當心SaaS數(shù)據(jù):出了事情無法律可依
正在使用SaaS服務的企業(yè)應該當心了,因為他們的SaaS數(shù)據(jù)是不受法律保護的,政府和民事調(diào)查機構(gòu)可以搜查他們的SaaS服務提供商并扣押這些數(shù)據(jù),而且事先不會通知企業(yè),黑帽大會的研究人員披露說。
“在云計算中,企業(yè)在數(shù)據(jù)被扣押之前根本無能為力,”安全咨詢公司iSEC合伙公司的聯(lián)合創(chuàng)始人兼合伙人Alex Stamos說。“企業(yè)甚至可能根本就無從知悉此事。因為法律沒有要求SaaS服務商有通知企業(yè)的義務。事實上,很有可能是不允許它們通知客戶的。”
Stamos所提及的SaaS模式是指企業(yè)的所有IT任務,從服務器到前端JavaScript軟件都被托管在企業(yè)之外的情形。既然SaaS數(shù)據(jù)不在企業(yè)內(nèi)部,所以它就可能沒法受到美國憲法第四修正案的保護,該修正案拒絕無理的搜查和財產(chǎn)扣押。結(jié)果是,執(zhí)法者只須憑一紙傳票就可以扣押企業(yè)或個人托管在其SaaS服務商服務器上的數(shù)據(jù),Stamos說。而執(zhí)法部門要搞到一張船票可以說是不困難的。反倒是申請搜查證,多少還需要經(jīng)過司法部門批準才行。
Stamos是在上周四在拉斯維加斯舉辦的2009美國黑帽大會上介紹云計算模式及其缺陷時強調(diào)指出了這一問題的。他和他的同事Andrew Becherer和Nathan Wilcox一起考察了平臺服務商和基礎設施服務商所引發(fā)的各種安全問題。
非盈利的言論自由與數(shù)字版權(quán)組織電子前沿基金會已開始考慮這個問題,并告誡說,“把你自己的數(shù)據(jù)存放在自己的電腦上——不要依賴云——是保護隱私信息最為安全的做法,搜查這樣存放的數(shù)據(jù)一般是需要申請搜查證并預先通知的。”
Stamos說他詢問過Google,Google答復說,它們規(guī)定,在接受任何司法行動之前是會通知客戶的。但是Stamos指出,在Google所提供的Google Docs和其他云計算服務的終端許可協(xié)議(EULA)條款中并未找到這樣的條款。Google的隱私策略申明,公司將會與政府部門共享數(shù)據(jù),以滿足“任何適用法規(guī)、司法程序或執(zhí)法部門的要求。”
“根據(jù)法律條文,不管律師們怎么說,機器的實際擁有者才是最重要的,”Stamos說。
此外,大多數(shù)SaaS和云服務商的EULA協(xié)議根本沒有向客戶承諾任何東西。Stamos極力主張客戶在與SaaS廠商簽訂服務協(xié)議時,務必要求服務商在涉及數(shù)據(jù)泄漏、數(shù)據(jù)丟失或其他需要恢復數(shù)據(jù)的災難性事件中書面承諾可提供幫助。
但即便SaaS廠商承諾會提供協(xié)助,Stamos還是發(fā)現(xiàn),在協(xié)助司法調(diào)查時,很多廠商不會保留相應的審計和日志信息。雖然有些廠商,比如Salesforce.com會提供注冊和管理操作日志,但Google Apps和微軟Office Live則不提供。而且,所有這三大類服務都不提供數(shù)據(jù)的閱讀文檔或閱讀記錄。
企業(yè)應從SaaS服務商處接管某些控制權(quán)。這么做雖然可能違背了SaaS服務的本意,但是畢竟能提供更安全的控制,Stamos說。比如說,啟用SAML(安全性斷言標記語言)就可以讓IT部門嚴密監(jiān)控認證過程。SAML還可允許企業(yè)將SaaS門戶置于VPN之后。
總而言之,企業(yè)需要制定和SaaS有關(guān)的嚴格的安全策略,并培訓使用者熟悉基本的安全流程。
“雖說要教會所有的非技術(shù)人員是很困難的,但是使用者的教育是非常關(guān)鍵的,”Stamos說。“釣魚攻擊并不是一個個人問題,它也是企業(yè)的問題。”
【編輯推薦】
