將遺留應用程序遷移到平臺即服務(PaaS)公共云產品，或將遺留數據轉入軟件 即服務(SaaS)應用，其中的好處之一就是獲得額外的安全服務。然而，應用云通常會增加企業的安全責任，特別是開發團隊，并帶來新的風險。其中的一些風 險和責任在所有公共云類型中常見，而有一些對于SaaS或PaaS提供商來說是獨一無二的。

　　無論是選擇PaaS還是SaaS，數據都將轉移到企業防火墻之外，Denim Group是一家軟件安全咨詢公司負責人Dan Cornell說這會讓“災難性事件發生幾率更大。”黑客們越來越關注于數據，而不是破壞系統，并且黑客們變得更加有經驗和創新。

　　451 Research的一個研究部門Tier1 Research的基礎設施和云計算的分析師Carl Brooks說，將數據放在一個共享的公共云也可以產生一些關于其他使用相同服務的偏執的人。在遷移數據之前，詢問SaaS供應商是如何防止信息泄露給另 一個客戶。別人能修改我的數據嗎？

　　為了防止產生偏執，分析師James Staten將個人安全與云安全相比。Forrester Research的副總裁Staten說：“在你家里搶劫比試圖在一個體育場找到你更容易。云通過混淆提供安全。”同樣，對于一個黑客來說，獲取一個公司 的數據比在公共云中發現該公司更加容易。他說這是一個使公共云更加安全的特性。

　　讓公共云提供商在服務水平協議(SLA)中負責物理和網絡安全，是因為專家說這是企業可以稍微發揮控制的兩個領域。然后，認識到企業自身擔負著安全的主要責任。Brooks說最佳安全實踐的關鍵在于開發;即在應用開發和部署的所有階段建立安全需求。

　　日常的企業安全實踐價值也是如此。Staten 說：“讓所有端口打開，并且暴露出所有的IP地址，企業數據在云中比在數據中心更加脆弱，但是那是你自己的錯，而不是云的錯。”

　　公共云安全問題止于開發

　　Cornell說開發團隊對企業安全立場有著最大的影響，不論是在內部還是在云中。他們很了解他們應用程序的漏洞，以及哪些弱點在共享環境中會被利用。

　　諷刺的是， 專家說，但企業開發人員的安全職責減少時，公共云主流化，由于自動化IT人員使得數據中心的安全系統更加專業化、成熟。現在，云正將包括QA和DevOps的開發團隊推動到傳統的冗余安全編碼和更廣闊的安全測試中。

　　考慮到云安全，必須創建一個超大測試實踐的超集。Cornell說標準的企業測試，通常為單租戶Web應用設計，不足以為多租戶公共云設計。

　　SaaS數據和應用安全

　　應用訪問是SaaS云安全熱點。當測試與多租戶SaaS應用程序沖突時，身份驗證和授權測試優先。訪問安全的責任依賴于SaaS提供商和企業。

　　Cornell說測試和開發團隊必須考查供應商，以確保他們正在實施適當的控制。用SaaS服務水平協議設置測試權利和責任。Brooks說了解數據轉移到SaaS云應用程序之前，期間以及之后，每一方將做哪些測試。

　　Cornell已經看到組織的SLA規定，他們的團隊將有權測試SaaS提供商的安全。他說例如，他們保留在季度派遣測試人員試圖闖入SaaS系統的權利，并且要求任何他們識別的漏洞都能被修復。

　　Brooks說SLA中， SaaS提供商負責運行測試和修復缺陷的責任細節。沒有書面文檔，就很難把漏洞修復。他說：“否則，除了客戶滿意度，客戶就沒有杠桿使供應商采取行動。”

　　好消息是，SaaS是一個成熟的技術，有許多成熟的提供商。同時，SaaS提供商比大多數個人組織有更高的安全預算。

　　市場潮流中的PaaS安全

　　PaaS是一個用于承載應用程序、存儲和開發實驗室的平臺， 專家說所有數據保護的領域是至關重要的。PaaS供應商的加密、數據可用性和API關鍵安全能力——所有傳統的企業開發人員的責任—采用之前必須仔細地分 析。專家說確保PaaS提供商的框架、代碼庫、缺陷跟蹤、版本控制和其他應用程序生命周期管理工具和企業是兼容的。同時，PaaS提供商應該為改善這些流 程，提供一個被設置在SLA的路線圖。

　　雖然PaaS提供商的安全能力測試是重要的，研究其穩定性和字符應該占據中心位置。與SaaS的 成熟、完善的供應商基礎相比—想想Salesforce.com—PaaS相當于蠻荒的美國西部。Brooks 說“一方面，你有PaaS初創公司、谷歌和亞馬遜，有20人坐在一個小房間，吃薯片和工作20小時，做一些創新的工作”。

　　組織的穩定和金融力量可能會起破壞作用，Cornell已經看到組織不得不放棄PaaS啟動，雖然它為他們特定的業務問題提供了一個強大的解決方案。

　　Cornell說：“更小的PaaS提供商通常沒有一個巨大的像亞馬遜那樣的穩定金融。”這并不是說較小的提供商更不安全，簡單來說，有不同的金融穩定 性的風險方程。為了抵御這種風險，企業開發人員必須編纂如果以及如何阻止他們的代碼成為破產的提供者的系統。同時，Cornell建議在進入到自定義任務 關鍵型應用程序開發之前，在PaaS服務之上，應該構建更小的應用程序。

　　有些PaaS產品只是穿著云服裝的虛擬化系統。Brooks 說：“他們重新利用那些并不是為了在云中運行的技術。”經常看到他們修改之前被一個用戶或組織使用過的系統。

　　Brooks說：“這些技術大多數是為了用在一切運行在防火墻內部的地方，是可信的，或至少與信任相同級別”。他們不只是關注于人們上傳惡意代碼到他們 的PaaS部分，也關注于提供能讓開發人員運行他們代碼的功能。他說“惡意代碼會環顧四周，看是否能看到其他合法用戶的數據，或操縱那些合法用戶正在運行 的過程。”

　　開發團隊的底線？

　　開發團隊在云中將做技術偵察和保護應用程序的日常工作。專家說，任何使用或者評估公共云服務的企業必須使其開發團隊快速掌握云安全問題、技術和實踐，特別是在多租戶環境下保護數據和應用程序與將數據從企業移動到云的差異。