请选择 进入手机版 | 继续访问电脑版
发帖
开启辅助访问
 找回密码
 立即注册
取消
搜索
热搜:
活动 交友 discuz
分享到

企业安全SaaS的控制力怎么样?

#灌水区#时间:2019-04-19 阅读:273 回复:0

561

主题

561

帖子

3165

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
3165
对于一个企业,就软件的整体环境管理来说,如果使用SaaS模式,则企业的管理能力是很弱的。企业可能只知道用的是某一个软件,但并不知道这个软件托管在哪一个数据中心,采用的哪个平台。但对于托管服务来说,托管的软件放在怎样的一个环境,什么地方,它的备份等等一系列的问题,企业都了如指掌。也就是说,企业对SaaS软件的控制力是比较弱的,而对于托管服务的控制力相对比较强。
其次就是我们目前有不同的云平台模式,那对于云平台模式而言,企业在整个的安全架构上的责任是如何界定的?
随着整个云平台模式从Iaas、Paas向SaaS的迁移,企业的整体责任逐步地变成只负责数据安全和安全治理,而对于服务商来说,他们的责任从物理安全、基础架构、延伸到平台,那对于整个应用安全是由双方共享的。但是,不管企业采用什么样的模式,整个的安全治理或者说供应商怎样才能达到企业的安全目标,这一点是企业的责任,对于整个托管在SaaS平台上的数据,也是企业负最终责任。
当然在实际过程中,很多的SaaS平台自己并不负责基础架构,所以事实上,他会把他的平台基础架构又转嫁到第三方的云平台,如PaaS平台或者是Iaas平台上。这样就会存在一个很大的差距。
一方面对于企业来说,他的整个安全责任及对于数据安全的最终责任并没有减弱,但实际上其对使用的SaaS的安全性能和管控力却在下降。那么企业势必会出现一些焦虑,怎么去弥补这种焦虑呢?
目前常用的办法就是SaaS厂商通过一定的安全认证来满足客户对于安全的要求。通过提供一个第三方的认证说明,证明其安全达到了一定的程度,是一个可信任的平台,企业可以放心使用。
分别是TUV的认证,CSA的认证,还有欧盟的一些认证,在这些认证中,国内比较熟悉的可能就是最右边的ISO27001认证。ISO27001是一个比较通用的认证,但是它有一些缺陷。ISO27001本身并不是针对第三方的独立服务做的一个认证,对于风险管理、云数据安全、云接口安全、互操作性和可移植性等方面并没有一些对应考核的标准,而且,27001更多是一次性的认证。
或者更准确的来说,27001是一个静态的认证,它只是表明企业在提供云服务时,管理流程达到了一些认证的要求,但是在日常操作中是否严格遵循了这样一些原则却并没有一个持续性的检验。而且,对于风险的评估,以及对于一个SaaS来说,它对于特定平台的要求这部分都没有进行适合的考量。可以说,ISO27001只是一个基础。如果没有27001,企业对于整个SaaS平台的安全就没有信心,但是有了27001并不表示企业整个的SaaS安全就是必然可信的,所以这里引入另外一个概念叫做SOC。
在此要强调一下SOC。这是一个叫“SSAE16”具体审核的报告格式要求。SSAE16是美国注册会计师协会制定的叫鉴证业务准则公告第16号,是负责企业的信息安全的审计报告。

回复
使用道具 举报
快速回复
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

客服电话
173-6185-1240
发布 快速回复 返回顶部 返回列表