黑帽研究人员：SaaS数据缺乏法律保护

　　正在使用SaaS服务的企业应该当心了，因为他们的SaaS数据是不受法律保护的，政府和民事调查机构可以搜查他们的SaaS服务提供商并扣押这些数据，而且事先不会通知企业，黑帽大会的研究人员披露说。

　　“在云计算中，企业在数据被扣押之前根本无能为力，”安全咨询公司iSEC合伙公司的联合创始人兼合伙人Alex Stamos说。“企业甚至可能根本就无从知悉此事。因为法律没有要求SaaS服务商有通知企业的义务。事实上，很有可能是不允许它们通知客户的。”

　　Stamos所提及的SaaS模式是指企业的所有IT任务，从服务器到前端JavaScript软件都被托管在企业之外的情形。既然SaaS数据不在企业内部，所以它就可能没法受到美国宪法第四修正案的保护，该修正案拒绝无理的搜查和财产扣押。结果是，执法者只须凭一纸传票就可以扣押企业或个人托管在其SaaS服务商服务器上的数据，Stamos说。而执法部门要搞到一张船票可以说是不困难的。反倒是申请搜查证，多少还需要经过司法部门批准才行。

　　Stamos是在上周四在拉斯维加斯举办的2009美国黑帽大会上介绍云计算模式及其缺陷时强调指出了这一问题的。他和他的同事Andrew Becherer和Nathan Wilcox一起考察了平台服务商和基础设施服务商所引发的各种安全问题。

　　非盈利的言论自由与数字版权组织电子前沿基金会已开始考虑这个问题，并告诫说，“把你自己的数据存放在自己的电脑上——不要依赖云——是保护隐私信息最为安全的做法，搜查这样存放的数据一般是需要申请搜查证并预先通知的。”

　　Stamos说他询问过Google，Google答复说，它们规定，在接受任何司法行动之前是会通知客户的。但是Stamos指出，在Google所提供的Google Docs和其他云计算服务的终端许可协议(EULA)条款中并未找到这样的条款。Google的隐私策略申明，公司将会与政府部门共享数据，以满足“任何适用法规、司法程序或执法部门的要求。”

　　“根据法律条文，不管律师们怎么说，机器的实际拥有者才是最重要的，”Stamos说。

　　此外，大多数SaaS和云服务商的EULA协议根本没有向客户承诺任何东西。Stamos极力主张客户在与SaaS厂商签订服务协议时，务必要求服务商在涉及数据泄漏、数据丢失或其他需要恢复数据的灾难性事件中书面承诺可提供帮助。

　　但即便SaaS厂商承诺会提供协助，Stamos还是发现，在协助司法调查时，很多厂商不会保留相应的审计和日志信息。虽然有些厂商，比如Salesforce.com会提供注册和管理操作日志，但Google Apps和微软Office Live则不提供。而且，所有这三大类服务都不提供数据的阅读文档或阅读记录。

　　企业应从SaaS服务商处接管某些控制权。这么做虽然可能违背了SaaS服务的本意，但是毕竟能提供更安全的控制，Stamos说。比如说，启用SAML(安全性断言标记语言)就可以让IT部门严密监控认证过程。SAML还可允许企业将SaaS门户置于VPN之后。

　　总而言之，企业需要制定和SaaS有关的严格的安全策略，并培训使用者熟悉基本的安全流程。

　　“虽说要教会所有的非技术人员是很困难的，但是使用者的教育是非常关键的，”Stamos说。“钓鱼攻击并不是一个个人问题，它也是企业的问题。”(波波编译)