五大质问SaaS供应商的云安全问题

master

1 - 渗透测试 - 如何以及多常进行整个环境的渗透测试，是否有能力自己独立对部分环境进行渗透测试？如果没有常常进行深入的渗透测试，你就不能得知当前安全状况的全貌。

2 - 数据安全 - 在使用资源共享的SaaS供应商数据中心时，如何对储存和传输中的数据进行加密？谁可以拿到加密金钥？是否有做权责区分（separation of duties），并将加密金钥和数据维护分开负责？供应商是否能提供你SAS 70报告？

3 - 多租户 - 是否有提供单一租户托管的选项？还要确认单一租户是否只包括应用程序，还是也包括数据储存的部份？

4 - 灾难复原 - 当发生灾难性故障、受到外部入侵或数据遗失时，有准备备份和回复的程序吗？备份的数据储存在哪里（再次提醒，需要加密）以及如何有效地回复？

5 - 用户验证 - SaaS应用程序的登入程序为何？是否使用多因子认证？是否可以和客户正在使用中的认证机制做整合？

Mr.Ra1n

虽然不知道你说的什么，但是貌似挺NB的样子。

lovecan

云计算要考虑的问题就这些啊。要不谁都能租个高性能的机器高云计算了。