微軟資料外洩事件突顯 SaaS 的安全問題

2021-05-24 01:24:35 字數 786 閱讀 1027

google、微軟以及數不清的其他saas供貨商,都曾發生過資料外洩事件。比較起來,這一次還算是輕微的:一位應該是微軟的員工,因為組態設定的錯誤而產生乙個全域性性的漏洞。還好,微軟自行發現了這個問題,並且在2小時內修正了問題,而且外洩的資料也還算無害。不過,事故畢竟發生了。

在最近的gartner data center conference 資料中心大會上,擠滿演講廳的一大群首席資訊科技官(cio)和首席安全執行官(cso)們一致認為,公共雲端最大的安全疑慮就是:「其他客戶可能會看到我的資料。」現在,多家saas廠商的資訊保安事件已經實際印證了這項疑慮。

cio們必須在saas和iaas之間作取捨,前者對it部門來說是很方便,但存卻在著應用層級的分租共享風險,而後者雖然有許多環節可以建置資料加密方案,但 it 部門的營運負擔較重。我**,在未來幾年,規模較大的it部門將開始採用iaas來建置大型的雲端專案,理由正是因為iaas能提供比saas更多的安全控管。企業若採用saas,通常就無法使用異地金鑰來將資料加密,而且也無資料外洩預防(dlp)或是許多其他企業級的安全方案可用。

看來,saas供貨商有必要大幅改善其透明度以及資訊保安能力的廣度。如果廠商無法證明他們如何追蹤組態變更,或是無法預防組態設定錯誤,大型的it部門根本就不會將某些資料交給這些廠商代管。

不過,話說回來,如果您因為組態設定的錯誤而導致exchange通訊簿外洩,您自己的it部門是否有辦法在二小時內發現並修正問題,就像 微軟這次的案例一樣? 如果您的it部門規模不大,saas供貨商的安全措施,尤其是 微軟、google或salesforce.com這類的大型供貨商,或許會比您自己的作法更安全也說不定。

S S 微軟克制SaaS的未來戰略?

在 程式設計師 雜誌2007年第十期的 2.0時代的軟體商業模式 saas 專題中,作者方舟撰文 服務不夠,還得有軟體 微軟s s戰略初窺 的文章中,介紹了微軟目前提出的software plus services s s 戰略。軟體領域從來不缺少名詞,比如現在比較熱門的web 2.0 soa re...

SaaS普及引發SaaS使用者對資料整合的需求

本文講的是saas普及引發saas使用者對資料整合的需求,it168 資訊 整合是it技術普及後的乙個必然結果。在saas出現之前,我們就已經經歷了整合 包括資料 應用整合 之苦,甚至時至今日,整合仍是很多企業cio主要的工作內容之一。為了解決it系統之間的整合問題,不少企業花了很大力氣,投入了不少...

i春秋 日益增多的企業重要資料外洩

實驗環境 目標 www.test.ichunqiu實驗工具 實驗目的 本課程通過對資料 文件外洩的危害演示,來讓大家學習應對該種情況時所需要採用的防禦策略。實驗思路 1.掃瞄目標敏感目錄 2.發現目錄遍歷並找到敏感資料庫 4.資料外洩防禦的理論方案 實驗步驟 1 開啟目標站點www.test.ich...