顯而易見地,軟體即服務(SaaS)正在持續成長中,也持續被企業和家庭使用者所接受。 跟據Gartner在2011年7月所公佈的消息,SaaS的營收規模在2010年達到100億美元,而且還在成長中。 事實上,Gartner公司預估在2011年會成長20%以上,來到121億美元。
根據Gartner對SaaS的定義,軟體」被一個或多個供應商所擁有、提供和遠端管理。 供應商透過通用的程式碼和資料設定來提供應用程式,而且採取一對多的模式來提供給簽約客戶隨時取用。 可以採取使用量計費,或者其他多種套餐訂閱模式」。 而幾乎每個相關主題的文章或演講會舉的例子都是Salesforce.com,雖然他們是SaaS領域裡主要的供應商,但是要知道,SaaS有多種不同的類型。 客戶關係管理、人力資源管理、雲端備份、協作平臺、會計審核平臺、服務支援中心管理、託管服務和網頁/電子郵件過濾等等,不勝枚舉。
對於供應商和客戶來說,可以明顯的看出經濟效益,使用者使用SaaS的成本,和自己購買軟體加上佈署的成本比起來是吸引的多。 因為集中化的特質,SaaS供應商可以更迅速和容易地去更新以及管理軟體和服務,可以直接觀察客戶使用模式來改善應用程式。 而它的可擴充性和以量計價模式對於客戶和供應商來說都極具吸引力。 另外,它也提供更有彈性的整合能力和開放介面,許多SaaS供應商開始提供社群媒體模式的協作功能或開放介面(APIs)。
雖然SaaS能夠提供靈活和具有成本效益的應用使用環境來取代傳統模式,但它並非沒有風險。 因為轉移到託管平臺,而不是留在自己內部,企業必然會犧牲許多對於營運環境的控制。 特別是在SaaS裡,你幾乎只能選擇要上傳或不上傳某些資料,而剩下的就不是你能掌控了。 但是你還是得為自己的資料保護負起法律和監管責任。
SaaS環境下的風險有許多種,而且大多數都和它所提供的好處相關。 正如前面提到的,你的供應商透過某些網路分析來瞭解你對服務平臺的使用狀況,他們也能夠存取你所有的資料,這會產生未經授權存取或被內部員工監控的風險。
系統的集中化特質和多租戶(Multi-tenanted)環境底下的單一設定模式意味著,如果有一個漏洞影響到一個客戶,那麼很有可能會讓其他客戶也都受到相同的影響。 EPSILON資料外泄事件就是一個最近的例子,而它也影響了許多使用同一個SaaS供應商的Fortune 500大公司。 弱點攻擊可能牽涉的範圍很廣。 如果沒有正確地設計,開發和設定的話,多數SaaS供應商會使用的常見協定和軟體堆疊,例如HTTP、XML / SOAP、JSON、CSS和JavaScript,都有現成並且常常會被利用的漏洞。 如果服務平臺提供更大的彈性來允許客制化和外部整合(一個SaaS廠商的重要賣點),就越有機會讓一些客戶產生出漏洞,而讓其他廠商也承受被攻擊的後果。 這是多租戶環境下的必然後果。
五個關鍵的安全問題要問你的SaaS供應商:
1 - 滲透測試 - 如何以及多常進行整個環境的滲透測試,是否有能力自己獨立對部分環境進行滲透測試? 如果沒有常常進行深入的滲透測試,你就不能得知當前安全狀況的全貌。
2 - 資料安全 - 在使用資源分享的SaaS供應商資料中心時,如何對儲存和傳輸中的資料進行加密? 誰可以拿到加密金鑰? 是否有做權責區分(separation of duties),並將加密金鑰和資料維護分開負責? 供應商是否能提供你SAS 70報告?
3 - 多租戶 - 是否有提供單一租戶託管的選項? 還要確認單一租戶是否只包括應用程式,還是也包括資料儲存的部份?
4 - 災難復原 - 當發生災難性故障、受到外部入侵或資料遺失時,有準備備份和回復的程式嗎? 備份的資料儲存在哪裡(再次提醒,需要加密)以及如何有效地回復?
5 - 使用者驗證 - SaaS應用程式的登入程式為何? 是否使用多因數認證? 是否可以和客戶正在使用中的認證機制做整合?
@原文出處:5 Security Questions for your SaaS provider
(責任編輯:蒙遺善)