當心SaaS數據:出了事情無法律可依
正在使用SaaS服務的企業應該當心了,因為他們的SaaS數據是不受法律保護的,政府和民事調查機構可以搜查他們的SaaS服務提供商并扣押這些數據,而且事先不會通知企業,黑帽大會的研究人員披露說。
“在云計算中,企業在數據被扣押之前根本無能為力,”安全咨詢公司iSEC合伙公司的聯合創始人兼合伙人Alex Stamos說。“企業甚至可能根本就無從知悉此事。因為法律沒有要求SaaS服務商有通知企業的義務。事實上,很有可能是不允許它們通知客戶的。”
Stamos所提及的SaaS模式是指企業的所有IT任務,從服務器到前端JavaScript軟件都被托管在企業之外的情形。既然SaaS數據不在企業內部,所以它就可能沒法受到美國憲法第四修正案的保護,該修正案拒絕無理的搜查和財產扣押。結果是,執法者只須憑一紙傳票就可以扣押企業或個人托管在其SaaS服務商服務器上的數據,Stamos說。而執法部門要搞到一張船票可以說是不困難的。反倒是申請搜查證,多少還需要經過司法部門批準才行。
Stamos是在上周四在拉斯維加斯舉辦的2009美國黑帽大會上介紹云計算模式及其缺陷時強調指出了這一問題的。他和他的同事Andrew Becherer和Nathan Wilcox一起考察了平臺服務商和基礎設施服務商所引發的各種安全問題。
非盈利的言論自由與數字版權組織電子前沿基金會已開始考慮這個問題,并告誡說,“把你自己的數據存放在自己的電腦上——不要依賴云——是保護隱私信息最為安全的做法,搜查這樣存放的數據一般是需要申請搜查證并預先通知的。”
Stamos說他詢問過Google,Google答復說,它們規定,在接受任何司法行動之前是會通知客戶的。但是Stamos指出,在Google所提供的Google Docs和其他云計算服務的終端許可協議(EULA)條款中并未找到這樣的條款。Google的隱私策略申明,公司將會與政府部門共享數據,以滿足“任何適用法規、司法程序或執法部門的要求。”
“根據法律條文,不管律師們怎么說,機器的實際擁有者才是最重要的,”Stamos說。
此外,大多數SaaS和云服務商的EULA協議根本沒有向客戶承諾任何東西。Stamos極力主張客戶在與SaaS廠商簽訂服務協議時,務必要求服務商在涉及數據泄漏、數據丟失或其他需要恢復數據的災難性事件中書面承諾可提供幫助。
但即便SaaS廠商承諾會提供協助,Stamos還是發現,在協助司法調查時,很多廠商不會保留相應的審計和日志信息。雖然有些廠商,比如Salesforce.com會提供注冊和管理操作日志,但Google Apps和微軟Office Live則不提供。而且,所有這三大類服務都不提供數據的閱讀文檔或閱讀記錄。
企業應從SaaS服務商處接管某些控制權。這么做雖然可能違背了SaaS服務的本意,但是畢竟能提供更安全的控制,Stamos說。比如說,啟用SAML(安全性斷言標記語言)就可以讓IT部門嚴密監控認證過程。SAML還可允許企業將SaaS門戶置于VPN之后。
總而言之,企業需要制定和SaaS有關的嚴格的安全策略,并培訓使用者熟悉基本的安全流程。
“雖說要教會所有的非技術人員是很困難的,但是使用者的教育是非常關鍵的,”Stamos說。“釣魚攻擊并不是一個個人問題,它也是企業的問題。”
【編輯推薦】
