《企业网D1Net》11月4日讯

安全即服务是一种云服务时代的产物，提供了低成本高质量的安全服务，非常适应目前网络时代的发展潮流。不过，世界上并不存在完美的服务，因此安全即服务必然也是如此。它会在一定程度上给企业用户带来风险，从而导致企业信息泄露的危险。

安全即服务的风险

1. 云供应商对你的数据拥有一定程度的访问权限。云供应商必须谨慎处理安全相关的数据，因为这些数据的泄露可能导致多个数据泄露事故。更全面的云计算服务应使用加密技术，但这里仍然存在供应商密钥管理的问题。对于需要拥有最高数据保密性的应用的企业，最好考虑使用内部解决方案。

2. 安全即服务将是从互联网访问。对于内部系统，安全专业人员不需要考虑这个风险，在过去，将内部防火墙管理工具暴露在互联网从来都是不被接受的做法。这些服务器的身份验证系统必须提供强大的多因素身份验证，以确保适当的保护水平。你还需要考虑潜在的DoS攻击，如果没有强大的保护，攻击者可能会修改服务或者阻止企业管理或访问这些服务。

3. 安全即服务供应商间输出服务的开放标准不太可能。使用这些服务的企业需要明白供应商间的任何切换将是完全手动的操作，包括在新供应商处重新建立防火墙规则、虚拟机配置和身份验证方法。

4. 企业应该进行详细的供应商尽职调查审计，以对待任何其他云服务供应商的方式来对待安全即服务。企业应该仔细选择供应商，并调查其财务状况，以确保他们不会突然人间蒸发。彻底检查服务供应商的信息安全状态，从SAS-70或者SSAE-16审计报告以及漏洞评估报告开始。企业需要完全信任云供应商，所以，这种审计是至关重要的。

5. 对于基于云计算的安全服务，合规是另一个难以解决的问题。一个服务可以提供一流的审计报告，并满足所有尽职调查的技术要求，然而，却可能仍然不能满足合约或法律协议，例如HIPAA法案要求的商业伙伴合约（Business Associate Agreement）。这种情况正在改善，但企业必须了解安全即服务供应商将如何满足其特定的合规要求。

D1Net评论：

信息安全涉及到企业机密，因此很多企业会非常小心谨慎，因此对于云服务的安全性也会有所顾忌，这是难以避免。因此，这就是安全即服务天使面容下一道难以掩饰的伤疤——风险程度相对较高。企业在选择安全服务时必须清晰地看到它的优点与风险，切忌盲从。