SaaS模型的主要目的是使传统上必须自己在本地服务器安装、执行及维护软件的一种模式,改而通过远程数据中心安装、执行并维护,主要是提供给终端的使用者使用,是一种利用Web平台当作软件发布方式的软件应用,再以浏览器访问使用的软件递送模式,除了利用网络的存取和管理,也因服务集中,而有利于软件供货商进行更新或维护。......
2023-11-18
SaaS云安全:原理与应用实践
【摘要】:但在SaaS层,用户直接使用服务,无法评估整个云平台的安全性,这会使用户的数据受到未知安全风险的威胁。最后,SaaS提供商最好有良好的信誉以及安全资质,可以保证服务运行的可靠性与可信度,并能够提供持续的技术支持。良好的信用体系是SaaS安全发展的一个必要条件。
云计算市场上增长最快的服务模式是SaaS。SaaS模式是指供应商通过Internet交付的一些核心应用服务。用户只要接上网络,通过浏览器,就能直接使用在云端上运行的应用,而不需要顾虑类似安装等琐事,并且免去初期高昂的软硬件投入。SaaS主要面对的是普通用户。
SaaS能够提供独立的运行环境,用以交付完整的用户体验,主要包括表现层、接口层及应用实现层,如图3-15所示。
图3-15 SaaS三层结构
表现层将SaaS软件中的管理流与业务流进行分离,解决了投资和维护问题。SaaS软件在接口方面,以统一接口的方式方便用户和其他应用远程通过标准接口调用软件模块,实现业务组合。SaaS模式面向长尾市场[27],要求SaaS软件具备配置能力和资源共享,使得一套软件能够方便地服务于多个用户。
由于SaaS模式一般是基于Web客户端或一组Web服务,因此大多数威胁都被留给了供应商,客户通常只需负责操作层的安全功能,包括用户的访问管理、身份认证,所以选择SaaS提供商需要特别慎重。
1.SaaS的安全问题
SaaS的特性决定了云服务提供商对整个服务的安全性负主要责任,因为用户只是使用服务提供商提供的应用程序,除了避免误操作,用户只能使用服务提供商提供的安全措施。
SaaS层面临的主要安全问题有权限管理的安全问题、数据处理的安全问题、软件漏洞、云服务不透明和版权等问题。其中的版权问题属非技术性安全机制[28]。
(1)权限管理的安全问题 在SaaS层,云服务提供商所提供的身份验证与访问控制等权限管理手段可以说是用户可用的唯一安全控制手段。但是目前SaaS层提供的权限管理手段存在着访问控制标准不一致的问题。比如Google Docs处理文件的内嵌图片的访问控制机制与旧版本文件的访问控制就存在着不一致问题,这就可能造成当用户停止共享这个文件时,其他用户仍然可以共享文件中的内嵌图片。
在云计算中实施成功有效的权限管理至少应包括:①云服务提供商安全和及时地创建、更新以及删除账户;②实现跨云的身份认证和管理;③建立可信任用户配置文件和规则信息,不但用它来控制在云端服务的访问,而且运行方式符合审计的要求。(www.chuimin.cn)
(2)数据处理的安全问题 SaaS层的应用程序在使用静态数据时不对数据进行加密,存在着数据泄露的风险。但是SaaS层数据泄露的风险比PaaS层要大,这是因为在PaaS层,用户可以通过自己开发一定的防范程序来预防数据泄露,而在SaaS层用户无能为力,所有的安全防范只能由云服务提供商提供。
(3)云服务不透明问题 IaaS和PaaS服务模式会向用户开放相应的服务接口,用户可以借此评估整个云平台的安全性,尤其在IaaS层,用户的自由度更大。但在SaaS层,用户直接使用服务,无法评估整个云平台的安全性,这会使用户的数据受到未知安全风险的威胁。用户和云服务提供商应该在保密协议的约束下,分享包括结构、实现、部署、白盒和黑盒测试等方面的信息,以便用户可以有效评估云平台安全性。然而,多数云服务提供商都不愿意过多地提供云平台的技术细节等安全评估内容。
2.SaaS安全对策
1)建立用户登录机制。所有存在安全需求的云应用都需要用户登录。在SaaS层中,服务提供商应提供身份识别与访问控制等权限管理手段,这是保证云计算正确运行的关键所在。
2)数据存储与备份。
3)选择可靠的操作系统,定期升级软件补丁,并关注版权信息。选择稳定的主流操作系统,定期更新操作系统与软件补丁,定时扫描漏洞。有条件的客户可以选择安全专家对系统做评估,并选用定制的网络设备或硬件设施。
4)对服务器和客户端的安全都要重视。对于客户端,最好采用通过SSL服务器端认证的HTTPS,保证所有传输的数据都是加密的,以保证数据传输安全。
5)选择可靠的SaaS提供商。首先,可靠的SaaS提供商应该具有业界领先的成熟的安全技术,如对于SaaS邮件提供商而言,成熟的反病毒和反垃圾邮件技术必不可少。其次,SaaS提供商应拥有核心知识产权,可以保证以后服务的延续性与可靠性。最后,SaaS提供商最好有良好的信誉以及安全资质,可以保证服务运行的可靠性与可信度,并能够提供持续的技术支持。
6)安全管理。首先,建立第三方监管制度,只有这样才能使SaaS更合理、有效地运营下去。其次,建立服务商与客户之间的诚信体系,社会方面也需要提供外部的法律支持,使泄露客户商机的行为能够收到惩处。良好的信用体系是SaaS安全发展的一个必要条件。最后,需要加强对人员技术知识和应急安全事件处理能力的培训,增强安全管理意识,并遵守安全管理规范。
有关云安全深度剖析:技术原理及应用实践的文章
- 详细阅读
-
云计算的优势:云安全的技术原理及应用实践详细阅读
对云服务提供商而言,由于云计算服务不需要将软件安装在用户的计算机中,降低了商业软件被破解的风险。就目前的情况来看,云计算正在颠覆世界各地企业的IT消费方式,采用云计算模式可带来许多好处和优势。云计算服务供应商承担对云计算平台和服务进行全天候的监控和维护。用户可以在权限许可下共享云计算平台中的数据。这一特性使得云计算服务能够允许云端的节点出现错误甚至是崩溃。......
2023-11-18
-
云安全:技术原理与应用实践详细阅读
因此,云服务提供商在设计IaaS云框架时,其公有云内的网站应用程序必须能够抵御来于因特网的威胁,至少有一套针对主流网站漏洞的标准安全策略,同时应定期对漏洞进行检测。......
2023-11-18
-
云标准化组织-云安全深度剖析:技术原理及应用详细阅读
国内外研究和制订云计算安全标准的组织有很多。目前,全世界已经有50多个标准组织宣布加入云计算标准的制订行列。②以CSA和云计算互操作论坛等为代表的专门致力于进行云计算标准化的新兴标准组织。......
2023-11-18
-
云安全深度剖析:虚拟化与云计算应用实践详细阅读
正是因为虚拟化技术的种种优势,虚拟化技术已经逐步成为云计算服务的主要支撑技术。可以说,虚拟化和云计算正在共同重塑数据中心格局,云数据中心通过服务器虚拟化和应用虚拟化等形式,不但能有效提高各种资源的利用率,同时也赋予了业务管理更大的灵活性。随着需求的增长与云计算技术的出现,虚拟化和云计算聚焦于统一存储。......
2023-11-18
-
云计算的定义与应用实践详细阅读
云计算是一种概念性的说法,而非专指某特定的信息系统。具体来讲,NIST提供的云计算定义中包括了五个基本特征、三个云服务模型和四个云部署模型,如图1-2所示。图1-2 NIST提供的云计算定义需要指出的是,由于考虑的角度不同,业界对云计算的提法也稍有不同。IBM、Google和Amazon等公司也都从自身角度出发给出了云计算的定义。综上所述,云计算将所有的计算资源集中起来,并由软件实现自动管理,无须人为参与。......
2023-11-18
-
云安全深度剖析:技术原理及应用实践详细阅读
网络侵犯隐私权的情形目前主要集中在个人信息的收集、处理、传输和利用等环节中。总之,从我国现行的法律来看,我国虽然在各种法律中对公民的隐私权做了具体规定,但是在这些法律中没有规定到底什么样的行为侵犯了公民的个人数据隐私权,同时,对具体的侵权构成要件的规定比较模糊。......
2023-11-18
-
技术原理及应用实践,解决云计算安全障碍详细阅读
目前,云计算的安全问题已成为推广云计算的障碍之一。针对云计算面临的安全挑战,国内外研究者对云计算安全的一些关键技术进行了相关研究。该方案引入可信的第三方提供安全认证,并根据云计算系统分层的特性,分别给物理层、基础设施即服务、平台即服务、软件即服务提供安全认证。冯登国等人[55]提出一个包含云计算服务体系、云计算安全标准及测评体系两大部分的云计算安全框架。......
2023-11-18
相关推荐