云计算包括基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS)三种服务模式,其中规模最大的是SaaS,也称为云应用,本文中的SaaS和云应用为同一含义。SaaS的崛起冲击了人们的传统观念,包括能源、银行、文化、教育、制造业、医疗、建筑等行业都成为SaaS应用的主要行业,而大数据、电商、数据服务、研发管理、数据仓库、物联网则成为SaaS应用的主要方向。
说到SaaS,不得不提Salesforce,Salesforce是全球市值最高的十家SaaS公司之一。它可以说是SaaS的鼻祖,提供了一系列的客户关系管理云服务(SaaS CRM)。客户只需通过网络注册后进行简单设置,就可启用所需的软件服务,非常方便快捷。
除了传统的应用系统进行了云化服务,网络安全也开启了云化的进程。派拓网络(Palo Alto Networks)是世界上最大的网络安全公司之一,也是全球市值最高的十家SaaS公司之一,其推出了包括Prisma Access、Prisma Public Cloud、Prisma SaaS、CORTEX等在内的云安全服务。通过这些云化的服务,客户可以不必购买软硬件设备就进行安装部署,通过简单配置便能实现安全保护效果。
近几年,SaaS在国内也得到了快速发展,比如金蝶从软件厂商向云服务商转型,其企业资源管理云服务(SaaS ERM)在国内拥有最高的市场占比,深受用户喜欢。此外,国内也涌现了相当多的云安全服务,比如云抗D、云WAF等。
IDC发布的对中国未来网络的预测中指出:到2024年,云网络软件和服务收入超过14.9亿美元,复合增长率达40.8%,增速是传统网络4倍之多。到2025年,将管理功能迁移到云上的云管理网络市场规模达4.5亿美元,按SaaS模式收费被较广泛的接受。
说到SaaS,不得不提Salesforce,Salesforce是全球市值最高的十家SaaS公司之一。它可以说是SaaS的鼻祖,提供了一系列的客户关系管理云服务(SaaS CRM)。客户只需通过网络注册后进行简单设置,就可启用所需的软件服务,非常方便快捷。
了传统的应用系统进行了云化服务,网络安全也开启了云化的进程。派拓网络(Palo Alto Networks)是世界上最大的网络安全公司之一,也是全球市值最高的十家SaaS公司之一,其推出了包括Prisma Access、Prisma Public Cloud、Prisma SaaS、CORTEX等在内的云安全服务。通过这些云化的服务,客户可以不必购买软硬件设备就进行安装部署,通过简单配置便能实现安全保护效果。
近几年,SaaS在国内也得到了快速发展,比如金蝶从软件厂商向云服务商转型,其企业资源管理云服务(SaaS ERM)在国内拥有最高的市场占比,深受用户喜欢。此外,国内也涌现了相当多的云安全服务,比如云抗D、云WAF等。
IDC发布的对中国未来网络的预测中指出:到2024年,云网络软件和服务收入超过14.9亿美元,复合增长率达40.8%,增速是传统网络4倍之多。到2025年,将管理功能迁移到云上的云管理网络市场规模达4.5亿美元,按SaaS模式收费被较广泛的接受。
SaaS在快速发展的过程中也存在各种安全问题,比如由于通过互联网连接造成的个人隐私泄露,由于数据集中存储导致的数据丢失,由于网络攻击造成的数据泄露。下面举几个例子:
#1
在疫情时广受欢迎的Zoom视频会议软件是一款SaaS应用,该应用在2020年被爆存在重大安全漏洞,大量用户的私人视频被公开在网上,所有人都可以点击观看,造成恶劣影响。此外,Zoom还被指出存在包括窃取windows凭证、与Facebook服务器共享用户设备信息、远程窃听会话等安全问题。
#2
2020年,SaaS服务商微盟遭员工“删库跑路”,导致服务器出现大面积故障,较长一段时间让平台上的几百万家商户生意基本停摆。不仅损害了服务商的信誉和收入,也大大降低了用户对于使用SaaS服务的信心。
#3
2021年,黑客通过入侵富士通的ProjectWEB平台,非法访问和窃取日本中央省厅和重要基础设施企业的数据。ProjectWEB平台是富士通推出的基于云的企业协作和文件共享平台,被日本政府机构广泛使用,此次入侵事件也导致日本相关机构受损严重。
由于SaaS最大特点是业务数据都集中保存在云服务商侧,因此其最大的风险是数据的泄露、丢失、非授权访问以及业务的不可访问,但造成风险的原因各不相同,主要包括:
被利用的漏洞:对于SaaS服务,用户一般通过互联网使用Web浏览器访问云上应用,因此Web存在的漏洞可能会被攻击者利用从而窃取数据或进行后门监控等。此外,对外的API接口也存在漏洞被恶意利用的风险。
错误的配置管理:SaaS免去了部署的麻烦,但在使用服务时仍需进行有效配置,否则就有可能发生因为不安全的配置造成的数据非授权访问以及网络攻击。而且一般来说,配置涉及面和范围较广,配置人员工作量巨大,没有好的技术手段必然会带来配置的疏漏。
特权用户的不恰当使用:考虑到应用和数据都存储在云服务商侧,如果在系统设计时对特权用户没有进行很好地技术或管理上的约束,导致存在恶意用户或非恶意用户的错误操作,增加了业务数据被盗、泄露、篡改的风险。
不安全的传输:SaaS的应用和数据都保存在远端,如果使用不安全的传输方式,就会存在凭证泄露、数据被窃取,甚至被钓鱼的风险。
应用的不可访问:不同用户共同访问同一应用,如果系统没有进行冗余设计或扩展性做的不好,可能会出现无法访问应用或出现资源挤兑的情况。
安全责任的不明确:SaaS减少了部署和运维的成本,但该模式需云服务商与云租户进行安全责任共担。实际情况安全责任划分相对复杂,必须在一开始就在合同中明确具体责任,否则会出现安全事件发生却互相推诿责任的情况。特别是很多SaaS都部署在IaaS或PaaS云平台上,有时候甚至需要IaaS/PaaS云服务商、SaaS云服务商和SaaS云租户三者共同来确定。
除此之外,SaaS还存在包括租户数据隔离、云上资产管理混乱、自身安全防护手段不足等问题。这些问题必须进行妥善解决,如此才能让客户更放心地将业务上云,也能更好地让整个SaaS产业健康发展。
基于以上安全问题,云应用需要有一个完整的安全框架,用于明确其应具备的安全技术或能力。该框架主要包括云应用架构设计要求、云应用运行环境安全要求、云应用程序安全要求、访问控制安全要求、租户级安全自助能力要求、云应用实施/交付/服务安全要求、数据安全要求、安全管理能力要求共8个控制域。
云应用运行环境安全要求:运行环境是云应用正常运行的基础,主要包括其依赖的操作系统、中间件、数据库等。
云应用程序安全要求:云应用程序包含多种形式,如web、移动APP、API接口、小程序等。
访问控制安全要求:云应用的访问控制安全主要包括通信安全、安全区域、身份与访问管理IAM、会话安全及终端安全识别等方面。
租户级安全自助能力要求:租户级安全是指云应用厂商提供的可由租户管理员自行操作的安全配置能力,通常作为云应用的安全功能存在,每个租户可以设置不同的安全策略,主要包括租户级IAM自助服务、租户级自助审计。
云应用实施/交付/服务安全要求:一般来说,云应用由云服务厂商履行应用程序及以下各层(甚至包含数据层)的安全和运维职责,主要包括云应用实施/交付/服务安全控制、互操作性与可移植性、安全即服务、云应用功能扩展与定制化交付能力。
数据安全要求:数据安全是云应用安全最终保护的目标,因此需基于云应用场景提出数据安全的相关要求,主要包括租户间数据隔离、数据机密性、数据可用性、数据完整性、隐私保护、数据位置与跨境等。
安全管理能力:云服务商通常会承担绝大部分安全管理职责,云应用需为云租户提供安全管理相关的功能,云租户需要合理使用或设置云应用厂商提供的安全功能,进行租户级的应用安全加固。
SaaS作为互联网发展下的软件应用新模式,可以快速满足企业的业务需求,省去了企业自行设计、研发、部署、运维等过程,让客户能够专注于自己的核心业务。但互联网的远程接入方式、高度集中的数据、特权的管理用户等让SaaS也面临着与传统应用不同的安全风险,因此需要对SaaS进行整体安全评估,从而给用户建立信心。
中心与国际云安全联盟CSA、云应用厂商和安全厂商等一起编制了《云应用安全技术规范》,建立了云应用安全架构并提出了8个控制域的安全要求,为云应用厂商构建安全的SaaS产品和服务提供了参考和指导,也为云客户选择安全的SaaS产品和服务提供建议和指南。
*转载自国家网安检测中心服务号
对于具有离线功能的智能手机应用程序,我正在为Xml文件创建单向文本同步。我希望我的服务器将增量/差异(例如GNU差异补丁)发送到目标设备。这是计划:Time=0Server:hasversion_1ofXmlfile(~800kiB)Client:hasversion_1ofXmlfile(~800kiB)Time=1Server:hasversion_1andversion_2ofXmlfile(each~800kiB)computesdeltaoftheseversions(=patch)(~10kiB)sendspatchtoClient(~10kiBtransferred)Cl
我构建了两个需要相互通信和发送文件的Rails应用程序。例如,一个Rails应用程序会发送请求以查看其他应用程序数据库中的表。然后另一个应用程序将呈现该表的json并将其发回。我还希望一个应用程序将存储在其公共(public)目录中的文本文件发送到另一个应用程序的公共(public)目录。我从来没有做过这样的事情,所以我什至不知道从哪里开始。任何帮助,将不胜感激。谢谢! 最佳答案 无论Rails是什么,几乎所有Web应用程序都有您的要求,大多数现代Web应用程序都需要相互通信。但是有一个小小的理解需要你坚持下去,网站不应直接访问彼此
我尝试运行2.x应用程序。我使用rvm并为此应用程序设置其他版本的ruby:$rvmuseree-1.8.7-head我尝试运行服务器,然后出现很多错误:$script/serverNOTE:Gem.source_indexisdeprecated,useSpecification.Itwillberemovedonorafter2011-11-01.Gem.source_indexcalledfrom/Users/serg/rails_projects_terminal/work_proj/spohelp/config/../vendor/rails/railties/lib/r
刚入门rails,开始慢慢理解。有人可以解释或给我一些关于在application_controller中编码的好处或时间和原因的想法吗?有哪些用例。您如何为Rails应用程序使用应用程序Controller?我不想在那里放太多代码,因为据我了解,每个请求都会调用此Controller。这是真的? 最佳答案 ApplicationController实际上是您应用程序中的每个其他Controller都将从中继承的类(尽管这不是强制性的)。我同意不要用太多代码弄乱它并保持干净整洁的态度,尽管在某些情况下ApplicationContr
我正在编写一个小脚本来定位aws存储桶中的特定文件,并创建一个临时验证的url以发送给同事。(理想情况下,这将创建类似于在控制台上右键单击存储桶中的文件并复制链接地址的结果)。我研究过回形针,它似乎不符合这个标准,但我可能只是不知道它的全部功能。我尝试了以下方法:defauthenticated_url(file_name,bucket)AWS::S3::S3Object.url_for(file_name,bucket,:secure=>true,:expires=>20*60)end产生这种类型的结果:...-1.amazonaws.com/file_path/file.zip.A
这里是Ruby新手。完成一些练习后碰壁了。练习:计算一系列成绩的字母等级创建一个方法get_grade来接受测试分数数组。数组中的每个分数应介于0和100之间,其中100是最大分数。计算平均分并将字母等级作为字符串返回,即“A”、“B”、“C”、“D”、“E”或“F”。我一直返回错误:avg.rb:1:syntaxerror,unexpectedtLBRACK,expecting')'defget_grade([100,90,80])^avg.rb:1:syntaxerror,unexpected')',expecting$end这是我目前所拥有的。我想坚持使用下面的方法或.join,
我是一个Rails初学者,但我想从我的RailsView(html.haml文件)中查看Ruby变量的内容。我试图在ruby中打印出变量(认为它会在终端中出现),但没有得到任何结果。有什么建议吗?我知道Rails调试器,但更喜欢使用inspect来打印我的变量。 最佳答案 您可以在View中使用puts方法将信息输出到服务器控制台。您应该能够在View中的任何位置使用Haml执行以下操作:-puts@my_variable.inspect 关于ruby-on-rails-如何在我的R
在Ruby中是否有Gem或安全删除文件的方法?我想避免系统上可能不存在的外部程序。“安全删除”指的是覆盖文件内容。 最佳答案 如果您使用的是*nix,一个很好的方法是使用exec/open3/open4调用shred:`shred-fxuz#{filename}`http://www.gnu.org/s/coreutils/manual/html_node/shred-invocation.html检查这个类似的帖子:Writingafileshredderinpythonorruby?
是否可以在应用程序中包含的gem代码中知道应用程序的Rails文件系统根目录?这是gem来源的示例:moduleMyGemdefself.included(base)putsRails.root#returnnilendendActionController::Base.send:include,MyGem谢谢,抱歉我的英语不好 最佳答案 我发现解决类似问题的解决方案是使用railtie初始化程序包含我的模块。所以,在你的/lib/mygem/railtie.rbmoduleMyGemclassRailtie使用此代码,您的模块将在
无论您是想搭建桌面端、WEB端或者移动端APP应用,HOOPSPlatform组件都可以为您提供弹性的3D集成架构,同时,由工业领域3D技术专家组成的HOOPS技术团队也能为您提供技术支持服务。如果您的客户期望有一种在多个平台(桌面/WEB/APP,而且某些客户端是“瘦”客户端)快速、方便地将数据接入到3D应用系统的解决方案,并且当访问数据时,在各个平台上的性能和用户体验保持一致,HOOPSPlatform将帮助您完成。利用HOOPSPlatform,您可以开发在任何环境下的3D基础应用架构。HOOPSPlatform可以帮您打造3D创新型产品,HOOPSSDK包含的技术有:快速且准确的CAD
