摘要:民主化和的廣泛應(yīng)用意味著每個(gè)人都需要了解云計(jì)算應(yīng)用程序的安全性����。以下將提出一些關(guān)于應(yīng)用程序安全性的基本問(wèn)題。實(shí)際上���,在年棄用了���,其中采用傳輸層安全替代了。更智能的應(yīng)用程序或管理覆蓋可以幫助標(biāo)記和安全鎖定。
IT民主化和SaaS的廣泛應(yīng)用意味著每個(gè)人都需要了解SaaS云計(jì)算應(yīng)用程序的安全性���。
人們可以想象一下沒(méi)有軟件即服務(wù)(SaaS)的場(chǎng)景��,這真的很難做到���,因?yàn)楹芏嗥髽I(yè)、組織和個(gè)人幾乎每天都依賴(lài)這些云應(yīng)用服務(wù)�����。
人們對(duì)SaaS應(yīng)用的依賴(lài)性越強(qiáng)�����,就越意識(shí)到他們擔(dān)負(fù)責(zé)任的重要性�����。而SaaS領(lǐng)域的安全性��、治理和合規(guī)性需要仔細(xì)研究�。
用戶(hù)都是首席信息安全官(CISO)
大多數(shù)Office 365或SalesForce和Slack用戶(hù)�����,或任何其他SaaS應(yīng)用程序都通過(guò)軟件與他們聯(lián)系以完成他們的工作。但是他們通常也有控制權(quán)��,因?yàn)樵谀承┣闆r下可以控制很多設(shè)置��。以前由IT管理人員處理這些內(nèi)容����,他們也可能影響或甚至決定首先注冊(cè)一個(gè)應(yīng)用程序。
換句話(huà)說(shuō)��,除了使用SaaS應(yīng)用程序外��,最終用戶(hù)也承擔(dān)了評(píng)估和管理它們的角色�。這顯示了“IT民主化”如何不僅讓人們掌握更多技術(shù),而且還加大了責(zé)任����。在很多方面,人們都需要成為虛擬世界的首席信息安全官(CISO)���。
以下將提出一些關(guān)于SaaS應(yīng)用程序安全性的基本問(wèn)題�。特別是身份驗(yàn)證����、加密保護(hù)和管理��。
身份驗(yàn)證選項(xiàng)
最接近最終用戶(hù)的SaaS的安全主題是口令和身份驗(yàn)證���,但面臨諸多挑戰(zhàn)。用戶(hù)不僅需要小心謹(jǐn)慎�����,而且還會(huì)感到困惑����。例如,原來(lái)創(chuàng)建安全密碼的原始規(guī)則不再適用��。
密碼管理器是一種創(chuàng)建和管理長(zhǎng)密碼的好方法�����,現(xiàn)在推薦使用它����,盡管密碼管理器并不能讓人們確信設(shè)定密碼就不會(huì)被黑客入侵。但無(wú)論如何�����,設(shè)定密碼是一個(gè)有效的措施����。
雙因素身份驗(yàn)證(2FA)是實(shí)施安全措施的第二個(gè)步驟,通常將驗(yàn)證代碼發(fā)送到一個(gè)多帶帶的設(shè)備��。但是關(guān)于如何最好地實(shí)施這種方法存在一些爭(zhēng)議�����。例如���,美國(guó)政府不鼓勵(lì)使用SMS(短信驗(yàn)證碼)進(jìn)行身份驗(yàn)證�����。
然后還有其他一些因素��,例如生物識(shí)別或地理標(biāo)記���,這些因素可以強(qiáng)化身份驗(yàn)證并觸發(fā)異常登錄活動(dòng)的警報(bào)。強(qiáng)認(rèn)證還與加密通道����、密碼散列�、事件監(jiān)控��,以及其他高級(jí)技術(shù)相關(guān)聯(lián)��。
那么企業(yè)的SaaS提供商使用哪種認(rèn)證���?雙因素或是多因素���?他們是否以其他方式增強(qiáng)密碼安全性?他們?nèi)绾未龠M(jìn)在多個(gè)應(yīng)用程序采用單點(diǎn)登錄(SSO)或聯(lián)合身份驗(yàn)證����?
加密和保護(hù)數(shù)據(jù)
另一個(gè)值得關(guān)注的問(wèn)題是,一旦企業(yè)與其數(shù)據(jù)與應(yīng)用程序互動(dòng)����,會(huì)發(fā)生什么情況?那么企業(yè)的SaaS提供商如何處理傳輸中�、使用中、靜止中的數(shù)據(jù)���?
傳統(tǒng)上�,網(wǎng)絡(luò)公司已經(jīng)使用安全套接字層(SSL)進(jìn)行通信。實(shí)際上���,IETF在2015年棄用了SSL��,其中采用傳輸層安全(TLS)1.0替代了SSL 3.1����。已經(jīng)實(shí)現(xiàn)這些加密協(xié)議的網(wǎng)站被標(biāo)記為Secure HTTPS(SSL/TLS中的HTTP)�����。
如果企業(yè)的SaaS提供商與許多基于云計(jì)算的公司一樣����,他們可能會(huì)使用多租戶(hù)架構(gòu)���,這意味著企業(yè)的數(shù)據(jù)很可能最終與他人的數(shù)據(jù)相鄰��。使用什么類(lèi)型的加密以及控件的粒度如何���?無(wú)論架構(gòu)如何,他們將如何備份���、復(fù)制�、存儲(chǔ)和恢復(fù)數(shù)據(jù)?
另一組問(wèn)題涉及數(shù)據(jù)的類(lèi)型����。受到最多關(guān)注的數(shù)據(jù)泄露涉及個(gè)人可識(shí)別信息(PII)的發(fā)布,該類(lèi)信息越來(lái)越受政府部門(mén)的監(jiān)管����,并受到歐盟“通用數(shù)據(jù)保護(hù)條例”(GDPR)的大量關(guān)注。因此�����,除了加密之外�����,企業(yè)的SaaS提供商還有哪些方法可以防止PII和敏感數(shù)據(jù)的丟失�?
管理、政策和治理
數(shù)據(jù)丟失防護(hù)(DLP)主題與用戶(hù)控制問(wèn)題重疊����,因?yàn)閿?shù)據(jù)可能會(huì)因不正確的設(shè)置而無(wú)意中暴露。最終用戶(hù)可以在開(kāi)展最少(或不需要)培訓(xùn)的情況下開(kāi)始使用大多數(shù)SaaS應(yīng)用程序���,但考慮到其潛在的損害�����,這可能不是一個(gè)好習(xí)慣��。
即使最終用戶(hù)獲得這樣的控制權(quán)利���,但具有限制人為錯(cuò)誤的可能性����。更智能的應(yīng)用程序(或管理覆蓋)可以幫助標(biāo)記和PII 安全鎖定��。
管理角色是安全和合規(guī)性影響的另一個(gè)問(wèn)題���。限制特權(quán)訪問(wèn)是一個(gè)很好的普遍做法,但它是GDPR法規(guī)的一個(gè)特別關(guān)注點(diǎn)��。體系結(jié)構(gòu)良好的應(yīng)用程序還應(yīng)該方便添加和刪除賬戶(hù)���。在這方面�,企業(yè)可能會(huì)看到其SaaS提供商是否利用了跨域身份管理系統(tǒng)(SCIM)�����,這是一種自動(dòng)交換用戶(hù)ID的開(kāi)放標(biāo)準(zhǔn)。
企業(yè)針對(duì)其SaaS提供商的一些最終政策相關(guān)問(wèn)題:他們是否可以將登錄限制為與企業(yè)網(wǎng)絡(luò)或VPN一致的指定IP范圍���?他們是否允許企業(yè)在移動(dòng)設(shè)備上管理該應(yīng)用的可用性�����?是否有會(huì)話(huà)超時(shí)閾值的調(diào)整����?
不僅僅是網(wǎng)絡(luò)安全的忍者
雖然上面的一些問(wèn)題可能看起來(lái)是基本的問(wèn)題��,人們可能會(huì)認(rèn)為只有網(wǎng)絡(luò)安全管理人員才能掌握什么是關(guān)鍵�,但事實(shí)并非如此。在此應(yīng)該揭開(kāi)這個(gè)話(huà)題的神秘面紗���。這符合應(yīng)用程序制造商�,最終用戶(hù)和第三方提供商等所有人的利益���,需要人們看到云計(jì)算應(yīng)用程序安全性的所有權(quán)是一個(gè)整體和無(wú)處不在的責(zé)任���。
文章版權(quán)歸作者所有�����,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為����,您可以聯(lián)系管理員刪除�。
轉(zhuǎn)載請(qǐng)注明本文地址:http://www.ezyhdfw.cn/yun/5758.html
