將遺留應(yīng)用程序遷移到平臺(tái)即服務(wù)(PaaS)公共云產(chǎn)品，或?qū)⑦z留數(shù)據(jù)轉(zhuǎn)入軟件即服務(wù)(SaaS)應(yīng)用，其中的好處之一就是獲得額外的安全服務(wù)。然而，應(yīng)用云通常會(huì)增加企業(yè)的安全責(zé)任，特別是開發(fā)團(tuán)隊(duì)，并帶來新的風(fēng)險(xiǎn)。其中的一些風(fēng)險(xiǎn)和責(zé)任在所有公共云類型中常見，而有一些對(duì)于SaaS或PaaS提供商來說是***的。

無論是選擇PaaS還是SaaS，數(shù)據(jù)都將轉(zhuǎn)移到企業(yè)防火墻之外，Denim Group是一家軟件安全咨詢公司負(fù)責(zé)人Dan Cornell說這會(huì)讓“災(zāi)難性事件發(fā)生幾率更大。”黑客們?cè)絹碓疥P(guān)注于數(shù)據(jù)，而不是破壞系統(tǒng)，并且黑客們變得更加有經(jīng)驗(yàn)和創(chuàng)新。

451 Research的一個(gè)研究部門Tier1 Research的基礎(chǔ)設(shè)施和云計(jì)算的分析師Carl Brooks說，將數(shù)據(jù)放在一個(gè)共享的公共云也可以產(chǎn)生一些關(guān)于其他使用相同服務(wù)的偏執(zhí)的人。在遷移數(shù)據(jù)之前，詢問SaaS供應(yīng)商是如何防止信息泄露給另一個(gè)客戶。別人能修改我的數(shù)據(jù)嗎?

為了防止產(chǎn)生偏執(zhí)，分析師James Staten將個(gè)人安全與云安全相比。Forrester Research的副總裁Staten說：“在你家里搶劫比試圖在一個(gè)體育場(chǎng)找到你更容易。云通過混淆提供安全。”同樣，對(duì)于一個(gè)黑客來說，獲取一個(gè)公司的數(shù)據(jù)比在公共云中發(fā)現(xiàn)該公司更加容易。他說這是一個(gè)使公共云更加安全的特性。

讓公共云提供商在服務(wù)水平協(xié)議(SLA)中負(fù)責(zé)物理和網(wǎng)絡(luò)安全，是因?yàn)閷＜艺f這是企業(yè)可以稍微發(fā)揮控制的兩個(gè)領(lǐng)域。然后，認(rèn)識(shí)到企業(yè)自身擔(dān)負(fù)著安全的主要責(zé)任。Brooks說***安全實(shí)踐的關(guān)鍵在于開發(fā);即在應(yīng)用開發(fā)和部署的所有階段建立安全需求。

日常的企業(yè)安全實(shí)踐價(jià)值也是如此。Staten 說：“讓所有端口打開，并且暴露出所有的IP地址，企業(yè)數(shù)據(jù)在云中比在數(shù)據(jù)中心更加脆弱，但是那是你自己的錯(cuò)，而不是云的錯(cuò)。”

公共云安全問題止于開發(fā)

Cornell說開發(fā)團(tuán)隊(duì)對(duì)企業(yè)安全立場(chǎng)有著***的影響，不論是在內(nèi)部還是在云中。他們很了解他們應(yīng)用程序的漏洞，以及哪些弱點(diǎn)在共享環(huán)境中會(huì)被利用。

諷刺的是， 專家說，但企業(yè)開發(fā)人員的安全職責(zé)減少時(shí)，公共云主流化，由于自動(dòng)化IT人員使得數(shù)據(jù)中心的安全系統(tǒng)更加專業(yè)化、成熟。現(xiàn)在，云正將包括QA和DevOps的開發(fā)團(tuán)隊(duì)推動(dòng)到傳統(tǒng)的冗余安全編碼和更廣闊的安全測(cè)試中。

考慮到云安全，必須創(chuàng)建一個(gè)超大測(cè)試實(shí)踐的超集。Cornell說標(biāo)準(zhǔn)的企業(yè)測(cè)試，通常為單租戶Web應(yīng)用設(shè)計(jì)，不足以為多租戶公共云設(shè)計(jì)。

SaaS數(shù)據(jù)和應(yīng)用安全

應(yīng)用訪問是SaaS云安全熱點(diǎn)。當(dāng)測(cè)試與多租戶SaaS應(yīng)用程序沖突時(shí)，身份驗(yàn)證和授權(quán)測(cè)試優(yōu)先。訪問安全的責(zé)任依賴于SaaS提供商和企業(yè)。

Cornell說測(cè)試和開發(fā)團(tuán)隊(duì)必須考查供應(yīng)商，以確保他們正在實(shí)施適當(dāng)?shù)目刂啤Ｓ肧aaS服務(wù)水平協(xié)議設(shè)置測(cè)試權(quán)利和責(zé)任。Brooks說了解數(shù)據(jù)轉(zhuǎn)移到SaaS云應(yīng)用程序之前，期間以及之后，每一方將做哪些測(cè)試。

Cornell已經(jīng)看到組織的SLA規(guī)定，他們的團(tuán)隊(duì)將有權(quán)測(cè)試SaaS提供商的安全。他說例如，他們保留在季度派遣測(cè)試人員試圖闖入SaaS系統(tǒng)的權(quán)利，并且要求任何他們識(shí)別的漏洞都能被修復(fù)。

Brooks說SLA中， SaaS提供商負(fù)責(zé)運(yùn)行測(cè)試和修復(fù)缺陷的責(zé)任細(xì)節(jié)。沒有書面文檔，就很難把漏洞修復(fù)。他說：“否則，除了客戶滿意度，客戶就沒有杠桿使供應(yīng)商采取行動(dòng)。”

好消息是，SaaS是一個(gè)成熟的技術(shù)，有許多成熟的提供商。同時(shí)，SaaS提供商比大多數(shù)個(gè)人組織有更高的安全預(yù)算。#p# 

市場(chǎng)潮流中的PaaS安全

PaaS是一個(gè)用于承載應(yīng)用程序、存儲(chǔ)和開發(fā)實(shí)驗(yàn)室的平臺(tái)， 專家說所有數(shù)據(jù)保護(hù)的領(lǐng)域是至關(guān)重要的。PaaS供應(yīng)商的加密、數(shù)據(jù)可用性和API關(guān)鍵安全能力——所有傳統(tǒng)的企業(yè)開發(fā)人員的責(zé)任—采用之前必須仔細(xì)地分析。專家說確保PaaS提供商的框架、代碼庫(kù)、缺陷跟蹤、版本控制和其他應(yīng)用程序生命周期管理工具和企業(yè)是兼容的。同時(shí)，PaaS提供商應(yīng)該為改善這些流程，提供一個(gè)被設(shè)置在SLA的路線圖。

雖然PaaS提供商的安全能力測(cè)試是重要的，研究其穩(wěn)定性和字符應(yīng)該占據(jù)中心位置。與SaaS的成熟、完善的供應(yīng)商基礎(chǔ)相比—想想Salesforce.com—PaaS相當(dāng)于蠻荒的美國(guó)西部。Brooks 說“一方面，你有PaaS初創(chuàng)公司、谷歌和亞馬遜，有20人坐在一個(gè)小房間，吃薯片和工作20小時(shí)，做一些創(chuàng)新的工作”。

組織的穩(wěn)定和金融力量可能會(huì)起破壞作用，Cornell已經(jīng)看到組織不得不放棄PaaS啟動(dòng)，雖然它為他們特定的業(yè)務(wù)問題提供了一個(gè)強(qiáng)大的解決方案。

Cornell說：“更小的PaaS提供商通常沒有一個(gè)巨大的像亞馬遜那樣的穩(wěn)定金融。”這并不是說較小的提供商更不安全，簡(jiǎn)單來說，有不同的金融穩(wěn)定性的風(fēng)險(xiǎn)方程。為了抵御這種風(fēng)險(xiǎn)，企業(yè)開發(fā)人員必須編纂如果以及如何阻止他們的代碼成為破產(chǎn)的提供者的系統(tǒng)。同時(shí)，Cornell建議在進(jìn)入到自定義任務(wù)關(guān)鍵型應(yīng)用程序開發(fā)之前，在PaaS服務(wù)之上，應(yīng)該構(gòu)建更小的應(yīng)用程序。

有些PaaS產(chǎn)品只是穿著云服裝的虛擬化系統(tǒng)。Brooks 說：“他們重新利用那些并不是為了在云中運(yùn)行的技術(shù)。”經(jīng)常看到他們修改之前被一個(gè)用戶或組織使用過的系統(tǒng)。

Brooks說：“這些技術(shù)大多數(shù)是為了用在一切運(yùn)行在防火墻內(nèi)部的地方，是可信的，或至少與信任相同級(jí)別”。他們不只是關(guān)注于人們上傳惡意代碼到他們的PaaS部分，也關(guān)注于提供能讓開發(fā)人員運(yùn)行他們代碼的功能。他說“惡意代碼會(huì)環(huán)顧四周，看是否能看到其他合法用戶的數(shù)據(jù)，或操縱那些合法用戶正在運(yùn)行的過程。”

開發(fā)團(tuán)隊(duì)的底線?

開發(fā)團(tuán)隊(duì)在云中將做技術(shù)偵察和保護(hù)應(yīng)用程序的日常工作。專家說，任何使用或者評(píng)估公共云服務(wù)的企業(yè)必須使其開發(fā)團(tuán)隊(duì)快速掌握云安全問題、技術(shù)和實(shí)踐，特別是在多租戶環(huán)境下保護(hù)數(shù)據(jù)和應(yīng)用程序與將數(shù)據(jù)從企業(yè)移動(dòng)到云的差異。