摘要:民主化和的广泛应用意味着每个人都需要了解云计算应用程序的安全性。以下将提出一些关于应用程序安全性的基本问题。实际上,在年弃用了,其中采用传输层安全替代了。更智能的应用程序或管理覆盖可以帮助标记和安全锁定。
IT民主化和SaaS的广泛应用意味着每个人都需要了解SaaS云计算应用程序的安全性。
人们可以想象一下没有软件即服务(SaaS)的场景,这真的很难做到,因为很多企业、组织和个人几乎每天都依赖这些云应用服务。
人们对SaaS应用的依赖性越强,就越意识到他们担负责任的重要性。而SaaS领域的安全性、治理和合规性需要仔细研究。
用户都是首席信息安全官(CISO)
大多数Office 365或SalesForce和Slack用户,或任何其他SaaS应用程序都通过软件与他们联系以完成他们的工作。但是他们通常也有控制权,因为在某些情况下可以控制很多设置。以前由IT管理人员处理这些内容,他们也可能影响或甚至决定首先注册一个应用程序。
换句话说,除了使用SaaS应用程序外,最终用户也承担了评估和管理它们的角色。这显示了“IT民主化”如何不仅让人们掌握更多技术,而且还加大了责任。在很多方面,人们都需要成为虚拟世界的首席信息安全官(CISO)。
以下将提出一些关于SaaS应用程序安全性的基本问题。特别是身份验证、加密保护和管理。
身份验证选项
最接近最终用户的SaaS的安全主题是口令和身份验证,但面临诸多挑战。用户不仅需要小心谨慎,而且还会感到困惑。例如,原来创建安全密码的原始规则不再适用。
密码管理器是一种创建和管理长密码的好方法,现在推荐使用它,尽管密码管理器并不能让人们确信设定密码就不会被黑客入侵。但无论如何,设定密码是一个有效的措施。
双因素身份验证(2FA)是实施安全措施的第二个步骤,通常将验证代码发送到一个多带带的设备。但是关于如何最好地实施这种方法存在一些争议。例如,美国政府不鼓励使用SMS(短信验证码)进行身份验证。
然后还有其他一些因素,例如生物识别或地理标记,这些因素可以强化身份验证并触发异常登录活动的警报。强认证还与加密通道、密码散列、事件监控,以及其他高级技术相关联。
那么企业的SaaS提供商使用哪种认证?双因素或是多因素?他们是否以其他方式增强密码安全性?他们如何促进在多个应用程序采用单点登录(SSO)或联合身份验证?
加密和保护数据
另一个值得关注的问题是,一旦企业与其数据与应用程序互动,会发生什么情况?那么企业的SaaS提供商如何处理传输中、使用中、静止中的数据?
传统上,网络公司已经使用安全套接字层(SSL)进行通信。实际上,IETF在2015年弃用了SSL,其中采用传输层安全(TLS)1.0替代了SSL 3.1。已经实现这些加密协议的网站被标记为Secure HTTPS(SSL/TLS中的HTTP)。
如果企业的SaaS提供商与许多基于云计算的公司一样,他们可能会使用多租户架构,这意味着企业的数据很可能最终与他人的数据相邻。使用什么类型的加密以及控件的粒度如何?无论架构如何,他们将如何备份、复制、存储和恢复数据?
另一组问题涉及数据的类型。受到最多关注的数据泄露涉及个人可识别信息(PII)的发布,该类信息越来越受政府部门的监管,并受到欧盟“通用数据保护条例”(GDPR)的大量关注。因此,除了加密之外,企业的SaaS提供商还有哪些方法可以防止PII和敏感数据的丢失?
管理、政策和治理
数据丢失防护(DLP)主题与用户控制问题重叠,因为数据可能会因不正确的设置而无意中暴露。最终用户可以在开展最少(或不需要)培训的情况下开始使用大多数SaaS应用程序,但考虑到其潜在的损害,这可能不是一个好习惯。
即使最终用户获得这样的控制权利,但具有限制人为错误的可能性。更智能的应用程序(或管理覆盖)可以帮助标记和PII 安全锁定。
管理角色是安全和合规性影响的另一个问题。限制特权访问是一个很好的普遍做法,但它是GDPR法规的一个特别关注点。体系结构良好的应用程序还应该方便添加和删除账户。在这方面,企业可能会看到其SaaS提供商是否利用了跨域身份管理系统(SCIM),这是一种自动交换用户ID的开放标准。
企业针对其SaaS提供商的一些最终政策相关问题:他们是否可以将登录限制为与企业网络或VPN一致的指定IP范围?他们是否允许企业在移动设备上管理该应用的可用性?是否有会话超时阈值的调整?
不仅仅是网络安全的忍者
虽然上面的一些问题可能看起来是基本的问题,人们可能会认为只有网络安全管理人员才能掌握什么是关键,但事实并非如此。在此应该揭开这个话题的神秘面纱。这符合应用程序制造商,最终用户和第三方提供商等所有人的利益,需要人们看到云计算应用程序安全性的所有权是一个整体和无处不在的责任。
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/5758.html
摘要:阿里云再次发生故障,这已是年的第二起。这场事故,持续了三个小时左右。针对故障,阿里云表示会根据协议服务合同,尽快处理赔偿事宜。十天前,阿里云今年的第一起事故被曝光。后来,阿里云就此事作出回应,并在网站醒目标识并给出告警。阿里云再次发生故障,这已是2019年的第二起。3月2日23时55分左右,阿里云开始出现大规模宕机故障,位于华北地区的多家互联网公司的IT运维人员发现多个APP和网站开始陷入卡...
摘要:如何选择云主机部署管理软件伴随云计算与服务器技术的结合进一步深化,云主机的发展和使用前已经成为现如今互联网行业发展的趋势。云主机上可以安装盗版软件吗,会不会被查?可以的,服务器是指独立的硬件设备。它其实就是一台放在机房的高配置电脑。是可以安装各种操作系统和应用软件的。只要是在你电脑上能运行的程序。在服务器也可以运行。云主机与VPS类似。阿里云和腾讯云的服务器也不除外的。如何选择云主机部署管理...
摘要:如何选择云主机部署管理软件伴随云计算与服务器技术的结合进一步深化,云主机的发展和使用前已经成为现如今互联网行业发展的趋势。购买了云主机应该如何管理,都该做什么云主机管理,说简单点,你找到好工具就事半功倍了。如何选择云主机部署管理软件?伴随云计算与服务器技术的结合进一步深化,云主机的发展和使用前已经成为现如今互联网行业发展的趋势。随着更多的用户对云主机有了更深的了解,云主机凭借其合理的网站服务...
摘要:如今,新兴技术的关注点不断转移,人们对此已经习以为常,云计算技术也不例外。在此提出的建议是,不要让多云影响企业的云计算发展抱负,并与一家云计算提供商达成良好的合作关系。随着云计算市场的不断增长和发展,供应商将寻求降低定价以获得市场份额。如今,新兴技术的关注点不断转移,人们对此已经习以为常,云计算技术也不例外。多云已经成为IT媒体报道的流行术语,并在各个方面取代了单一云平台。多云具有提高安全性...
阅读 2293·2021-09-22 15:27
阅读 3165·2021-09-03 10:32
阅读 3490·2021-09-01 11:38
阅读 2492·2019-08-30 15:56
阅读 2206·2019-08-30 13:01
阅读 1531·2019-08-29 12:13
阅读 1409·2019-08-26 13:33
阅读 884·2019-08-26 13:30