在文章《安全即服務(wù)：云端安全的優(yōu)勢與風(fēng)險（一）》和《安全即服務(wù)：云端安全的優(yōu)勢與風(fēng)險（二）》中，我們主要為讀者講述了企業(yè)需要考慮基于云計算的安全服務(wù)的八個優(yōu)點，那么下面我們一起看看安全即服務(wù)的缺點有哪些：

安全即服務(wù)的風(fēng)險

對于緩解安全風(fēng)險，世界上并不存在完美的工具，安全即服務(wù)也不例外。基于云計算的安全服務(wù)和所有其他云服務(wù)相同的安全風(fēng)險一樣，主要分為以下幾個類別：

1. 云供應(yīng)商對你的數(shù)據(jù)擁有一定程度的訪問權(quán)限。云供應(yīng)商必須謹慎處理安全相關(guān)的數(shù)據(jù)，因為這些數(shù)據(jù)的泄露可能導(dǎo)致多個數(shù)據(jù)泄露事故。更全面的云計算服務(wù)應(yīng)使用加密技術(shù)，但這里仍然存在供應(yīng)商密鑰管理的問題。對于需要擁有最高數(shù)據(jù)保密性的應(yīng)用的企業(yè)，最好考慮使用內(nèi)部解決方案。

2. 安全即服務(wù)將是從互聯(lián)網(wǎng)訪問。對于內(nèi)部系統(tǒng)，安全專業(yè)人員不需要考慮這個風(fēng)險，在過去，將內(nèi)部防火墻管理工具暴露在互聯(lián)網(wǎng)從來都是不被接受的做法。這些服務(wù)器的身份驗證系統(tǒng)必須提供強大的多因素身份驗證，以確保適當?shù)谋Ｗo水平。你還需要考慮潛在的DoS攻擊，如果沒有強大的保護，攻擊者可能會修改服務(wù)或者阻止企業(yè)管理或訪問這些服務(wù)。

3. 安全即服務(wù)供應(yīng)商間輸出服務(wù)的開放標準不太可能。使用這些服務(wù)的企業(yè)需要明白供應(yīng)商間的任何切換將是完全手動的操作，包括在新供應(yīng)商處重新建立防火墻規(guī)則、虛擬機配置和身份驗證方法。

4. 企業(yè)應(yīng)該進行詳細的供應(yīng)商盡職調(diào)查審計，以對待任何其他云服務(wù)供應(yīng)商的方式來對待安全即服務(wù)。企業(yè)應(yīng)該仔細選擇供應(yīng)商，并調(diào)查其財務(wù)狀況，以確保他們不會突然人間蒸發(fā)。徹底檢查服務(wù)供應(yīng)商的信息安全狀態(tài)，從SAS-70或者SSAE-16審計報告以及漏洞評估報告開始。企業(yè)需要完全信任云供應(yīng)商，所以，這種審計是至關(guān)重要的。

5. 對于基于云計算的安全服務(wù)，合規(guī)是另一個難以解決的問題。一個服務(wù)可以提供一流的審計報告，并滿足所有盡職調(diào)查的技術(shù)要求，然而，卻可能仍然不能滿足合約或法律協(xié)議，例如HIPAA法案要求的商業(yè)伙伴合約（Business Associate Agreement）。這種情況正在改善，但企業(yè)必須了解安全即服務(wù)供應(yīng)商將如何滿足其特定的合規(guī)要求。

很多信息安全專業(yè)人士對部署任何類型的外包服務(wù)都充滿焦慮，這是安全即服務(wù)需要考慮的。目前的經(jīng)濟發(fā)展讓很多類型的員工產(chǎn)生一定的抗拒，安全專業(yè)人士擔(dān)心自己被云服務(wù)取代。然而，這些新服務(wù)可以讓安全專業(yè)人士將時間和精力投入到更高水平的戰(zhàn)略性安全項目中，而不是每天的日常維護工作。這將有助于安全計劃實現(xiàn)更高的效率，而這實際上還可能增加工作安全性。此外，誰真的愿意花整晚的時間來編制另一個更新版本的Snort？