在所有云計算服務(wù)的選項中，軟件即服務(wù)(SaaS)提供了***程度的信息洞察和控制權(quán)限。對于SaaS來說，企業(yè)正在使用一個軟件應(yīng)用程序并不得不依賴之，在大多數(shù)情況下，幾乎是完全信賴供應(yīng)商的安全控制和承諾。所有我們企業(yè)用戶所知的就是他們所歸檔的信息、他們讓我們知道的信息以及他們在他們的合同中所承諾的信息。

　　SaaS是一個與其他人共享的軟件應(yīng)用程序，即使是***的安全供應(yīng)商通常也需要訪問我們在某些地點的數(shù)據(jù)。他們可能永遠不會偷看，可能有一大堆針對訪問的安全與審計控制，但是最終我們的數(shù)據(jù)在數(shù)據(jù)庫中的某處，而在該相同位置也有其他人會進行管理操作和保持運行。我不是說，這會產(chǎn)生一堆FUD。我向我過去維護我們業(yè)務(wù)的不同SaaS供應(yīng)商們提供了大量的私有數(shù)據(jù)，但是那并不是說其中沒有涉及風(fēng)險。在我們的例子中，這有時就是意味著保存某些內(nèi)部數(shù)據(jù)。對于你們中的一些人來說，這將意味著使用SaaS，但是在他們的環(huán)境中保護你的數(shù)據(jù)。

　　SaaS安全設(shè)計眾多不同的控制機制，其中包括身份管理、內(nèi)部安全設(shè)置和角色管理、事件響應(yīng)和服務(wù)停用規(guī)劃，以及審計。在本文中，我們將重點關(guān)注于保護存儲在SaaS應(yīng)用程序中敏感數(shù)據(jù)的技術(shù)，其中包括SaaS加密技術(shù)。

　　有四個主要選項，但除非你使用以文件為導(dǎo)向的服務(wù)否則只有其中兩個選項對你是具有實際意義的：

　　1. 信任供應(yīng)商，依賴于他們的內(nèi)部控制(其中可能包括加密、數(shù)據(jù)分散性以及其他選項)。

　　2. 在發(fā)送客戶應(yīng)用程序中的加密數(shù)據(jù)至供應(yīng)商前，如果服務(wù)提供一個具有該功能的客戶端應(yīng)用程序，則通常只有一個選擇。

　　3. 在發(fā)送至服務(wù)前，在本地加密數(shù)據(jù)。

　　4. 使用一個本地或遠程加密代理，加密和解密將提供給供應(yīng)商的數(shù)據(jù)。

　　相信供應(yīng)商并不總是壞事;很多供應(yīng)商所采用較為先進的安全控制遠比你在內(nèi)部應(yīng)用程序中所進行的安全控制要完善得多。我們?nèi)匀粎⒖寄承┯美?，如你可能需要保護某些你所擁有的一些信息，而這就是其他選項發(fā)揮作用之處。

　　SaaS加密選項

　　某些服務(wù)提供一個客戶端應(yīng)用程序，不一定需要通過網(wǎng)絡(luò)瀏覽器運行任何東西。這在綜合SaaS和PaaS功能的文件存儲和備份應(yīng)用程序中很常見。這些服務(wù)中的一些允許你在發(fā)送數(shù)據(jù)至他們服務(wù)器之前在客戶端應(yīng)用程序加密你的數(shù)據(jù)，而安全服務(wù)甚至允許你管理你自己的密鑰。此舉使他們對你的數(shù)據(jù)完全見而不識，盡管他們通常可以看到元數(shù)據(jù)。隨著時間的推移，我希望看到一些在網(wǎng)絡(luò)瀏覽器內(nèi)擴展加密數(shù)據(jù)的功能，但是目前我還沒有看到任何實施應(yīng)用。

　　客戶端加密是偉大的，但并不總是一個選項(特別是對非文件導(dǎo)向的服務(wù))。另一個選項是使用你自己的軟件在發(fā)送至互聯(lián)網(wǎng)之前進行本地加密。這可能是難以管理的，我?guī)缀踔豢吹皆撨x項應(yīng)用于基于文件的數(shù)據(jù)。也有一些瞄準掩碼的解決方案，即本地攔截網(wǎng)絡(luò)表單的加密數(shù)據(jù)塊，但是該選項并未常用，未為一項市場前途未明的前衛(wèi)技術(shù)。

　　***一個選項是使用某種基于網(wǎng)絡(luò)的加密代理，這就是當(dāng)大多數(shù)企業(yè)不完全信任他們供應(yīng)商時所轉(zhuǎn)而尋求的解決方案。

　　該代理被置于網(wǎng)絡(luò)上，并如同一個網(wǎng)絡(luò)網(wǎng)關(guān)一樣運行。當(dāng)用戶訪問SaaS網(wǎng)站時，他們通過代理重定向。該代理依賴于SaaS應(yīng)用程序和攔截網(wǎng)頁關(guān)鍵組成域的深厚知識。在發(fā)送至供應(yīng)商之前，加密位于這些域的敏感數(shù)據(jù)，而在發(fā)送回用戶前，解密之。

　　對于用戶來說，看上去就如同訪問服務(wù)，只要他們在網(wǎng)絡(luò)上使用代理。但是，如果他們試圖通過直接連接至SaaS應(yīng)用程序訪問客戶賬戶號碼，他們所看到的一切將是加密數(shù)據(jù)。對于不提供如你所需細粒度的訪問控制服務(wù)，你可以對用戶屏蔽數(shù)據(jù)并獲得超過應(yīng)用程序內(nèi)部控制的安全性。此外，你可以在云計算中技術(shù)上托管代理本身以支持遠程訪問。

　　這應(yīng)該是有目共睹的，該選項不適用于除主要云計算服務(wù)以外的任何應(yīng)用，通過努力它可以構(gòu)建攔截功能并無縫集成目標服務(wù)。此外，一個SaaS應(yīng)用程序用戶界面的變化可以破壞功能直至代理供應(yīng)商可完成更新。

　　SaaS安全建議

　　鑒于這些SaaS加密挑戰(zhàn)，我更傾向于提出如下建議：

　　1. 你***的辦法是與你所信任的SaaS供應(yīng)商合作，并通過良好的合同以及審計保護好你自己。

　　2. 如果你關(guān)注于基于文件的數(shù)據(jù)，有大量有效的加密選項;大多數(shù)基于文件的企業(yè)加密工具都是運行良好。

　　3. 如果你完全不信任你的供應(yīng)商，尋找一個代理加密解決方案。加密盡可能少，以減少文件破損的風(fēng)險。理解到，除非你將代理本身置于云計算中，你可能會丟失某些流動性。

　　SaaS加密數(shù)據(jù)并不是不可能的，但是你的***個嘗試應(yīng)該永遠是一個你所信任的供應(yīng)商。如果你需要有所突破，這些選項應(yīng)已符合你的所有需求了。