評估SaaS服務(wù)安全性的要點(diǎn)

從業(yè)務(wù)的角度來(lái)看，“上云”的

好處包括：節省成本、提高敏捷性和更易擴展的功能。

Gartner副總裁兼分析師Patrick Hevesi說(shuō)：“我們面臨的挑戰是需要了解SaaS供應商是如何保護其基礎架構、變更管理

和事件響應流程的?！?

根據Gartner2019年的報告，并非所有SaaS提供商的安全性都是透明的。報告說(shuō)，企業(yè)必須對兩種危害有充分認識：一

種是將重要的用戶(hù)數據放入云服務(wù)的危害，另一種是充分信任云服務(wù)商的危害。

與任何企業(yè)一樣，SaaS提供商也容易遭受許多相同的惡意軟件和侵犯，一旦云服務(wù)遭受侵犯，往往會(huì )城門(mén)失火殃及

池魚(yú)，云服務(wù)用戶(hù)也會(huì )受到影響。因此，我們建議計劃使用云服務(wù)的企業(yè)，對云服務(wù)商進(jìn)行必要的安全評估，降低業(yè)務(wù)

危害，以下是網(wǎng)絡(luò )安全技術(shù)人士對于評估SaaS供應商的十個(gè)建議：

通信設備公司西門(mén)子美國公司首席網(wǎng)絡(luò )安全官庫爾特·約翰（Kurt John）說(shuō)，在評估SaaS提供商時(shí)，公司需要了解的主要

概念是安全把控職責的轉變。

公司還應密切注意提供商的隱私政策或服務(wù)條款，以確保不會(huì )共享個(gè)人信息。IT咨詢(xún)公司Ascent Solutions的網(wǎng)絡(luò )安全策略

師Kayne McGladrey說(shuō)：“盡管這聽(tīng)起來(lái)理所當然，但現實(shí)中往往會(huì )被遺漏?！?

McGladrey指出，另一個(gè)令人擔憂(yōu)的問(wèn)題是，如果隱私政策中沒(méi)有聲明遵守特定法規，例如《通用數據保護法規》（GDPR）

或《加州消費者隱私法案》（CCPA），則該聲明不符合要求。他說(shuō)：“缺乏必要的合規性，可能表明SaaS提供商沒(méi)有跟上

法律和監管的步伐?！?

營(yíng)銷(xiāo)技術(shù)提供商Epsilon的CIO Robert Walden表示，從安全性，合規性和隱私性的角度來(lái)看，這都取決于數據?！傲私?

通過(guò)SaaS解決方案存儲或傳輸什么樣的數據，誰(shuí)有權訪(fǎng)問(wèn)數據，誰(shuí)擁有數據，如何保護數據以及在發(fā)生安全漏洞時(shí)誰(shuí)應負

責都非常重要”,Walden說(shuō)道。

Pinto說(shuō)，在采購過(guò)程中， 團隊的成員應始終與采購團隊聯(lián)系?！安少張F隊應與安全團隊保持一致，并讓他們量化

流程中的安全危害。大多數采購團隊仍然沒(méi)有意識到身份和訪(fǎng)問(wèn)管理是一門(mén)技術(shù)?！?

SaaS提供商可能使用的子服務(wù)也是需要討論的話(huà)題。John說(shuō)：“這些問(wèn)題需要在簽訂任何合同之前解決?！薄斑@可能會(huì )影響您

對數據存儲位置的要求?！?

應在的SaaS試用期間進(jìn)行無(wú)死角的IT和安全性的測試，包括容量和峰值的壓力測試。Pinto說(shuō)：“應該有多個(gè)管理員

和超級用戶(hù)同時(shí)使用該工具，并在同一窗口內評估性能?！?

John說(shuō)，很重要的一個(gè)環(huán)節是查看云服務(wù)商的第三方審計報告，包括滲透測試結果，這些結果將確認安全把控的適用性。

“索取認證的也有助于確定云服務(wù)商的企業(yè)級安全把控的成熟度?！?