软件即服务(SaaS)模式正在迅速成为未来软件开发和部署的趋势，企业对采取SaaS模式所带来的成本节约非常感兴趣，但安全问题也随之成为应用SaaS的最大挑战。根据Forrester公司的调查，安全问题是用户应用SaaS时最常提到的担心，因此，企业目前对于采用SaaS的兴趣还不大。 下面，我们将探讨安全给SaaS应用带来的挑战，以及企业将应用迁移到云上如何确保企业数据安全的策略。

　　SaaS概述

　　SaaS是一种软件部署新手段，它是把软件应用程序作为一个按需服务为客户提供使用授权。 SaaS的供应商可能会利用自有的云计算中心提供服务或者通过第三方云计算基础设施提供服务，比如亚马逊等提供的服务就是建立在谷歌的云计算中心上，这样一来，可以降低SaaS服务提供商部署硬件的成本。

　　此外，SaaS还减少了传统软件维护难的问题，降低软件补丁在企业中部署的复杂性，因此通过使用SaaS，企业可以减少软件本身的费用，以及为支撑软件运行所购买的硬件费用。

　　SaaS安全的必要性

　　SaaS的部署模式让企业的数据不再保留在企业内部，因此企业需要对数据访问进行控制，并开展好法规遵从策略。在SaaS模式下，企业数据所存储的数据中心也同样存有其他企业的数据，这些数据也可能被复制，并在全球各地国家和地区使用。

　　大多数企业都会因此感到担心，他们对数据是如何存储和保护的缺乏控制和能见度，他们对应用程序的安全漏洞可能导致的敏感数据的丢失所造成的经济损失感到忧虑，同时他们也对SaaS服务提供商以及数据中心托管企业是否持续运转下去感到担心。

　　因此，企业在采用SaaS时就要求数据的安全性和完整性问题首先得到解决。

　　SaaS安全的八大挑战

　　下列重大安全问题，企业在将应用迁移到云时必须仔细考虑。

　　1、数据安全

　　在SaaS模式，企业数据存储在SaaS供应商的数据中心。因此，SaaS企业应采取措施保障数据安全，防止由于应用程序漏洞或者恶意特权用户泄漏敏感信息。

　　SaaS的解决方案应该使用强大的密码保护，以确保在数据访问上的控制。所有数据，包括有管理权限的访问，都应该被记录下来，并定期审计。这些检查是至关重要的。

　　2、数据分离

　　在一个多租户SaaS的部署中，多个企业的数据可能会保存在相同的数据存储位置。因此要保证其中一个用户在进行数据访问时不能访问到其他用户。泄漏敏感的业务计划可能暴露竞争对手的弱点，因为这类数据可能会导致严重的经济损失。

　　SaaS的应用体系结构和数据模型的设计应确保正确的数据隔离。如果SaaS的应用程序部署在一个公开的云供应商那里，则应加强防范措施，以便通过一个应用程序的数据不能访问到其他应用程序。一个第三方SaaS的安全评估是至关重要的，隔离并查明这些数据的安全问题和解决这些问题之后，SaaS才可以更好地被应用。

　　3、SaaS应用程序的安全部署

　　用户在选择SaaS供应商的解决方案后可以部署使用公共云供应商或SaaS供应商的私有云。然而，这些部署应首先确保其安全性，采用托管SaaS的部署要求卖方提供相关服务(防火墙，入侵检测系统等)来强化其安全性。

　　第三方的SaaS应用程序部署的安全审计也十分必要，这样可以更好地识别任何安全问题或威胁，以确保您的企业数据的安全。

　　4、网络安全

　　在SaaS的部署模式中，企业和SaaS提供商之间的数据流在传输过程中必须得到保护，以防止敏感信息外泄。

　　SaaS的供应商应使用诸如SSL确保数据在互联网上流动的安全性，或者在SaaS的部署网络中采取加密技术。其他保障措施还包括MITM攻击对网络安全造成的问题，IP欺骗，端口扫描，数据包嗅探等。

　　5、法规遵从

　　风险和法规遵从在SaaS应用程序的审计中至关重要，通过对是否符合监管标准的评估，有助于确定是否合规问题，并确保正确的业务流程到位。

　　6、可用性

　　SaaS的应用程序需要支持高可用性，以确保其能够24*7地为企业服务。这涉及到架构设计和基础设施的应用，以使他们能够适应硬件/软件故障以及拒绝服务攻击。此外，适当的业务连续性和灾后恢复计划也需要制订，以确保停机时间最短。

　　7、备份

　　SaaS企业应确保服务水平协议涵盖安全的备份和恢复服务，在SaaS应用的备份需经过验证，基础设施和云级恢复服务的需要，以促进灾后恢复和减轻对敏感数据的丢失，由于失败的风险。

　　备份的数据应该得到严格保护，如业务数据等就需要使用强大的加密机制。这些检查也是非常必要的，它可以减少未经授权的访问和敏感数据泄漏的风险。

　　8、身份管理和登录安全

　　身份管理(IDM)和签署组件可以为用户提供服务的帐户处理、密码管理和安全认证。并且可以根据安全方面的挑战不同对身份管理也进行区别对待。

　　一个SaaS供应商可以提供完整的IDM和登录服务。在这种情况下，用户的信息、密码等，都保留在SaaS供应商的网站，因此应该安全地存储和处理。SaaS供应商应该能够保障密码的安全性和企业密码过期政策，并遵守监管要求。

　　另外，一个SaaS供应商可以为用户提供帐户和证书复制的支持。在这种情况下，用户帐户的处理是通过每一个供应商的客户端进行的，相关的用户帐户信息复制到身份验证和授权功能，SaaS供应商都必须确保他们的安全性，并防止其泄露。

　　在一个联合IDM模式下，用户帐户信息(包括证书)的管理和存储是每个客户独立的，用户身份验证发生在企业客户端，用户身份和某些属性随之传播到SaaS供应商使用身份验证和访问控制联合会。 因此，SaaS的供应商和租户必须建立起信任关系，并能够确保用户身份的安全联盟。

　　SaaS应用程序安全

　　以下关键减灾战略可以帮助SaaS供应商确保其安全和应用程序数据的完整性。

　　安全部署：采取措施，防止网络渗透、拒绝服务(DoS)等，在公共云等应用上提供安全保障。

　　第三方SaaS的安全性评估：定期进行应用和网络性能评估。这些有助于验证SaaS应用和部署的安全性和完整性。

　　第三方治理和审计：第三方机构进行定期审计，验证是否符合政府法规和行业标准。

　　这些做法，对于保证SaaS的安全性至关重要，只有这样才能确保企业数据的安全性和完整性，并最终促进SaaS更加快速的普及。