|
SaaS三大威脅及防御戰(zhàn)略
在面臨云計(jì)算應(yīng)用中的安全性問(wèn)題時(shí)(特別是在軟件即服務(wù)SaaS級(jí)別)���,密碼管理不當(dāng)和不安全協(xié)議威脅都將會(huì)對(duì)您的系統(tǒng)保密造成破壞或數(shù)據(jù)泄露�,同時(shí)可能需要由您的企業(yè)來(lái)承擔(dān)法律責(zé)任。在本文中���,我們將探討SaaS所帶來(lái)的三大威脅�,以及能夠預(yù)先采取措施減輕這些威脅的戰(zhàn)略�����。
在SaaS云服務(wù)中最具威脅的因素是什么����?
由于SaaS模式一般是基于一個(gè)瘦型或Web客戶端,或一組Web服務(wù)����,因此大多數(shù)威脅都被留給了供應(yīng)商�。而事實(shí)上����,供應(yīng)商處理了幾乎所有的威脅問(wèn)題�。這其中對(duì)于合同的理解和恰當(dāng)處理是很重要的。盡管如此�,我的經(jīng)驗(yàn)表明SaaS產(chǎn)品中您必須處理的三大威脅如下:易損證書
不安全協(xié)議 基于Web的應(yīng)用缺陷
易損或不安全的證書所有有安全需求的云應(yīng)用都需要用戶登錄。有許多安全機(jī)制可提高訪問(wèn)安全性��,比如說(shuō)通行證或智能卡�,而最為常用的方法是可重用的用戶名和密碼。對(duì)于那些缺乏標(biāo)準(zhǔn)管理的證書����,密碼的強(qiáng)度最小(例如需要的長(zhǎng)度和字符集過(guò)短),也沒(méi)有密碼管理(過(guò)期)����。密碼失效是攻擊者獲得信息的首選方法,而容易被猜到的密碼則是主要目標(biāo)����。對(duì)于該威脅的最佳緩解措施是:創(chuàng)建一個(gè)高強(qiáng)度密碼。建議使用基于短句變形的密碼�����,且至少8個(gè)字符長(zhǎng)。
例如����,將短句“What a great one for me to know!”變形為“Wagr814me2know!”每90天修改一次您的密碼,時(shí)間長(zhǎng)度必須基于數(shù)據(jù)的敏感程度�����,不要使用舊密碼或不安全的協(xié)議����。
云應(yīng)用是遠(yuǎn)程定義,因此需要基于網(wǎng)絡(luò)協(xié)議功能的通信��。但是當(dāng)供應(yīng)商配置應(yīng)用使用不安全的協(xié)議時(shí)����,就可能發(fā)生問(wèn)題。這意味著應(yīng)用會(huì)在客戶端和服務(wù)器之間使用不具保密性和完整性的協(xié)議傳遞信息���。用戶和管理員都經(jīng)常遇到這類問(wèn)題����。使用不安全協(xié)議的應(yīng)用往往會(huì)將使數(shù)據(jù)暴露給數(shù)據(jù)傳送沿途的任何人,例如遠(yuǎn)程訪問(wèn)的Telnet�����、文件傳輸?shù)奈募鬏攨f(xié)議(FTP)�、用于郵件的郵局協(xié)議(POP)與互聯(lián)網(wǎng)消息訪問(wèn)協(xié)議(IMAP)��、以及基于網(wǎng)絡(luò)訪問(wèn)的超文本傳輸協(xié)議(HTTP)����。
為了減輕不安全協(xié)議的威脅,您有三種選擇要求供應(yīng)商替換該協(xié)議����。例如使用安全殼(SSH)替代用于遠(yuǎn)程終端訪問(wèn)的Telnet。
要求供應(yīng)商支持該協(xié)議的安全版本����。例如FTP安全(FTPS),使用SSL的POP��,SSL的IMAP和超文本傳輸協(xié)議安全(HTTPS)�。
使用應(yīng)用保護(hù)連接上的數(shù)據(jù)。這要求應(yīng)用在數(shù)據(jù)上線之前進(jìn)行加密��。注意這是最不可取的選擇,因?yàn)樗婕昂诵墓芾韱?wèn)題�����。了解HTTP:在我們談及HTTP時(shí)重要的是要認(rèn)識(shí)到我們并不是要討論您HTTP的起源�。使用HTTP協(xié)議、XML����、AJAX等作為通用封裝運(yùn)送允許應(yīng)用通過(guò)HTTP管道傳送幾乎任何東西。當(dāng)您聽(tīng)到HTTP�����,您可能會(huì)想到“網(wǎng)絡(luò)”�����。但是在實(shí)際中���,應(yīng)用可能甚至?xí)l(fā)送您所不了解的數(shù)據(jù)���。
基于網(wǎng)絡(luò)的應(yīng)用缺陷:第三大威脅是當(dāng)客戶有能力將適用范圍擴(kuò)大時(shí),也可能引入應(yīng)用缺陷和安全風(fēng)險(xiǎn)�。此類威脅會(huì)隨具體應(yīng)用而變化�����,但也不容忽視��。要成功化解這類威脅,您需要理解您試圖擴(kuò)展的應(yīng)用�����。對(duì)應(yīng)用程序編程接口(API)和安全特性進(jìn)行適當(dāng)?shù)呐嘤?xùn)是成功的關(guān)鍵���。
我們已解決了公共云SaaS產(chǎn)品的三大威脅���。管理好您的證書,使用適當(dāng)協(xié)議保護(hù)數(shù)據(jù)和證書�����,避免引入安全漏洞��,將有助于您安全的實(shí)施SaaS解決方案���。
|
