正在使用SaaS服務(wù)的企業(yè)應(yīng)該當(dāng)心了，因為他們的SaaS數(shù)據(jù)是不受法律保護(hù)的，政府和民事調(diào)查機(jī)構(gòu)可以搜查他們的SaaS服務(wù)提供商并扣押這些數(shù)據(jù)，而且事先不會通知企業(yè)，黑帽大會的研究人員披露說。

“在云計算中，企業(yè)在數(shù)據(jù)被扣押之前根本無能為力，”安全咨詢公司iSEC合伙公司的聯(lián)合創(chuàng)始人兼合伙人Alex Stamos說?！捌髽I(yè)甚至可能根本就無從知悉此事。因為法律沒有要求SaaS服務(wù)商有通知企業(yè)的義務(wù)。事實上，很有可能是不允許它們通知客戶的?！?/P>

Stamos所提及的SaaS模式是指企業(yè)的所有IT任務(wù)，從服務(wù)器到前端JavaScript軟件都被托管在企業(yè)之外的情形。既然SaaS數(shù)據(jù)不在企業(yè)內(nèi)部，所以它就可能沒法受到美國憲法第四修正案的保護(hù)，該修正案拒絕無理的搜查和財產(chǎn)扣押。結(jié)果是，執(zhí)法者只須憑一紙傳票就可以扣押企業(yè)或個人托管在其SaaS服務(wù)商服務(wù)器上的數(shù)據(jù)，Stamos說。而執(zhí)法部門要搞到一張船票可以說是不困難的。反倒是申請搜查證，多少還需要經(jīng)過司法部門批準(zhǔn)才行。

Stamos是在上周四在拉斯維加斯舉辦的2009美國黑帽大會上介紹云計算模式及其缺陷時強(qiáng)調(diào)指出了這一問題的。他和他的同事Andrew Becherer和Nathan Wilcox一起考察了平臺服務(wù)商和基礎(chǔ)設(shè)施服務(wù)商所引發(fā)的各種安全問題。

非盈利的言論自由與數(shù)字版權(quán)組織電子前沿基金會已開始考慮這個問題，并告誡說，“把你自己的數(shù)據(jù)存放在自己的電腦上——不要依賴云——是保護(hù)隱私信息最為安全的做法，搜查這樣存放的數(shù)據(jù)一般是需要申請搜查證并預(yù)先通知的?！?/P>

Stamos說他詢問過Google，Google答復(fù)說，它們規(guī)定，在接受任何司法行動之前是會通知客戶的。但是Stamos指出，在Google所提供的Google Docs和其他云計算服務(wù)的終端許可協(xié)議（EULA）條款中并未找到這樣的條款。Google的隱私策略申明，公司將會與政府部門共享數(shù)據(jù)，以滿足“任何適用法規(guī)、司法程序或執(zhí)法部門的要求?！?/P>

“根據(jù)法律條文，不管律師們怎么說，機(jī)器的實際擁有者才是最重要的，”Stamos說。

此外，大多數(shù)SaaS和云服務(wù)商的EULA協(xié)議根本沒有向客戶承諾任何東西。Stamos極力主張客戶在與SaaS廠商簽訂服務(wù)協(xié)議時，務(wù)必要求服務(wù)商在涉及數(shù)據(jù)泄漏、數(shù)據(jù)丟失或其他需要恢復(fù)數(shù)據(jù)的災(zāi)難性事件中書面承諾可提供幫助。

但即便SaaS廠商承諾會提供協(xié)助，Stamos還是發(fā)現(xiàn)，在協(xié)助司法調(diào)查時，很多廠商不會保留相應(yīng)的審計和日志信息。雖然有些廠商，比如Salesforce.com會提供注冊和管理操作日志，但Google Apps和微軟Office Live則不提供。而且，所有這三大類服務(wù)都不提供數(shù)據(jù)的閱讀文檔或閱讀記錄。

企業(yè)應(yīng)從SaaS服務(wù)商處接管某些控制權(quán)。這么做雖然可能違背了SaaS服務(wù)的本意，但是畢竟能提供更安全的控制，Stamos說。比如說，啟用SAML（安全性斷言標(biāo)記語言）就可以讓IT部門嚴(yán)密監(jiān)控認(rèn)證過程。SAML還可允許企業(yè)將SaaS門戶置于VPN之后。

總而言之，企業(yè)需要制定和SaaS有關(guān)的嚴(yán)格的安全策略，并培訓(xùn)使用者熟悉基本的安全流程。

“雖說要教會所有的非技術(shù)人員是很困難的，但是使用者的教育是非常關(guān)鍵的，”Stamos說?！搬烎~攻擊并不是一個個人問題，它也是企業(yè)的問題?！?BR>

【編輯推薦】

1. 享受云計算服務(wù)，還需有法可依
2. 云計算：很高，很美，也很危險
3. 金融危機(jī)映射云計算的可信任度