SaaS(Software-as-a-Service)被译为软件即使服务,是随着信息技术发展和应用软件成熟,在21世纪开端兴起的一种创新的,通过互联网提供软件的模式供应商将应用软件统一安排在自己的服务器上,客户可以根据自己实际需求,通过互联网向供应商租用所需的应用软件服务,按使用量和工夫长短向供应商支付用度
企业如何抉择一款平安的SaaS服务商,可以从这几个方面看……
查看SaaS的漏洞管理/修补策略
高管经常关注的一个题目是平安补丁“通常,SaaS提供商会打补丁,尤其是大都租户服务”一家云服务商的漏洞管理效率、成熟度模子、工具、落地办法以及与其他安全工具和流程,例如威胁谍报和UEBA等的集成,都能体现一家云服务商的漏洞管理程度企业也可以利用平衡记分卡给云服务商的漏洞管理服务打分
检讨SaaS与内部平安操纵的一致性
通信设备公司西门子美国公司首席网络安全官库尔特·约翰(Kurt John)说,在评估SaaS提供商经常,公司需要了解的重要概念是平安操纵职责的转变应用SaaS产品要求安全团队专注于其组织的安全环境与SaaS提供商的安全环境之间的接口他说:“您将该当确保提供商的安全功用如何与您的公司信息安全策略保持一致”“任何差异都应在此进程中尽早解决”John以为“控制对齐”有三个要害领域:
- 身份和访问管理(IAM):题目可能包罗回天乏术将现有企业IAM平台与SaaS提供商的产品集成在一起;认证策略冲突,从可用性的角度来看,这可能致使混乱和技巧难题;以及SaaS提供商缺少对单点登录(SSO)的支持。
- 加密和密钥管理:这里的题目包罗SaaS提供商坚持保持对加密的控制,使其可以随时访问客户的信息,以及将数据存储在公司安全范围之外,从而增加了对恰当加密管理的依赖
- 安全监控:这里的题目包罗回天乏术从SaaS环境提供对安全事件日记数据的访问,从而低落了潜在安全风险的透明性John说:“如果战胜的挑战之一是确保服务商回天乏术支配日记”约翰说:“首选的选择是与SaaS提供商成立恰当的数字连接,以便将日记数据实时捐赠送到您现有的安全运营核心”“这可以晋升整体视野,并撑持将当地平安运营功用扩大到云中”
确保您领有数据
公司还应密切留神提供商的隐衷政策或服务条目,以确保不会共享个人信息IT咨询公司Ascent Solutions的网络安全策略师Kayne McGladrey说:“尽管这听其自然起来理所当然,但现实中往往会见被脱漏”
McGladrey说:如果SaaS供应商未许诺不会发售您的业务数据或以“市场研究”的名义出卖您如何利用云服务的数据,这将是一个危险信号如果云服务协议没有明确说明,恳求务必确认提供商不会转售您的数据
确保SaaS提供商的合规性
McGladrey指出,另一个令人担忧的题目是,如果隐衷政策中没有声明恪守特定法例,例如《通用数据保护法规》(GDPR)或《加州消费者隐私法案》(CCPA),则该声明不符合要求。他说:“缺少必要的合规性,可能标明SaaS提供商没有跟上法律和监管的步伐”
McGladrey增补说:“ SaaS供应商该当在数据主权和可选本地化方面领先”“尽管这对于挑选SaaS解决方案的跨国企业特别主要,但是单一地理位置的组织也很有肯能会面遇到近似的合规题目”
晓得数据存储在哪里
营销技巧提供商Epsilon的CIO Robert Walden表示,从安全性,合规性和隐私性的角度来看,这最终都取决于数据“了解通过SaaS解决方案存储或传输什么样的数据,谁有权访问数据,谁领有数据,如何维护数据以及在产生安全漏洞常常谁应负责都非常主要”,Walden说道
Walden说:“许多公司甚至都不知道无意中存储在SaaS解决方案中的敏感数据的类型,或者谁可以访问这些敏感数据”“此外,良多公司不了解,如果在设置SaaS解决方案期间履行了规范的点击(click-through)协议,则该提供商通常对数据具有所有权”
检查数据丢失或破坏的规定
从数据保护的角度来看,许多公司没有意识到,尽管SaaS协议可能包含灾难恢复条目,但这些条目往往并未涵盖数据丢失或破坏的题目
安全团队应该介入SaaS采购进程
Pinto说,在采购进程中,安全和风险团队的成员应始终与采购团队联络“采购团队应与安全团队保持一致,并让他们量化流程中的风险。大多数采购团队仍然没有意识到身份和访问管理是一门专业”
John说,信息安全团队应列席所有要害讨论,以确保解决涵盖与数据安全有关的技能或非技术性题目“对于我们来说,如果云服务商回天乏术及时解决网络安全题目,将从我们的候选名单上消散”
辨认SaaS提供商应用的子服务
SaaS提供商可能运用的子服务也是需要讨论的话题John说:“这些题目需要在签订任何合同之前解决”“这可能会影响您的组织对数据存储位置的要求”
约翰说,在评估SaaS的安全告诉经常,“主要的是确认报告范围包罗合同中的位置和子服务”“这需要对合同和适用的安全告诉进行交叉检查,以确保审计结果拥有足够的覆盖范围和可靠性”
讨论还应涵盖SaaS提供商确保合规的办法John说:“在解决这个题目不时,主要的是如果了解云服务商的平安服务和功用,例如检测、数据隐衷和事件响应告诉,以及任何相关运动,是否合规。”
在SaaS免费试用期间进行彻底测试
应在免费的SaaS试用期间进行不管死角的IT和安全性的全面测试,包罗容量和峰值的压力测试Pinto说:“该当有大都个管理员和超等用户同时应用该工具,并在同一窗口内评估性能”
另外,需要测试并发和大都历程运动Pinto说:“用户应当了解云服务程序在高负载(忙于盘算或移动信息并创立告诉)常常的响应速度”
John说,作为内部测试的一部分,“还需要评估要害安全流程与SaaS提供商的解决方案集成的能力”“这将有助于确定在解决方案实行后,安全性方面需要投入的资源和本钱”
审查SaaS提供商的第三方安全审计告诉
John说,很重要的一个环节是查看云服务商的最新第三方审计报告,包罗渗透测试结果,这些结果将确认平安操纵的适用性和有效性“索取国度或国际认证的证书也有助于确定云服务商的企业级安全控制的成熟度”
<仙宝云(www.xianboss.com)是国内著名商城体系及商城网站建设提供商,为企业级商家提供零售商城、B2B2C多用户商城系统、仙宝云商城体系、微信分销体系、小程序商城、商城体系等多端商城网站建设解决方案>
申明:本网站局部文章和图片根源网络编辑,如有侵权及时沟通删除,神仙宝商城原创文章,转载恳求注明起源
。
