顯而易見地，軟件即服務(SaaS)正在持續(xù)成長中，也持續(xù)被企業(yè)和家庭用戶所接受。跟據(jù)Gartner在2011年7月所公布的消息，SaaS的營收規(guī)模在2010年達到100億美元，而且還在成長中。事實上，Gartner公司預估在2011年會成長20%以上，來到121億美元。

根據(jù)Gartner對SaaS的定義，軟件”被一個或多個供應商所擁有、提供和遠端管理。供應商透過通用的程序代碼和數(shù)據(jù)設定來提供應用程序，而且采取一對多的模式來提供給簽約客戶隨時取用?？梢圆扇∈褂昧坑嬞M，或者其他多種套餐訂閱模式”。而幾乎每個相關主題的文章或演講會舉的例子都是Salesforce.com，雖然他們是SaaS領域里主要的供應商，但是要知道，SaaS有多種不同的類型。客戶關系管理、人力資源管理、云端備份、協(xié)作平臺、會計審核平臺、服務支持中心管理、托管服務和網頁/電子郵件過濾等等，不勝枚舉。

對于供應商和客戶來說，可以明顯的看出經濟效益，用戶使用SaaS的成本，和自己購買軟件加上布署的成本比起來是吸引的多。因為集中化的特質，SaaS供應商可以更迅速和容易地去更新以及管理軟件和服務，可以直接觀察客戶使用模式來改善應用程序。而它的可擴展性和以量計價模式對于客戶和供應商來說都極具吸引力。另外，它也提供更有彈性的整合能力和開放界面，許多SaaS供應商開始提供社群媒體模式的協(xié)作功能或開放界面(APIs)。

雖然SaaS能夠提供靈活和具有成本效益的應用使用環(huán)境來取代傳統(tǒng)模式，但它并非沒有風險。因為轉移到托管平臺，而不是留在自己內部，企業(yè)必然會犧牲許多對于營運環(huán)境的控制。特別是在SaaS里，你幾乎只能選擇要上傳或不上傳某些數(shù)據(jù)，而剩下的就不是你能掌控了。但是你還是得為自己的數(shù)據(jù)保護負起法律和監(jiān)管責任。

SaaS環(huán)境下的風險有許多種，而且大多數(shù)都和它所提供的好處相關。正如前面提到的，你的供應商透過某些網絡分析來了解你對服務平臺的使用狀況，他們也能夠存取你所有的數(shù)據(jù)，這會產生未經授權存取或被內部員工監(jiān)控的風險。

系統(tǒng)的集中化特質和多租戶(Multi-tenanted)環(huán)境底下的單一設定模式意味著，如果有一個漏洞影響到一個客戶，那么很有可能會讓其他客戶也都受到相同的影響。EPSILON數(shù)據(jù)外泄事件就是一個最近的例子，而它也影響了許多使用同一個SaaS供應商的Fortune 500大公司。弱點攻擊可能牽涉的范圍很廣。如果沒有正確地設計，開發(fā)和設定的話，多數(shù)SaaS供應商會使用的常見協(xié)定和軟件堆疊，例如HTTP、XML / SOAP、JSON、CSS和JavaScript，都有現(xiàn)成并且常常會被利用的漏洞。如果服務平臺提供更大的彈性來允許客制化和外部整合(一個SaaS廠商的重要賣點)，就越有機會讓一些客戶產生出漏洞，而讓其他廠商也承受被攻擊的后果。這是多租戶環(huán)境下的必然后果。

五個關鍵的安全問題要問你的SaaS供應商：

1 - 滲透測試 - 如何以及多常進行整個環(huán)境的滲透測試，是否有能力自己獨立對部分環(huán)境進行滲透測試?如果沒有常常進行深入的滲透測試，你就不能得知當前安全狀況的全貌。

2 - 數(shù)據(jù)安全 - 在使用資源共享的SaaS供應商數(shù)據(jù)中心時，如何對儲存和傳輸中的數(shù)據(jù)進行加密?誰可以拿到加密金鑰?是否有做權責區(qū)分(separation of duties)，并將加密金鑰和數(shù)據(jù)維護分開負責?供應商是否能提供你SAS 70報告?

3 - 多租戶 - 是否有提供單一租戶托管的選項?還要確認單一租戶是否只包括應用程序，還是也包括數(shù)據(jù)儲存的部份?

4 - 災難復原 - 當發(fā)生災難性故障、受到外部入侵或數(shù)據(jù)遺失時，有準備備份和回復的程序嗎?備份的數(shù)據(jù)儲存在哪里(再次提醒，需要加密)以及如何有效地回復?

5 - 用戶驗證 - SaaS應用程序的登入程序為何?是否使用多因子認證?是否可以和客戶正在使用中的認證機制做整合?

【編輯推薦】

1. SaaS供應商云安全問題的五大質問
2. 聚焦移動領域優(yōu)化虛擬機防護：趨勢科技云安全升級5.0
3. 第二屆RSA中國大會：可信計算與云安全成熱點
4. 云安全：利用網格云對抗應用層DDoS
5. 云安全之商業(yè)信息誰來保障？