SaaS中的安全性问题
在SaaS的服务模型中,安全性保证主要取决于云计算服务提供商。云计算服务SaaS软件平台博云网表示,在SaaS开发模型中,尤其需要注意数据安全、网络安全、数据隔离、数据位置、虚拟化漏洞等安全性。数据安全
在云计算这个服务出现之前,企业一般将数据都保存自己企业的本地边界内,这样他们的敏感或者是商业机密性的数据则处于他们自己可以控制的范围中。但使用云计算,企业的数据完全处于云端,甚至不知道存储在网络中的哪个位置,也因为这个原因,目前众多的企业对于这种新的服务模式望而却步。
SaaS服务提供商有必要保证企业数据的安全性,防止数据的泄露和恶意访问。这就需要使用较强的数据加密机制和身份认证机制。对这部分的问题包括:XSS、SQL注入攻击、Cookie操作、不安全的存储、不安全的配置和访问控制漏洞等问题。
网络安全
和传统的互联网一样,SaaS的服务模型同样也面临着网络安全性的问题。由于用户是通过网络的方式接入云服务提供商,这样不安全的网络连接和数据传输就极易受到恶意攻击,诸如网络探针和数据包嗅探,不安全的SSL授信配置等。部分相关的安全技术包括安全套接层(SSL)和传输层安全(TLS)等。
数据隔离
云计算是一种多用户的模式,由此意味着租户之间的数据仅仅是逻辑上隔离的,但在物理上很可能会是在-个位置上的。这个也为潜在的非法数据访问提供了可能,因为一个恶意用户很可能利用系统中的访问漏洞,突破逻辑上的安全限制,人侵并获得其他用户的敏感数据。
数据位置
在云计算的服务模式下,数据以分布式的方式存储网络中,用户无需知道数据具体存储在网络中的什么位置。但这种方式可能会给用户带来潜在的法律风险。在有些国家,例如南美的一些国家,由于潜在的敏感性问题,特定的商业数据是不允许离开这个国家的。因此,在SaaS的安全模型中也需要提供客户数据的可靠定位服务。
虚拟化漏洞
虚拟化是云计算中的一项重要实现技术。使相对独立的运行实例运行在一个物理设备上是虚拟化技术的一项主要功能。目前已在虚拟化软件中发现漏洞很可能被恶意软件或者内部人员利用从而绕开安全的限制获得非法权限。一个例子就是Xen中的一个漏洞,tools/pygrub/src/GrubConf.py会产生一个输入确认的错误,而这个问题就很可能被利用来进行非法访问。
页:
[1]