IT民主化和SaaS的廣泛應(yīng)用意味著每個人都需要了解SaaS云計算應(yīng)用程序的安全性。

人們可以想象一下沒有軟件即服務(wù)（SaaS）的場景，這真的很難做到，因為很多企業(yè)、組織和個人幾乎每天都依賴這些云應(yīng)用服務(wù)。

人們對SaaS應(yīng)用的依賴性越強，就越意識到他們擔(dān)負(fù)責(zé)任的重要性。而SaaS領(lǐng)域的安全性、治理和合規(guī)性需要仔細(xì)研究。

用戶都是首席信息安全官（CISO）

大多數(shù)Office 365或SalesForce和Slack用戶，或任何其他SaaS應(yīng)用程序都通過軟件與他們聯(lián)系以完成他們的工作。但是他們通常也有控制權(quán)，因為在某些情況下可以控制很多設(shè)置。以前由IT管理人員處理這些內(nèi)容，他們也可能影響或甚至決定首先注冊一個應(yīng)用程序。

換句話說，除了使用SaaS應(yīng)用程序外，最終用戶也承擔(dān)了評估和管理它們的角色。這顯示了“IT民主化”如何不僅讓人們掌握更多技術(shù)，而且還加大了責(zé)任。在很多方面，人們都需要成為虛擬世界的首席信息安全官（CISO）。

以下將提出一些關(guān)于SaaS應(yīng)用程序安全性的基本問題。特別是身份驗證、加密保護和管理。

身份驗證選項

最接近最終用戶的SaaS的安全主題是口令和身份驗證，但面臨諸多挑戰(zhàn)。用戶不僅需要小心謹(jǐn)慎，而且還會感到困惑。例如，原來創(chuàng)建安全密碼的原始規(guī)則不再適用。

密碼管理器是一種創(chuàng)建和管理長密碼的好方法，現(xiàn)在推薦使用它，盡管密碼管理器并不能讓人們確信設(shè)定密碼就不會被黑客入侵。但無論如何，設(shè)定密碼是一個有效的措施。

雙因素身份驗證（2FA）是實施安全措施的第二個步驟，通常將驗證代碼發(fā)送到一個單獨的設(shè)備。但是關(guān)于如何最好地實施這種方法存在一些爭議。例如，美國政府不鼓勵使用SMS（短信驗證碼）進行身份驗證。

然后還有其他一些因素，例如生物識別或地理標(biāo)記，這些因素可以強化身份驗證并觸發(fā)異常登錄活動的警報。強認(rèn)證還與加密通道、密碼散列、事件監(jiān)控，以及其他高級技術(shù)相關(guān)聯(lián)。

那么企業(yè)的SaaS提供商使用哪種認(rèn)證？雙因素或是多因素？他們是否以其他方式增強密碼安全性？他們?nèi)绾未龠M在多個應(yīng)用程序采用單點登錄（SSO）或聯(lián)合身份驗證？

加密和保護數(shù)據(jù)

另一個值得關(guān)注的問題是，一旦企業(yè)與其數(shù)據(jù)與應(yīng)用程序互動，會發(fā)生什么情況？那么企業(yè)的SaaS提供商如何處理傳輸中、使用中、靜止中的數(shù)據(jù)？

傳統(tǒng)上，網(wǎng)絡(luò)公司已經(jīng)使用安全套接字層（SSL）進行通信。實際上，IETF在2015年棄用了SSL，其中采用傳輸層安全（TLS）1．0替代了SSL 3．1。已經(jīng)實現(xiàn)這些加密協(xié)議的網(wǎng)站被標(biāo)記為Secure HTTPS（SSL／TLS中的HTTP）。

如果企業(yè)的SaaS提供商與許多基于云計算的公司一樣，他們可能會使用多租戶架構(gòu)，這意味著企業(yè)的數(shù)據(jù)很可能最終與他人的數(shù)據(jù)相鄰。使用什么類型的加密以及控件的粒度如何？無論架構(gòu)如何，他們將如何備份、復(fù)制、存儲和恢復(fù)數(shù)據(jù)？

另一組問題涉及數(shù)據(jù)的類型。受到最多關(guān)注的數(shù)據(jù)泄露涉及個人可識別信息（PII）的發(fā)布，該類信息越來越受政府部門的監(jiān)管，并受到歐盟“通用數(shù)據(jù)保護條例”（GDPR）的大量關(guān)注。因此，除了加密之外，企業(yè)的SaaS提供商還有哪些方法可以防止PII和敏感數(shù)據(jù)的丟失？

管理、政策和治理

數(shù)據(jù)丟失防護（DLP）主題與用戶控制問題重疊，因為數(shù)據(jù)可能會因不正確的設(shè)置而無意中暴露。最終用戶可以在開展最少（或不需要）培訓(xùn)的情況下開始使用大多數(shù)SaaS應(yīng)用程序，但考慮到其潛在的損害，這可能不是一個好習(xí)慣。

即使最終用戶獲得這樣的控制權(quán)利，但具有限制人為錯誤的可能性。更智能的應(yīng)用程序（或管理覆蓋）可以幫助標(biāo)記和PII 安全鎖定。

管理角色是安全和合規(guī)性影響的另一個問題。限制特權(quán)訪問是一個很好的普遍做法，但它是GDPR法規(guī)的一個特別關(guān)注點。體系結(jié)構(gòu)良好的應(yīng)用程序還應(yīng)該方便添加和刪除賬戶。在這方面，企業(yè)可能會看到其SaaS提供商是否利用了跨域身份管理系統(tǒng)（SCIM），這是一種自動交換用戶ID的開放標(biāo)準(zhǔn)。

企業(yè)針對其SaaS提供商的一些最終政策相關(guān)問題：他們是否可以將登錄限制為與企業(yè)網(wǎng)絡(luò)或VPN一致的指定IP范圍？他們是否允許企業(yè)在移動設(shè)備上管理該應(yīng)用的可用性？是否有會話超時閾值的調(diào)整？

不僅僅是網(wǎng)絡(luò)安全的忍者

雖然上面的一些問題可能看起來是基本的問題，人們可能會認(rèn)為只有網(wǎng)絡(luò)安全管理人員才能掌握什么是關(guān)鍵，但事實并非如此。在此應(yīng)該揭開這個話題的神秘面紗。這符合應(yīng)用程序制造商，最終用戶和第三方提供商等所有人的利益，需要人們看到云計算應(yīng)用程序安全性的所有權(quán)是一個整體和無處不在的責(zé)任。