【TechTarget中国原创】问:采用服务式平台会给数据保护带来哪些威胁?
答:人们不断开发一些令人兴奋的互联网新技术,但总是不能合理地解决安全问题和数据保护问题。在讨论与PaaS相关的数据保护问题之前,我们先花点时间看看它的前身——SaaS或者说服务式软件。
SaaS取代了早期的应用服务提供商——简称ASP。SaaS是一种基于Web的应用程序,软件供应商通过互联网提供服务。与常规软件最大的不同是,SaaS用户可以支付费用租赁软件,而不是拥有软件。
PaaS是Web服务迈出的第二步。PaaS在“瘦客户”现代版本的基础上,提供按需定制度平台;在这个平台中,PC机从服务器中获取操作系统和应用程序。PaaS使得企业和开发人员能专注于应用程序功能,不必再关注运行程序需要哪些软件和基础设施。凭借PaaS,商业过程不仅可以虚拟化,还可以彼此共享,企业也能减小规模、节省运行时间、变得更加灵活,并从中获益。但是就像其前身SaaS一样,PaaS也有同样的数据保护问题,主要原因是数据处理或存储由第三方系统或者在第三方系统上完成。
凭借这类服务,企业客户的数据安全就取决于SaaS或PaaS开发人员的技术和能力。对只有一个或两个开发人员的小企业而言,PaaS可能相对安全一些。无庸置疑,开发人员过度劳累、团队偏小、工作负荷繁重、时间紧张等问题都使得安全不再具有优先权。在采用SaaS或PaaS时,应确保供应商的开发团队具备专业知识及足够的时间来编写应用程序,且拥有强大的信息安全基础。
然而,如果数据由第三方供应商处理,大型企业能保证自身的数据安全吗?放弃数据存储和访问过程的控制权需要具备足够的信心,并且非常了解数据的处理位置和处理方式。对我来说,关键问题在于“处理位置”。
我们举个例子,一家英国公司需要采用某家美国公司提供的PaaS。根据《欧盟数据指令》,两家公司应该负责保证管理数据的第三方具有合适到位的安全措施。根据《美国、欧盟数据保护安全港协议》,只有处理数据的第三方满足欧盟隐私保护标准,英国公司才可以将数据储存在美国公司中。因此,需要确切理解PaaS环境下的数据保护措施,否则英国公司可能会违反法律。
最后,如果其他人的服务器想要访问数据,就必须保证其运行时间。在线服务的最佳运行时间为99.9%。即使如此,每年还是会有半天的停机时间。有时候,服务可以获取,但性能存在问题。PaaS供应商提供的运行时间可能优于大多数企业,但是在PaaS环境中,人们需要更好地理解和执行服务等级协议。