在文章《安全即服務(wù)：云端安全的優(yōu)勢(shì)與風(fēng)險(xiǎn)（一）》和《安全即服務(wù)：云端安全的優(yōu)勢(shì)與風(fēng)險(xiǎn)（二）》中，我們主要為讀者講述了企業(yè)需要考慮基于云計(jì)算的安全服務(wù)的八個(gè)優(yōu)點(diǎn)，那么下面我們一起看看安全即服務(wù)的缺點(diǎn)有哪些：

安全即服務(wù)的風(fēng)險(xiǎn)

對(duì)于緩解安全風(fēng)險(xiǎn)，世界上并不存在完美的工具，安全即服務(wù)也不例外?；谠朴?jì)算的安全服務(wù)和所有其他云服務(wù)相同的安全風(fēng)險(xiǎn)一樣，主要分為以下幾個(gè)類別：

1. 云供應(yīng)商對(duì)你的數(shù)據(jù)擁有一定程度的訪問權(quán)限。云供應(yīng)商必須謹(jǐn)慎處理安全相關(guān)的數(shù)據(jù)，因?yàn)檫@些數(shù)據(jù)的泄露可能導(dǎo)致多個(gè)數(shù)據(jù)泄露事故。更全面的云計(jì)算服務(wù)應(yīng)使用加密技術(shù)，但這里仍然存在供應(yīng)商密鑰管理的問題。對(duì)于需要擁有最高數(shù)據(jù)保密性的應(yīng)用的企業(yè)，最好考慮使用內(nèi)部解決方案。

2. 安全即服務(wù)將是從互聯(lián)網(wǎng)訪問。對(duì)于內(nèi)部系統(tǒng)，安全專業(yè)人員不需要考慮這個(gè)風(fēng)險(xiǎn)，在過去，將內(nèi)部防火墻管理工具暴露在互聯(lián)網(wǎng)從來都是不被接受的做法。這些服務(wù)器的身份驗(yàn)證系統(tǒng)必須提供強(qiáng)大的多因素身份驗(yàn)證，以確保適當(dāng)?shù)谋Ｗo(hù)水平。你還需要考慮潛在的DoS攻擊，如果沒有強(qiáng)大的保護(hù)，攻擊者可能會(huì)修改服務(wù)或者阻止企業(yè)管理或訪問這些服務(wù)。

3. 安全即服務(wù)供應(yīng)商間輸出服務(wù)的開放標(biāo)準(zhǔn)不太可能。使用這些服務(wù)的企業(yè)需要明白供應(yīng)商間的任何切換將是完全手動(dòng)的操作，包括在新供應(yīng)商處重新建立防火墻規(guī)則、虛擬機(jī)配置和身份驗(yàn)證方法。

4. 企業(yè)應(yīng)該進(jìn)行詳細(xì)的供應(yīng)商盡職調(diào)查審計(jì)，以對(duì)待任何其他云服務(wù)供應(yīng)商的方式來對(duì)待安全即服務(wù)。企業(yè)應(yīng)該仔細(xì)選擇供應(yīng)商，并調(diào)查其財(cái)務(wù)狀況，以確保他們不會(huì)突然人間蒸發(fā)。徹底檢查服務(wù)供應(yīng)商的信息安全狀態(tài)，從SAS-70或者SSAE-16審計(jì)報(bào)告以及漏洞評(píng)估報(bào)告開始。企業(yè)需要完全信任云供應(yīng)商，所以，這種審計(jì)是至關(guān)重要的。

5. 對(duì)于基于云計(jì)算的安全服務(wù)，合規(guī)是另一個(gè)難以解決的問題。一個(gè)服務(wù)可以提供一流的審計(jì)報(bào)告，并滿足所有盡職調(diào)查的技術(shù)要求，然而，卻可能仍然不能滿足合約或法律協(xié)議，例如HIPAA法案要求的商業(yè)伙伴合約（Business Associate Agreement）。這種情況正在改善，但企業(yè)必須了解安全即服務(wù)供應(yīng)商將如何滿足其特定的合規(guī)要求。

很多信息安全專業(yè)人士對(duì)部署任何類型的外包服務(wù)都充滿焦慮，這是安全即服務(wù)需要考慮的。目前的經(jīng)濟(jì)發(fā)展讓很多類型的員工產(chǎn)生一定的抗拒，安全專業(yè)人士擔(dān)心自己被云服務(wù)取代。然而，這些新服務(wù)可以讓安全專業(yè)人士將時(shí)間和精力投入到更高水平的戰(zhàn)略性安全項(xiàng)目中，而不是每天的日常維護(hù)工作。這將有助于安全計(jì)劃實(shí)現(xiàn)更高的效率，而這實(shí)際上還可能增加工作安全性。此外，誰(shuí)真的愿意花整晚的時(shí)間來編制另一個(gè)更新版本的Snort？