微盟被删库,会引发SaaS安全信任危机吗?
|
那么,如果SaaS服务商把数据切到了云上,谁应该为云上SaaS用户的数据负责?是IaaS等公有云的服务商,还是SaaS提供商,是用户,还是提供云安全服务的网络安全公司?  中关村网络安全与信息化产业联盟 企业移动计算工作组(EMCG)组长王克 中关村网络安全与信息化产业联盟企业移动计算工作组(EMCG)组长王克告诉中国软件网记者,我国在网络安全政策上主张“谁接入,谁负责”、“谁运营,谁负责”,“谁主管、谁负责”,强调网络运营者的“主体责任”,《网安全法》对网络运营者承担的责任提出了明确要求。 在企业办公等SaaS应用场景中,网络运维者包括云服务商、SaaS系统提供(运维)者以及企业用户。应该在SaaS提供服务前进行责任划分,当数据安全出现问题后应具体分析、划清三者的责任。 云计算公司往往会提供IaaS、PaaS及SaaS三个层级中的一个或多个层级的服务。如微盟这样SaaS类公司,通常会选择可提供IaaS、PaaS的上游服务商,将重要的数据存在云上,并在此基础上,为下游的商户提供开通、运维微信小程序等服务。 目前,安全责任共担模式在业界已经达成共识,亚马逊AWS、微软Azure、阿里云、腾讯云等均已经形成了明确的安全责任划分标准,不同的安全事件,由不同的对象承担责任。同时,采用了必要的安全措施,并与SaaS、云安全服务商、用户共同构建安全策略,共担风险。 例如,基础设施损坏、网络中断带来的安全事件,租户使用了SaaS服务,责任方在公有云提供商; 因数据未加密(被盗链)、系统的漏洞(应用安全)带来的安全事件,租户使用了SaaS服务,责任方在SaaS应用提供商; 用户弱密码,身份被盗用(数据安全)带来的安全事件,用户身份和数据安全都由租户方用户管理负责。 但这几年云服务商意外事件导致数据丢失的案例层出不穷,对于重要的数据,用户仍需要考虑数据的安全备份。 腾讯云的技术专家告诉中国软件网记者,通过梳理近年来层出不穷的数据安全事件,不难发现:既有黑客的攻击,也有内部工作人员的信息贩卖、离职员工的删库、开发测试人员误操作等,多种原因导致的数据安全事件背后折射出的是,仅仅依靠单点防护难以达到真正的安全防护效果,而构建基于全生命周期的安全防护成为必然选择。 值得一提的是,企业上云大潮的趋势下,讨论数据安全绝大部分要从云环境出发,云原生的数据保护技术和策略也将成为当下及未来的主要手段。 03、SaaS服务商的安全“担当”
介于公有云服务与用户之间的SaaS服务商,在保障SaaS应用和用户数据安全方面,都颇有建树 神州云动CloudCC CTO 张长文介绍了公司保证自己用户SaaS应用安全的几个动作,包括:在网络传输层面,全面采用了高强度的HTTPS加密传输,使用目前最新的TLS1.2传输协议,保证了数据在网络传输过程中的安全。 从登录账户层面,用户可以设置高安全级别的密码策略,防暴力破解密码锁定、验证码,还可以结合移动设备扫码登录,企业可以设定账户的登录时间段,以及绑定IP的登录设备等来保证用户的账户安全。 在SaaS服务端,神州云动与阿里云、AWS等一流云厂商合作,保证SaaS服务可以安全稳定的运行,所有服务均采用多可用区部署,高可用高安全,解决异地容灾的问题,与阿里云、亚马逊AWS等云厂商安全责任共担。 浪潮云会计事业部总经理李民给记者介绍了一个SaaS应用安全案例。某代账企业购买使用浪潮的云会计,将某员工账号设置为管理员,因企业内部问题导致该员工离职并拒绝恢复密码。 (编辑:PHP编程网 - 湛江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
