云服务器租赁可以使用SaaS软件来确保数据安全吗?
发布时间:2020-01-10 点击数:1668
云服务器租赁框架的部署下,人们可以想象没有软件即服务(SaaS)的情况,这确实很难做到,因为许多企业,组织和个人几乎每天都依赖这些云应用程序服务。
用户是首席信息安全官(CISO)
大多数Office 365或SalesForce和Slack用户或任何其他SaaS应用程序都通过软件与他们联系以完成其工作。但是它们通常也可以控制,因为在某些情况下可以控制许多设置。此内容先前由IT经理处理,他们可能还会影响甚至决定首先注册应用程序。换句话说,除了使用SaaS应用程序外,最终用户还承担着评估和管理它们的角色。这表明“ IT民主化”不仅使人们有能力获得更多技术,而且增强了责任感。在许多方面,人们需要成为虚拟世界的首席信息安全官(CISO)。
以下是有关SaaS应用程序安全性的一些基本问题。特别是身份验证,加密保护和管理。
SaaS应用程序软件可以确保数据安全吗?
验证选项
主题最接近最终用户的SaaS的安全主题是密码和身份验证,但面临许多挑战。用户不仅需要小心,而且可能会感到困惑。例如,创建安全密码的原始规则不再适用。密码管理器是创建和管理长密码的好方法。现在建议使用它,尽管密码管理器不能使人们相信设置密码不会被黑客入侵。但是,设置密码是一种有效的措施。
双向身份验证(2FA)是实施安全措施的第二步,通常将验证码发送到单独的设备。但是,关于如何最好地实施这种方法存在一些争议。例如,美国政府不鼓励使用SMS(SMS验证码)进行身份验证。
然后还有其他因素,例如生物识别或地理标记,可以加强身份验证并触发异常登录活动的警报。强大的身份验证还与加密通道,密码哈希,事件监视和其他高级技术相关。
那么企业SaaS提供商使用哪些认证?两因素还是多因素?它们是否还能增强密码安全性?它们如何促进跨多个应用程序的单点登录(SSO)或联盟?
加密和保护数据
另一个问题是,一旦企业与其数据和应用程序进行交互,会发生什么?那么,企业SaaS提供商如何处理传输,使用和静态数据?传统上,网络公司使用安全套接字层(SSL)进行通信。实际上,IETF在2015年弃用了SSL,并用传输层安全性(TLS)1.0取代了SSL 3.1。已实施这些加密协议的网站被标记为安全HTTPS(SSL / TLS中的HTTP)。
如果企业的SaaS提供商像许多基于云的公司一样,则它们可能会使用多租户架构,这意味着该企业的数据可能最终会紧随其他数据。使用哪种类型的加密,控件的粒度如何?无论体系结构如何,它们将如何备份,复制,存储和还原数据?
另一组问题与数据类型有关。最令人关注的数据泄露事件涉及个人身份信息(PII)的发布,该信息日益受到政府机构的监管,并受到欧盟通用数据保护条例(GDPR)的广泛关注。因此,除了加密外,公司的SaaS提供商还可以通过哪些其他方式来防止PII和敏感数据的丢失?
管理,政策与治理
数据丢失防护(DLP)主题与用户控制问题重叠,因为数据可能由于不正确的设置而无意间公开。最终用户可以在最少(或没有)培训的情况下开始使用大多数SaaS应用程序,但是考虑到其潜在的危害,这可能不是一个好习惯。
即使最终用户获得了这种控制权,也有可能限制人为错误。更智能的应用程序(或管理替代)可以帮助标记和PII安全锁定。
管理角色是另一个影响安全性和合规性的问题。限制特权访问是一种良好的通用做法,但这是GDPR法规的重点。结构良好的应用程序还应该使添加和删除帐户变得容易。在这方面,公司可能会看到其SaaS提供商是否正在利用跨域身份管理系统(SCIM),这是一种用于自动交换用户ID的开放标准。
企业对他们的SaaS提供商有一些与最终政策相关的问题:是否可以将登录限制在与企业网络或VPN一致的指定IP范围内?它们是否允许企业管理移动设备上应用程序的可用性?会话超时阈值是否有调整?
不仅仅是网络安全的忍者
尽管上面的一些问题看似基本,但人们可能认为只有网络安全经理才能掌握关键问题,但事实并非如此。这个话题的奥秘应该在这里消除。这符合所有人的利益,包括应用程序制造商,最终用户和第三方提供商,并且要求人们看到对云计算应用程序安全性的所有权是不可或缺的,无处不在的责任。
云网时代提供专业的深圳服务器托管,深圳服务器租用,深圳主机托管,云服务器租用等国内外服务器产品,详情可咨询客服了解。