微软数据外泄事件突显 SaaS 的安全问题

作者：趋势科技云安全业务副总裁Dave Asprey

据PC World报导，微软云端商业软件包BPOS发生客户数据遭该软件其他客户存取并下载的事故。

Google、微软以及数不清的其他SaaS供货商，都曾发生过资料外泄事件。比较起来，这一次还算是轻微的：一位应该是微软的员工，因为组态设定的错误而产生一个全局性的漏洞。还好，微软自行发现了这个问题，并且在2小时内修正了问题，而且外泄的数据也还算无害。不过，事故毕竟发生了。

在最近的Gartner Data Center Conference 数据中心大会上，挤满演讲厅的一大群首席信息技术官（CIO）和首席安全执行官（CSO）们一致认为，公共云端最大的安全疑虑就是：“其他客户可能会看到我的数据。”现在，多家SaaS厂商的信息安全事件已经实际印证了这项疑虑。

CIO们必须在SaaS和IaaS之间作取舍，前者对IT部门来说是很方便，但存却在着应用层级的分租共享风险，而后者虽然有许多环节可以建置数据加密方案，但 IT 部门的营运负担较重。我预测，在未来几年，规模较大的IT部门将开始采用IaaS来建置大型的云端项目，理由正是因为IaaS能提供比SaaS更多的安全控管。企业若采用SaaS，通常就无法使用异地密钥来将数据加密，而且也无数据外泄预防(DLP)或是许多其他企业级的安全方案可用。

看来，SaaS供货商有必要大幅改善其透明度以及信息安全能力的广度。如果厂商无法证明他们如何追踪组态变更，或是无法预防组态设定错误，大型的IT部门根本就不会将某些数据交给这些厂商代管。

不过，话说回来，如果您因为组态设定的错误而导致Exchange通讯簿外泄，您自己的IT部门是否有办法在二小时内发现并修正问题，就像 微软这次的案例一样？ 如果您的IT部门规模不大，SaaS供货商的安全措施，尤其是 微软、Google或Salesforce.com这类的大型供货商，或许会比您自己的作法更安全也说不定。