不清楚这10点，千万别用SaaS

Gartner的副总裁兼分析师Patrick Hevesi解释说：“我们面临的挑战是怎样才能全面了解SaaS供应商为保护其基础设施、变更管理程序和事件响应过程所做的工作。”

据Gartner 2019年的一份报告，并非所有SaaS提供商都对其安全能力保持透明。报告称，企业应清楚地知道将重要的用户数据放到云服务中所要承担的风险，而且他们还不得不信任云服务提供商。

SaaS提供商很容易受到同样困扰着所有其他企业的很多恶意软件和黑客的攻击。这些威胁会影响使用这些服务的企业。把对你的SaaS提供商的评估过程集中在以下几个方面能够最大程度地降低这种风险。

1. 检查SaaS补丁策略

高管们担心的一个问题是安全补丁。Asurion公司为智能手机、平板电脑和其他产品提供保险服务，该公司高级安全经理Bernie Pinto指出：“通常情况下，SaaS提供商在提供补丁方面会滞后，特别是如果他们是多租户的，而你的企业只是众多细分服务客户之一。”

2. 检查SaaS与内部安全控制的一致性

通信设备公司西门子美国(Siemens USA)的首席网络安全官Kurt John认为，在评估SaaS提供商时，企业应了解的主要概念是安全控制职责的转变。使用SaaS产品要求安全部门把重点放在企业安全环境和SaaS提供商安全环境之间的接口上。他说：“一定要牢牢把握住提供商的安全功能与企业的信息安全策略是否保持一致。务必在流程的早期就处理好任何差距问题。”

John认为有3个关键领域对控制的一致性非常重要：

(1) 身份和访问管理(IAM)

问题可能包括无法将现有的企业IAM平台与SaaS提供商的产品集成;相互冲突的身份验证策略，从可用性角度来看，可能会导致混淆和技术问题;SaaS提供商不支持单点登录(SSO)。

(2) 加密和密钥管理

这方面的问题包括SaaS提供商坚持要保持对加密的控制，允许它随时访问客户的信息，数据被存储在企业安全边界之外，这导致不得不采取相应的加密管理措施。

(3) 安全监视

这方面的问题包括不支持对SaaS环境下安全事件日志数据的访问，对可能出现的安全风险不够透明。John说：“要克服的挑战之一是确保日志不被操控。首选方案是与SaaS提供商建立足够的数字连接，以便将日志数据实时传送到企业现有的安全运营中心。这有利于从宏观上进行把握，允许企业将本地安全操作功能扩展到云中。”

（编辑：宣城站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!