SaaS的好处和坏处:可见性是SaaS安全的关键
云的好处是弹性、易用,因而也更具成本效益。软件即服务(SaaS)是未来,通过这种订阅式的在线服务,用户可以节省管理、更新和保护应用程序所需的时间、精力和资源。然而,SaaS有个明显的坏处,安全风险。
事实上,基于云的服务现在是恶意软件最常见的交付方式。据SASE厂商Netskope的统计调查,近70%的黑客和漏洞攻击都是从云服务下载的,97%的云应用程序是在未经安全团队授权甚至是不知情的情况下使用的。
如何评估SaaS应用的安全性
首先,企业要考虑所使用在线服务的可见性。上文中97%的统计数字,并非危言耸听。许多企业正在使用数量如此多的SaaS应用,以至于安全团队很难跟踪它们,最终导致安全事件的发生。还有一个令人意外的统计(https://track.g2.com/resources/shadow-it-statistics),由于缺乏SaaS应用的可见性,仅英美两国的机构,每年为并未使用的SaaS和不同账户使用重复的SaaS,多掏了340亿美元的订阅费。
在线服务本身的安全性是一个非常常见且重要的问题。安全团队应该考虑登录信息是否使用了足够的加密,检查在线服务过去是否遭到过黑客攻击,如果是的话,提供商做出了哪些响应措施。即使把这些工作都做完,也要注意,在线服务的安全性还取决于人们使用它的方式。如确保员工在登录SaaS服务和网络时使用不同的凭证,并且员工之间不能共享帐户或凭证,员工离职后要及时吊销账户。
SaaS安全性需要考虑的另一个方面是不同SaaS应用之间的交互,即SaaS的连接性,包括应用程序和服务相互发送通知等功能,往深里想一下,其实这就是一个潜在的数据隐私漏洞。组织是否了解员工如何使用多个应用程序和附加组件,以及集成和通知需要哪些权限?
SaaS的使用也会影响整体网络安全。例如,有些应用服务经常会在用户设备上安装代码或cookie。这里需要考虑的是,该代码是否包含可能干扰IT系统的最佳运行?该服务是否与第三方共享有关用户活动的数据,这些第三方是否安全?一项服务是否会在其活动中潜在地损害组织的资源(不管是有意还是无意)?
结论
企业中的SaaS应用问题比比皆是,很难找到所有的答案,但在解决问题之前,企业至少要意识到问题,而不是无视问题。这种安全意识这将有助制定适当的安全策略,并将安全预算投入到最符合企业需求的安全解决方案上。
SaaS或其他基于云的服务每年可以为企业节省大量资金,除了成本以外,云还可以提高灵活性、提高效率、更好地利用数据和更好的为客户服务。然而,所有这些都可能以安全为代价。通过增加对SaaS在组织内活动的可见性,安全团队可以确保在充分享受这些服务的同时,避免风险。
相关文章
- 【技术种草】cdn+轻量服务器+hugo=让博客“云原生”一下
- CLB运维&运营最佳实践 ---访问日志大洞察
- vnc方式登陆服务器
- 轻松学排序算法:眼睛直观感受几种常用排序算法
- 十二个经典的大数据项目
- 为什么使用 CDN 内容分发网络?
- 大数据——大数据默认端口号列表
- Weld 1.1.5.Final,JSR-299 的框架
- JavaFX 2012:彻底开源
- 提升as3程序性能的十大要点
- 通过凸面几何学进行独立于边际的在线多类学习
- 利用行动影响的规律性和部分已知的模型进行离线强化学习
- ModelLight:基于模型的交通信号控制的元强化学习
- 浅谈Visual Source Safe项目分支
- 基于先验知识的递归卡尔曼滤波的代理人联合状态和输入估计
- 结合网络结构和非线性恢复来提高声誉评估的性能
- 最佳实践丨云开发CloudBase多环境管理实践
- TimeVAE:用于生成多变量时间序列的变异自动编码器
- 具有线性阈值激活的神经网络:结构和算法
- 内网渗透之横向移动 -- 从域外向域内进行密码喷洒攻击