【IT168 信息化】
据PCWorld报导,微软云端商业软件包BPOS发生客户数据遭该软件其他客户存取并下载的事故。
Google、微软以及数不清的其他SaaS供货商,都曾发生过资料外泄事件。比较起来,这一次还算是轻微的:一位应该是微软的员工,因为组态设定的错误而产生一个全局性的漏洞。还好,微软自行发现了这个问题,并且在2小时内修正了问题,而且外泄的数据也还算无害。不过,事故毕竟发生了。
在最近的GartnerDataCenterConference数据中心大会上,挤满演讲厅的一大群首席信息技术官(CIO)和首席安全执行官(CSO)们一致认为,公共云端最大的安全疑虑就是:“其他客户可能会看到我的数据。”现在,多家SaaS厂商的信息安全事件已经实际印证了这项疑虑。
CIO们必须在SaaS和IaaS之间作取舍,前者对IT部门来说是很方便,但存却在着应用层级的分租共享风险,而后者虽然有许多环节可以建置数据加密方案,但IT部门的营运负担较重。我预测,在未来几年,规模较大的IT部门将开始采用IaaS来建置大型的云端项目,理由正是因为IaaS能提供比SaaS更多的安全控管。企业若采用SaaS,通常就无法使用异地密钥来将数据加密,而且也无数据外泄预防(DLP)或是许多其他企业级的安全方案可用。
看来,SaaS供货商有必要大幅改善其透明度以及信息安全能力的广度。如果厂商无法证明他们如何追踪组态变更,或是无法预防组态设定错误,大型的IT部门根本就不会将某些数据交给这些厂商代管。
不过,话说回来,如果您因为组态设定的错误而导致Exchange通讯簿外泄,您自己的IT部门是否有办法在二小时内发现并修正问题,就像微软这次的案例一样?如果您的IT部门规模不大,SaaS供货商的安全措施,尤其是微软、Google或Salesforce.com这类的大型供货商,或许会比您自己的作法更安全也说不定。