不知道這10點，千萬別用SaaS

不知道這10點，千萬別用saas

對於越來越多的企業來說，軟體即服務(saas)已經成為使用重要業務應用程式的主要手段。從業務的角度來看，這種策略是可行的，因為它有潛在的好處：節約成本、提高了靈活性和更容易擴充套件，等等。

然而，任何基於雲的產品都有安全風險。一家企業怎樣確定其saas提供商的安全條款是否達到了自己的標準呢?

gartner的副總裁兼分析師patrick hevesi解釋說：「我們面臨的挑戰是怎樣才能全面了解saas**商為保護其基礎設施、變更管理程式和事件響應過程所做的工作。」

據gartner 2023年的乙份報告，並非所有saas提供商都對其安全能力保持透明。報告稱，企業應清楚地知道將重要的使用者資料放到雲服務中所要承擔的風險，而且他們還不得不信任雲服務提供商。

saas提供商很容易受到同樣困擾著所有其他企業的很多惡意軟體和黑客的攻擊。這些威脅會影響使用這些服務的企業。把對你的saas提供商的評估過程集中在以下幾個方面能夠最大程度地降低這種風險。

1. 檢查saas補丁策略

高管們擔心的乙個問題是安全補丁。asurion公司為智慧型手機、平板電腦和其他產品提供保險服務，該公司高階安全經理bernie pinto指出：「通常情況下，saas提供商在提供補丁方面會滯後，特別是如果他們是多租戶的，而你的企業只是眾多細分服務客戶之一。」

2. 檢查saas與內部安全控制的一致性

通訊裝置公司西門子美國(siemens usa)的首席網路安全官kurt john認為，在評估saas提供商時，企業應了解的主要概念是安全控制職責的轉變。使用saas產品要求安全部門把重點放在企業安全環境和saas提供商安全環境之間的介面上。他說：「一定要牢牢把握住提供商的安全功能與企業的資訊保安策略是否保持一致。務必在流程的早期就處理好任何差距問題。」

john認為有3個關鍵領域對控制的一致性非常重要：

(1) 身份和訪問管理(iam)

問題可能包括無法將現有的企業iam平台與saas提供商的產品整合;相互衝突的身份驗證策略，從可用性角度來看，可能會導致混淆和技術問題;saas提供商不支援單點登入(sso)。

(2) 加密和金鑰管理

這方面的問題包括saas提供商堅持要保持對加密的控制，允許它隨時訪問客戶的資訊，資料被儲存在企業安全邊界之外，這導致不得不採取相應的加密管理措施。

(3) 安全監視

這方面的問題包括不支援對saas環境下安全事件日誌資料的訪問，對可能出現的安全風險不夠透明。john說：「要克服的挑戰之一是確保日誌不被操控。首選方案是與saas提供商建立足夠的數字連線，以便將日誌資料實時傳送到企業現有的安全運營中心。這有利於從巨集觀上進行把握，允許企業將本地安全操作功能擴充套件到雲中。」

3. 確保企業擁有自己的資料

企業還應詳細檢視提供商承諾的隱私政策或者服務條款，確保他們不會共享個人資訊。it諮詢公司ascent solutions的網路安全策略師kayne mcgladrey說：「儘管這聽起來是能做到的，但很容易被疏忽掉。」

mcgradrey指出，如果saas**商合同中「沒有明確寫明不會**企業的業務資料，也不會**將服務所得資料用於『市場研究』或者類似目的的匿名彙總資料的條款」，那麼這就是乙個危險訊號。如果合同中沒有說明，請務必確認提供商不會轉售你的企業資料。

4. 確保saas提供商遵守相關法規

mcgladrey說，另乙個令人擔憂的問題是，隱私政策會不會沒有包括遵守具體法規的宣告，例如通用資料保護條例(gdpr)和加州消費者隱私法(ccpa)等。他說：「這些都是公認的，如果被遺漏了，可能表明saas提供商沒有跟上法律和監管的趨勢。」

mcgladrey補充道：「saas**商應該在資料主權和可選本地化方面持坦率態度。雖然這對於跨國公司選擇saas解決方案特別重要，但那些受單一地理區域限制的企業則希望避免出現尷尬的情況，例如，美國人的個人資訊被有意處理並儲存在國外的資料中心。」

5. 知道資料儲存在**

營銷技術提供商epsilon公司的首席資訊官robert walden表示，從安全、合規和隱私的角度來看，歸根結底一切都與資料有關。walden說：「知曉通過saas解決方案儲存和傳輸的資料型別、誰有權訪問資料、誰擁有資料、怎樣保護資料，以及在安全洩露事件發生時誰應承擔責任等等，這些都非常重要。」

walden說：「很多企業甚至都不知道無意中儲存在saas解決方案中的敏感資料型別，也不知道誰有權訪問這些資料。此外，企業通常不知道，如果在saas解決方案的建立過程中執行了標準的點選通過協議，則該提供商通常對資料擁有所有權。」

6. 檢查資料丟失或者損壞條款

walden說，從資料保護的角度來看，很多企業沒有意識到，雖然saas協議可能有災難恢復條款，但這些條款並未涵蓋資料丟失或者損壞的問題。

7. 在saas採購過程中涉及的安全

pinto說，在採購過程中，安全和風險部門的成員應該一直與採購部門保持聯絡。「採購部門應與安全部門步調一致，並讓他們參與過程中的風險量化工作。大多數採購部門仍然沒有意識到身份和訪問管理是乙個專業領域。」

john說，資訊保安部門應參與所有關鍵討論，以確保能夠解決涉及資料安全的非技術性問題。「在我們的部門中，如果出現未解決的網路安全問題，那麼提供商就會出局。」

8. 確定saas提供商使用的子服務

談判的主題包括saas提供商可能使用的企業子服務。john說：「在簽署任何合同之前，解決這一問題至關重要。這可能會影響企業提出的任何資料儲存位置要求。」

john說，在評估saas安全報告時，「驗證報告範圍是否包括作為合同一部分的位置和子服務是很重要的。這需要對合同和適用的安全報告進行交叉檢查，以確保審計結果的充分覆蓋和可靠性。」

9. 在免費saas試用期間進行徹底測試

it和安全部門應在免費saas試用期間測試功能，包括最大容量和峰值使用量等。pinto說：「應該有幾個管理員和超級使用者同時使用該工具，在同一視窗內評估效能。」

同時，測試併發和多程序活動。pinto說：「當程式忙於計算、移動資訊和建立報告時，使用者應該知道程式的響應能力如何。」

作為內部測試的一部分，john說：「評估能否將企業的關鍵安全流程與saas提供商的解決方案整合在一起。這將有助於確定可能需要的工作量和成本**，以確保解決方案實施後足夠安全。」

10. 檢查saas提供商的第三方審計

john說，要求提供商提供最新的第三方審計報告並進行檢查，包括任何滲透測試結果，以確認安全控制的適用性和有效性，這是非常重要的。「要求提供國家或者國際認證的證據也有助於確定企業級控制措施的成熟度。」

不知道這10點，千萬別用SaaS

不知道說點啥

沒事兒千萬別點鏈結有毒

這題實在不知道起啥名好了

不知道這10點，千萬別用SaaS

不知道說點啥

沒事兒千萬別點 鏈結有毒

這題實在不知道起啥名好了

相關推薦

沒事兒千萬別點鏈結有毒