安全评级提醒企业关注云应用安全性

ZDNet至顶网服务器频道 10月18日 ：拥有超过2100万美元资金的Netskope走出“隐形模式”，测量了超过2600个云应用的安全，并将其作为云应用安全报告的一部分公诸于众，这家公 司计划按照季刊的形式发布。基于从企业客户收集的实时云应用用例数据，这家厂商基于30项安全参数为应用打分，包括审计日志和云端分离的客户数据。但是该公司的CEO表示，这些评级并不能简单地用于封锁风险应用。

Netskope CEO Sanjay Beri表示，这份报告背后的驱动力是为了教育客户和企业云应用的安全性。他特别之处很多企业只是简单的不知道在云端会发生什么，尤其是提及他们所使用的 应用，但是这些应用无需付费。比如，一些Netskope的企业客户就不知道实际上使用了多少云应用，不管是公司外部共享的文档，甚至是共享的敏感文档是 否得到正当保护。

但是Beri并不希望企业简单的基于他们的安全排名就犯了封锁应用这样的错误。实际上，他将封锁应用的方法描述为“保守派”。他继续说道，当业务部门的生 产力更高的时候，安全团队不再不加选择地对应用说“NO”。相反，安全团队必须找到一种途径说“YES”，但是要给出警告事项。

尽管可以提前设置这样的策略，但是企业必须首先能够很好的理解云应用如何使用。Beri描述了一个场景，12个云存储应用应用于企业内 部，Netskope的评级中，6个被认为是有风险的。并不是要任意地锁定这六个应用，企业应该研究实际上每个应用有多少人在用，共享了哪些内容，以及由 于他们的使用会导致哪些风险。如果只是两个用户利用一个风险应用，企业就应该简单地告知他们迁移到更加安全的选择上。如果敏感内容上传到一个应用，企业应 该封锁上传，而不是封锁应用。

“因此你可以对风险性高的应用实行‘手术’，一些必须的应用则可以缩减。主要看一下用例模式并利用这种模式做出业务决策，”他评论道，“这并不是说‘有六个高风险应用？关了’，而是要先了解这些应用。”

Beri澄清道，一个应用被Netskope评为低风险并不意味着这个应用可以随时部署到企业中。该厂商的报告指出即便一些最安全的云应用仍旧缺少一些性 能，这些性能对于企业的用例可能是必须的。当这样的应用被部署，IT团队必须实施额外的控制，将风险降到企业可以接受的最低程度。

“看待这份报告要留有一定的保留性，‘这个应用本身符合一些严格的条件，但是我还需要看看自身的解决方案环境，看是否可以管理这个应用，’”Beri说道。

在这份报告中，知名服务，比如Salesforce.com、Box和Amazon Web服务被评为最安全的云应用。顶尖的应用请先与有审计日志这样的功能，能够分离客户数据，而一些低评级的应用则缺少这些功能，而这些则是很多企业考虑 的基础安全功能。应用分类也做了评级，企业资源计划、文档管理和安全应用表现良好，而软件开发、市场和生产率应用则垫底。

整体而言，大多数云应用包含灾难恢复和分区的数据备份功能，但是大多数不能加密数据或者管理密钥。Beri指出，加密还会是一个热门的话题，而且是否应该由云应用厂商负责还尚不清晰。出于这种观点，厂商应该有一个加密的策略在将自身的产品推销给客户。

尽管看起来似乎很吓人，企业会发现云应用缺少一些基本的安全功能，Beri表示报告中也指出即便是最安全的应用也并不一直是安全的。相反，他说这些应用是厂商认为的重要的，也是其核心竞争力产品的部分。

Beri说：“任何应用一开始都是低风险的应用，他们也会随着时间发展而产生变化。”