評估SaaS服務安全性的要點

從業(yè)務的角度來看，“上云”的

好處包括：節(jié)省成本、提高敏捷性和更易擴展的功能。

Gartner副總裁兼分析師Patrick Hevesi說：“我們面臨的挑戰(zhàn)是需要了解SaaS供應商是如何保護其基礎架構、變更管理

和事件響應流程的。”

根據Gartner2019年的報告，并非所有SaaS提供商的安全性都是透明的。報告說，企業(yè)必須對兩種危害有充分認識：一

種是將重要的用戶數據放入云服務的危害，另一種是充分信任云服務商的危害。

與任何企業(yè)一樣，SaaS提供商也容易遭受許多相同的惡意軟件和侵犯，一旦云服務遭受侵犯，往往會城門失火殃及

池魚，云服務用戶也會受到影響。因此，我們建議計劃使用云服務的企業(yè)，對云服務商進行必要的安全評估，降低業(yè)務

危害，以下是網絡安全技術人士對于評估SaaS供應商的十個建議：

通信設備公司西門子美國公司首席網絡安全官庫爾特·約翰（Kurt John）說，在評估SaaS提供商時，公司需要了解的主要

概念是安全把控職責的轉變。

公司還應密切注意提供商的隱私政策或服務條款，以確保不會共享個人信息。IT咨詢公司Ascent Solutions的網絡安全策略

師Kayne McGladrey說：“盡管這聽起來理所當然，但現實中往往會被遺漏。”

McGladrey指出，另一個令人擔憂的問題是，如果隱私政策中沒有聲明遵守特定法規(guī)，例如《通用數據保護法規(guī)》（GDPR）

或《加州消費者隱私法案》（CCPA），則該聲明不符合要求。他說：“缺乏必要的合規(guī)性，可能表明SaaS提供商沒有跟上

法律和監(jiān)管的步伐。”

營銷技術提供商Epsilon的CIO Robert Walden表示，從安全性，合規(guī)性和隱私性的角度來看，這都取決于數據?！傲私?

通過SaaS解決方案存儲或傳輸什么樣的數據，誰有權訪問數據，誰擁有數據，如何保護數據以及在發(fā)生安全漏洞時誰應負

責都非常重要”,Walden說道。

Pinto說，在采購過程中， 團隊的成員應始終與采購團隊聯系。“采購團隊應與安全團隊保持一致，并讓他們量化

流程中的安全危害。大多數采購團隊仍然沒有意識到身份和訪問管理是一門技術?！?

SaaS提供商可能使用的子服務也是需要討論的話題。John說：“這些問題需要在簽訂任何合同之前解決?！薄斑@可能會影響您

對數據存儲位置的要求?！?

應在的SaaS試用期間進行無死角的IT和安全性的測試，包括容量和峰值的壓力測試。Pinto說：“應該有多個管理員

和超級用戶同時使用該工具，并在同一窗口內評估性能。”

John說，很重要的一個環(huán)節(jié)是查看云服務商的第三方審計報告，包括滲透測試結果，這些結果將確認安全把控的適用性。

“索取認證的也有助于確定云服務商的企業(yè)級安全把控的成熟度?！?