1.云标准非常薄弱。
ISO27001是相当全面的标准,涵盖了客户关心的许多操作安全问题。
“对我而言,这至少是评估SaaS供应商成熟度的基本基础”。
王说。
但是,将数据移交给已通过ISO27001标准的供应商并不能保证数据的安全性。
调查发现,许多公司声称遵守ISO27001标准,但随后承认“特权用户管理中存在缺陷”,包括在用户之间共享管理员帐户并向用户授予不必要的更广泛的特权。
其次,云计算中的身份验证还不成熟。
Forrester分析师ChenxiWang表示,云提供商本身不会将身份验证服务(通常存在于公司防火墙后的服务)完全添加到其云计算平台中。
有一些第三方技术可让IT部门加强云计算中基于角色的访问控制。
但是总的来说,“该领域仍处于早期阶段”。
她说。
“企业应用程序身份验证和访问控制的管理仍然是IT部门面临的最大挑战”。
根据云安全联盟的研究,“尽管企业可以在没有良好的认证和访问管理策略服务的情况下部署云计算,但是从长远来看,将企业身份验证服务扩展到云服务是非常必要的。
& rdquo;三。
机密性云供应商认为,他们可以比普通客户自己更好地保护数据安全,并且SaaS实际上比大多数人认为的更安全。
但是许多客户感到难以置信,因为SaaS供应商通常会对他们的安全程序保持相当机密。
特别是,许多云服务提供商很少发布有关其数据中心和运营的详细数据,并声称这样做会破坏安全性。
但是,长期以来,客户和行业专家已经厌倦了所有悬而未决的问题和保密协议。
在某些情况下,如果供应商愿意,则客户可以致电自己的专家,并尝试进入供应商的网络进行安全测试。
第四,您并不总是知道数据的位置,但这仍然是一个相对罕见的功能。
即使数据存储在一个国家/地区,客户也需要能够确认数据的位置以满足法规要求。
这也是EMC正在开发的跟踪和验证虚拟机在云网络中的位置的技术,但是该技术要到明年才可用,并且需要集成EMC,VMware和Intel产品。
“现在,没有任何技术可以验证虚拟机的位置”。
VMware EMC技术副总裁Chad Sakac说。
“没有任何错误可以阻止您将虚拟机转移到世界上的任何位置,更重要的是,也没有办法审核此转移。
& rdquo;
