社区编辑申请
注册/登录
SaaS的好处和坏处:可见性是SaaS安全的关键
安全 云安全 云计算
通过增加对SaaS在组织内活动的可见性,安全团队可以确保在充分享受这些服务的同时,避免风险。

云的好处是弹性、易用,因而也更具成本效益。软件即服务(SaaS)是未来,通过这种订阅式的在线服务,用户可以节省管理、更新和保护应用程序所需的时间、精力和资源。然而,SaaS有个明显的坏处,安全风险。

事实上,基于云的服务现在是恶意软件最常见的交付方式。据SASE厂商Netskope的统计调查,近70%的黑客和漏洞攻击都是从云服务下载的,97%的云应用程序是在未经安全团队授权甚至是不知情的情况下使用的。

如何评估SaaS应用的安全性

首先,企业要考虑所使用在线服务的可见性。上文中97%的统计数字,并非危言耸听。许多企业正在使用数量如此多的SaaS应用,以至于安全团队很难跟踪它们,最终导致安全事件的发生。还有一个令人意外的统计(https://track.g2.com/resources/shadow-it-statistics),由于缺乏SaaS应用的可见性,仅英美两国的机构,每年为并未使用的SaaS和不同账户使用重复的SaaS,多掏了340亿美元的订阅费。

在线服务本身的安全性是一个非常常见且重要的问题。安全团队应该考虑登录信息是否使用了足够的加密,检查在线服务过去是否遭到过黑客攻击,如果是的话,提供商做出了哪些响应措施。即使把这些工作都做完,也要注意,在线服务的安全性还取决于人们使用它的方式。如确保员工在登录SaaS服务和网络时使用不同的凭证,并且员工之间不能共享帐户或凭证,员工离职后要及时吊销账户。

SaaS安全性需要考虑的另一个方面是不同SaaS应用之间的交互,即SaaS的连接性,包括应用程序和服务相互发送通知等功能,往深里想一下,其实这就是一个潜在的数据隐私漏洞。组织是否了解员工如何使用多个应用程序和附加组件,以及集成和通知需要哪些权限?

SaaS的使用也会影响整体网络安全。例如,有些应用服务经常会在用户设备上安装代码或cookie。这里需要考虑的是,该代码是否包含可能干扰IT系统的最佳运行?该服务是否与第三方共享有关用户活动的数据,这些第三方是否安全?一项服务是否会在其活动中潜在地损害组织的资源(不管是有意还是无意)?

结论

企业中的SaaS应用问题比比皆是,很难找到所有的答案,但在解决问题之前,企业至少要意识到问题,而不是无视问题。这种安全意识这将有助制定适当的安全策略,并将安全预算投入到最符合企业需求的安全解决方案上。

SaaS或其他基于云的服务每年可以为企业节省大量资金,除了成本以外,云还可以提高灵活性、提高效率、更好地利用数据和更好的为客户服务。然而,所有这些都可能以安全为代价。通过增加对SaaS在组织内活动的可见性,安全团队可以确保在充分享受这些服务的同时,避免风险。

责任编辑:赵宁宁 来源: 数世咨询
相关推荐

2022-08-02 20:22:01

SaaS安全网络攻击

2022-05-04 00:07:37

SaaS网络安全云安全

2020-12-28 14:40:47

云计算云应用SaaS

2022-05-20 14:07:56

云安全SaaS 安全

2022-07-29 09:00:00

SaaS安全认证

2020-06-03 09:40:44

云计算SaaS安全

2022-04-28 14:09:02

SaaSSaaS安全

2020-06-15 10:18:42

SaaS审查提供商

2012-03-26 10:05:59

2022-05-12 11:20:06

SaaS软件即服务

2020-06-16 11:22:19

SaaS云服务云安全

2020-11-06 10:29:10

云计算SaaS安全云安全

2022-03-14 10:53:23

SaaS托管系统安全行业

2012-10-16 10:02:08

2022-05-24 21:14:19

SaaS云网络管理平

2020-07-28 00:42:20

数据安全SAAS服务网络安全

2022-04-15 11:36:03

2022-03-26 19:14:44

SaaS安全勒索软件网络攻击

2015-07-20 14:54:10

SaaS云服务外包

2013-02-26 09:21:12

SaaSSaaS安全

同话题下的热门内容

一篇文章让你了解 AWS 安全基础AWS公司首席安全官分析和探讨AWS公司的规范性安全性

编辑推荐

云端创新如何改变灾难恢复关于云安全的三个鲜为人知的秘密8个非常好的云安全解决方案Kubernetes的严重漏洞将所有服务器暴露在DoS攻击面前!2018年的十大云宕机事件,你中枪没?
我收藏的内容
点赞
收藏

51CTO技术栈公众号