將遺留應(yīng)用程序遷移到平臺即服務(wù)(PaaS)公共云產(chǎn)品，或?qū)⑦z留數(shù)據(jù)轉(zhuǎn)入軟件 即服務(wù)(SaaS)應(yīng)用，其中的好處之一就是獲得額外的安全服務(wù)。然而，應(yīng)用云通常會增加企業(yè)的安全責任，特別是開發(fā)團隊，并帶來新的風險。其中的一些風 險和責任在所有公共云類型中常見，而有一些對于SaaS或PaaS提供商來說是獨一無二的。

　　無論是選擇PaaS還是SaaS，數(shù)據(jù)都將轉(zhuǎn)移到企業(yè)防火墻之外，Denim Group是一家軟件安全咨詢公司負責人Dan Cornell說這會讓“災(zāi)難性事件發(fā)生幾率更大。”黑客們越來越關(guān)注于數(shù)據(jù)，而不是破壞系統(tǒng)，并且黑客們變得更加有經(jīng)驗和創(chuàng)新。

　　451 Research的一個研究部門Tier1 Research的基礎(chǔ)設(shè)施和云計算的分析師Carl Brooks說，將數(shù)據(jù)放在一個共享的公共云也可以產(chǎn)生一些關(guān)于其他使用相同服務(wù)的偏執(zhí)的人。在遷移數(shù)據(jù)之前，詢問SaaS供應(yīng)商是如何防止信息泄露給另 一個客戶。別人能修改我的數(shù)據(jù)嗎？

　　為了防止產(chǎn)生偏執(zhí)，分析師James Staten將個人安全與云安全相比。Forrester Research的副總裁Staten說：“在你家里搶劫比試圖在一個體育場找到你更容易。云通過混淆提供安全。”同樣，對于一個黑客來說，獲取一個公司 的數(shù)據(jù)比在公共云中發(fā)現(xiàn)該公司更加容易。他說這是一個使公共云更加安全的特性。

　　讓公共云提供商在服務(wù)水平協(xié)議(SLA)中負責物理和網(wǎng)絡(luò)安全，是因為專家說這是企業(yè)可以稍微發(fā)揮控制的兩個領(lǐng)域。然后，認識到企業(yè)自身擔負著安全的主要責任。Brooks說最佳安全實踐的關(guān)鍵在于開發(fā);即在應(yīng)用開發(fā)和部署的所有階段建立安全需求。

　　日常的企業(yè)安全實踐價值也是如此。Staten 說：“讓所有端口打開，并且暴露出所有的IP地址，企業(yè)數(shù)據(jù)在云中比在數(shù)據(jù)中心更加脆弱，但是那是你自己的錯，而不是云的錯。”

　　公共云安全問題止于開發(fā)

　　Cornell說開發(fā)團隊對企業(yè)安全立場有著最大的影響，不論是在內(nèi)部還是在云中。他們很了解他們應(yīng)用程序的漏洞，以及哪些弱點在共享環(huán)境中會被利用。

　　諷刺的是， 專家說，但企業(yè)開發(fā)人員的安全職責減少時，公共云主流化，由于自動化IT人員使得數(shù)據(jù)中心的安全系統(tǒng)更加專業(yè)化、成熟。現(xiàn)在，云正將包括QA和DevOps的開發(fā)團隊推動到傳統(tǒng)的冗余安全編碼和更廣闊的安全測試中。

　　考慮到云安全，必須創(chuàng)建一個超大測試實踐的超集。Cornell說標準的企業(yè)測試，通常為單租戶Web應(yīng)用設(shè)計，不足以為多租戶公共云設(shè)計。

　　SaaS數(shù)據(jù)和應(yīng)用安全

　　應(yīng)用訪問是SaaS云安全熱點。當測試與多租戶SaaS應(yīng)用程序沖突時，身份驗證和授權(quán)測試優(yōu)先。訪問安全的責任依賴于SaaS提供商和企業(yè)。

　　Cornell說測試和開發(fā)團隊必須考查供應(yīng)商，以確保他們正在實施適當?shù)目刂啤Ｓ肧aaS服務(wù)水平協(xié)議設(shè)置測試權(quán)利和責任。Brooks說了解數(shù)據(jù)轉(zhuǎn)移到SaaS云應(yīng)用程序之前，期間以及之后，每一方將做哪些測試。

　　Cornell已經(jīng)看到組織的SLA規(guī)定，他們的團隊將有權(quán)測試SaaS提供商的安全。他說例如，他們保留在季度派遣測試人員試圖闖入SaaS系統(tǒng)的權(quán)利，并且要求任何他們識別的漏洞都能被修復(fù)。

　　Brooks說SLA中， SaaS提供商負責運行測試和修復(fù)缺陷的責任細節(jié)。沒有書面文檔，就很難把漏洞修復(fù)。他說：“否則，除了客戶滿意度，客戶就沒有杠桿使供應(yīng)商采取行動。”

　　好消息是，SaaS是一個成熟的技術(shù)，有許多成熟的提供商。同時，SaaS提供商比大多數(shù)個人組織有更高的安全預(yù)算。

　　市場潮流中的PaaS安全

　　PaaS是一個用于承載應(yīng)用程序、存儲和開發(fā)實驗室的平臺， 專家說所有數(shù)據(jù)保護的領(lǐng)域是至關(guān)重要的。PaaS供應(yīng)商的加密、數(shù)據(jù)可用性和API關(guān)鍵安全能力——所有傳統(tǒng)的企業(yè)開發(fā)人員的責任—采用之前必須仔細地分 析。專家說確保PaaS提供商的框架、代碼庫、缺陷跟蹤、版本控制和其他應(yīng)用程序生命周期管理工具和企業(yè)是兼容的。同時，PaaS提供商應(yīng)該為改善這些流 程，提供一個被設(shè)置在SLA的路線圖。

　　雖然PaaS提供商的安全能力測試是重要的，研究其穩(wěn)定性和字符應(yīng)該占據(jù)中心位置。與SaaS的 成熟、完善的供應(yīng)商基礎(chǔ)相比—想想Salesforce.com—PaaS相當于蠻荒的美國西部。Brooks 說“一方面，你有PaaS初創(chuàng)公司、谷歌和亞馬遜，有20人坐在一個小房間，吃薯片和工作20小時，做一些創(chuàng)新的工作”。

　　組織的穩(wěn)定和金融力量可能會起破壞作用，Cornell已經(jīng)看到組織不得不放棄PaaS啟動，雖然它為他們特定的業(yè)務(wù)問題提供了一個強大的解決方案。

　　Cornell說：“更小的PaaS提供商通常沒有一個巨大的像亞馬遜那樣的穩(wěn)定金融。”這并不是說較小的提供商更不安全，簡單來說，有不同的金融穩(wěn)定 性的風險方程。為了抵御這種風險，企業(yè)開發(fā)人員必須編纂如果以及如何阻止他們的代碼成為破產(chǎn)的提供者的系統(tǒng)。同時，Cornell建議在進入到自定義任務(wù) 關(guān)鍵型應(yīng)用程序開發(fā)之前，在PaaS服務(wù)之上，應(yīng)該構(gòu)建更小的應(yīng)用程序。

　　有些PaaS產(chǎn)品只是穿著云服裝的虛擬化系統(tǒng)。Brooks 說：“他們重新利用那些并不是為了在云中運行的技術(shù)。”經(jīng)常看到他們修改之前被一個用戶或組織使用過的系統(tǒng)。

　　Brooks說：“這些技術(shù)大多數(shù)是為了用在一切運行在防火墻內(nèi)部的地方，是可信的，或至少與信任相同級別”。他們不只是關(guān)注于人們上傳惡意代碼到他們 的PaaS部分，也關(guān)注于提供能讓開發(fā)人員運行他們代碼的功能。他說“惡意代碼會環(huán)顧四周，看是否能看到其他合法用戶的數(shù)據(jù)，或操縱那些合法用戶正在運行 的過程。”

　　開發(fā)團隊的底線？

　　開發(fā)團隊在云中將做技術(shù)偵察和保護應(yīng)用程序的日常工作。專家說，任何使用或者評估公共云服務(wù)的企業(yè)必須使其開發(fā)團隊快速掌握云安全問題、技術(shù)和實踐，特別是在多租戶環(huán)境下保護數(shù)據(jù)和應(yīng)用程序與將數(shù)據(jù)從企業(yè)移動到云的差異。