同一個(gè)網(wǎng)絡(luò)網(wǎng)關(guān)一樣運(yùn)行。當(dāng)用戶訪問SaaS網(wǎng)站時(shí)，他們通過代理重定向。該代理依賴于SaaS應(yīng)用程序和攔截網(wǎng)頁關(guān)鍵組成域的深厚知識。在發(fā)送至供應(yīng)商之前，加密位于這些域的敏感數(shù)據(jù)，而在發(fā)送回用戶前，解密之。

    對于用戶來說，看上去就如同訪問服務(wù)，只要他們在網(wǎng)絡(luò)上使用代理。但是，如果他們試圖通過直接連接至SaaS應(yīng)用程序訪問客戶賬戶號碼，他們所看到的一切將是加密數(shù)據(jù)。對于不提供如你所需細(xì)粒度的訪問控制服務(wù)，你可以對用戶屏蔽數(shù)據(jù)并獲得超過應(yīng)用程序內(nèi)部控制的安全性。此外，你可以在云計(jì)算中技術(shù)上托管代理本身以支持遠(yuǎn)程訪問。

    這應(yīng)該是有目共睹的，該選項(xiàng)不適用于除主要云計(jì)算服務(wù)以外的任何應(yīng)用，通過努力它可以構(gòu)建攔截功能并無縫集成目標(biāo)服務(wù)。此外，一個(gè)SaaS應(yīng)用程序用戶界面的變化可以破壞功能直至代理供應(yīng)商可完成更新。

    SaaS安全建議

    鑒于這些SaaS加密挑戰(zhàn)，我更傾向于提出如下建議：

1. 你最好的辦法是與你所信任的SaaS供應(yīng)商合作，并通過良好的合同以及審計(jì)保護(hù)好你自己。

2. 如果你關(guān)注于基于文件的數(shù)據(jù)，有大量有效的加密選項(xiàng)；大多數(shù)基于文件的企業(yè)加密工具都是運(yùn)行良好。

3. 如果你完全不信任你的供應(yīng)商，尋找一個(gè)代理加密解決方案。加密盡可能少，以減少文件破損的風(fēng)險(xiǎn)。理解到，除非你將代理本身置于云計(jì)算中，你可能會丟失某些流動(dòng)性。

SaaS加密數(shù)據(jù)并不是不可能的，但是你的第一個(gè)嘗試應(yīng)該永遠(yuǎn)是一個(gè)你所信任的供應(yīng)商。如果你需要有所突破，這些選項(xiàng)應(yīng)已符合你的所有需求了。

贊助本站