24周年

財稅實務(wù) 高薪就業(yè) 學(xué)歷教育
APP下載
APP下載新用戶掃碼下載
立享專屬優(yōu)惠

安卓版本:8.7.50 蘋果版本:8.7.50

開發(fā)者:北京正保會計科技有限公司

應(yīng)用涉及權(quán)限:查看權(quán)限>

APP隱私政策:查看政策>

HD版本上線:點擊下載>

化解SaaS安全問題的三大措施

來源: TT云計算 編輯: 2009/12/15 09:28:12  字體:

  在面臨云計算應(yīng)用中的安全性問題時(特別是在軟件即服務(wù)SaaS級別),密碼管理不當(dāng)和不安全協(xié)議威脅都將會對您的系統(tǒng)保密造成破壞或數(shù)據(jù)泄露,同時可能需要由您的企業(yè)來承擔(dān)法律責(zé)任。在本文中,我們將探討SaaS所帶來的三大威脅,以及能夠預(yù)先采取措施減輕這些威脅的戰(zhàn)略。

  本文的目的在于讓大家明確,這里所探討的三大威脅將是您自己能夠采取措施而緩解的,而不是要靠供應(yīng)商來解決。這其中的區(qū)別取決于你所使用的“模式”級別(例如SaaS,平臺即服務(wù)PaaS和基礎(chǔ)設(shè)施即服務(wù)(IaaS)),正如國家標(biāo)準(zhǔn)與技術(shù)研究所關(guān)于云計算定義中所定義的那樣。

  請注意,當(dāng)供應(yīng)方的威脅仍然可以影響您的服務(wù)時,可以進行風(fēng)險轉(zhuǎn)移,這都是可以通過合同方式進行處理的。

  在SaaS云服務(wù)中最具威脅的因素是什么?

  由于SaaS模式一般是基于一個瘦型或Web客戶端,或一組Web服務(wù),因此大多數(shù)威脅都被留給了供應(yīng)商。而事實上,供應(yīng)商處理了幾乎所有的威脅問題。這其中對于合同的理解和恰當(dāng)處理是很重要的。

  盡管如此,我的經(jīng)驗表明SaaS產(chǎn)品中您必須處理的三大威脅如下:

  ·易損證書

  ·不安全協(xié)議 基于Web的應(yīng)用缺陷

  ·易損或不安全的證書

  所有有安全需求的云應(yīng)用都需要用戶登錄。有許多安全機制可提高訪問安全性,比如說通行證或智能卡,而最為常用的方法是可重用的用戶名和密碼。對于那些缺乏標(biāo)準(zhǔn)管理的證書,密碼的強度最小(例如需要的長度和字符集過短),也沒有密碼管理(過期,歷史)。

  密碼失效是攻擊者獲得信息的首選方法,而容易被猜到的密碼則是主要目標(biāo)。對于該威脅的最佳緩解措施是:

  創(chuàng)建一個高強度密碼。我建議使用基于短句變形的密碼,且至少8個字符長。例如,將短句“What a great one for me to know!”變形為“Wagr814me2know!”(注:請不要在實際中使用這個例子)。 每90天修改一次您的密碼。時間長度必須基于數(shù)據(jù)的敏感程度。 不要使用舊密碼。 不安全的協(xié)議

  云應(yīng)用是遠(yuǎn)程定義,因此需要基于網(wǎng)絡(luò)協(xié)議功能的通信。但是當(dāng)供應(yīng)商配置應(yīng)用使用不安全的協(xié)議時,就可能發(fā)生問題。這意味著應(yīng)用會在客戶端和服務(wù)器之間使用不具保密性和完整性的協(xié)議傳遞信息。

  用戶和管理員都經(jīng)常遇到這類問題。使用不安全協(xié)議的應(yīng)用往往會將使數(shù)據(jù)暴露給數(shù)據(jù)傳送沿途的任何人,例如遠(yuǎn)程訪問的Telnet、文件傳輸?shù)奈募鬏攨f(xié)議(FTP)、用于郵件的郵局協(xié)議(POP)與互聯(lián)網(wǎng)消息訪問協(xié)議(IMAP)、以及基于網(wǎng)絡(luò)訪問的超文本傳輸協(xié)議(HTTP)。

  為了減輕不安全協(xié)議的威脅,您有三種選擇:

  ·要求供應(yīng)商替換該協(xié)議。例如使用安全殼(SSH)替代用于遠(yuǎn)程終端訪問的Telnet。

  ·要求供應(yīng)商支持該協(xié)議的安全版本。例如,F(xiàn)TP安全(FTPS),使用SSL的POP,SSL的IMAP和超文本傳輸協(xié)議安全(HTTPS)。

  ·使用應(yīng)用保護連接上的數(shù)據(jù)。這要求應(yīng)用在數(shù)據(jù)上線之前進行加密。注意這是最不可取的選擇,因為它涉及核心管理問題。

  了解HTTP

  在我們談及HTTP時重要的是要認(rèn)識到我們并不是要討論您HTTP的起源。使用HTTP協(xié)議、XML、AJAX等作為通用封裝運送允許應(yīng)用通過HTTP管道傳送幾乎任何東西。當(dāng)您聽到HTTP,您可能會想到“網(wǎng)絡(luò)”。但是在實際中,應(yīng)用可能甚至?xí)l(fā)送您所不了解的數(shù)據(jù)。

  基于網(wǎng)絡(luò)的應(yīng)用缺陷

  第三大威脅是當(dāng)客戶有能力將適用范圍擴大時,也可能引入應(yīng)用缺陷和安全風(fēng)險。此類威脅會隨具體應(yīng)用而變化,但也不容忽視。

  要成功化解這類威脅,您需要理解您試圖擴展的應(yīng)用。對應(yīng)用程序編程接口(API)和安全特性進行適當(dāng)?shù)呐嘤?xùn)是成功的關(guān)鍵。

  接近的想法

  我們已解決了公共云SaaS產(chǎn)品的三大威脅。管理好您的證書,使用適當(dāng)協(xié)議保護數(shù)據(jù)和證書,避免引入安全漏洞,將有助于您安全的實施SaaS解決方案。

責(zé)任編輯:zoe

實務(wù)學(xué)習(xí)指南

回到頂部
折疊
網(wǎng)站地圖

Copyright © 2000 - m.galtzs.cn All Rights Reserved. 北京正保會計科技有限公司 版權(quán)所有

京B2-20200959 京ICP備20012371號-7 出版物經(jīng)營許可證 京公網(wǎng)安備 11010802044457號