四大安全问题拷问SaaS与云计算

一、ISO27001标准下的云安全之薄

在当下SaaS服务盛行之时，ISO27001标准如同守护客户运行安全的坚固盾牌。尽管此标准囊括了许多客户关心的安全议题，为我们提供了评估SaaS供应商成熟度的依据，但这一标准在实际应用中仍有薄弱之处。企业对此不能掉以轻心。据Forrester分析师ChenxiWang透露，即便供应商宣称已通过ISO27001标准认证，数据的真实安全性仍难以保证。诸多自称合规的公司，在特权用户管理方面存在诸多不足，如管理员账户的共享以及过度宽泛的权限授予。这些问题如同暗礁，给云安全带来潜在威胁。

二、云中的身份验证体系尚显稚嫩

云供应商虽然在他们的平台上逐渐融入身份验证服务，但相较于企业防火墙后的服务，仍显不足。第三方技术虽可助力IT部门加强角色访问控制，但云身份验证领域仍处在发展初期。对此，Forrester分析师ChenxiWang指出：“在企业应用程序的身份验证和访问控制管理上，IT部门面临的挑战依然艰巨。”云安全联盟的研究也显示，尽管企业可以短期内部署缺乏良好身份验证和访问管理战略的服务，但从长远来看，将企业的身份验证服务扩展至云中是大势所趋。这一领域还需继续深耕细作。

三、云中的数据安全迷雾重重

云供应商宣称他们能比一般客户更好地保护数据安全，SaaS服务比大多数人想象的更为安全。这一说法却难以获得客户的信任，因为SaaS供应商的安全过程过于隐秘。尤其是，云服务供应商对于数据中心的运行细节守口如瓶，这引发了客户和行业的广泛疑虑。尽管供应商声称公开这些信息会损害安全，但客户和专家已经厌倦了这种保密状态。在某些情况下，如果供应商愿意，客户可以请专家进行安全测试，深入供应商的网络一竟。这或许是解开数据安全之谜的一种尝试。

四、云中数据位置的未知之谜

在云中，你并不总是知道你的数据位于何处。即使数据存储在一个国家内，为满足监管要求，客户也需要确认数据的确切位置。目前能够确认云网络中虚拟机位置的技术尚在开发中。例如，EMC正在研发的这项技术要到明年才会面世，并且需要EMC、VMare以及英特尔产品的协同合作。VMare技术副总裁ChadSakac坦言：“目前，我们无法验证虚拟机的具体位置，也无法阻止虚拟机被转移到任意地点，更无法对转移行为进行审计。”这一领域的挑战和未知仍待未来技术的突破与解答。