資訊專欄INFORMATION COLUMN
摘要:民主化和的廣泛應用意味著每個人都需要了解云計算應用程序的安全性。以下將提出一些關于應用程序安全性的基本問題。實際上,在年棄用了,其中采用傳輸層安全替代了。更智能的應用程序或管理覆蓋可以幫助標記和安全鎖定。
IT民主化和SaaS的廣泛應用意味著每個人都需要了解SaaS云計算應用程序的安全性。
人們可以想象一下沒有軟件即服務(SaaS)的場景,這真的很難做到,因為很多企業、組織和個人幾乎每天都依賴這些云應用服務。
人們對SaaS應用的依賴性越強,就越意識到他們擔負責任的重要性。而SaaS領域的安全性、治理和合規性需要仔細研究。
用戶都是首席信息安全官(CISO)
大多數Office 365或SalesForce和Slack用戶,或任何其他SaaS應用程序都通過軟件與他們聯系以完成他們的工作。但是他們通常也有控制權,因為在某些情況下可以控制很多設置。以前由IT管理人員處理這些內容,他們也可能影響或甚至決定首先注冊一個應用程序。
換句話說,除了使用SaaS應用程序外,最終用戶也承擔了評估和管理它們的角色。這顯示了“IT民主化”如何不僅讓人們掌握更多技術,而且還加大了責任。在很多方面,人們都需要成為虛擬世界的首席信息安全官(CISO)。
以下將提出一些關于SaaS應用程序安全性的基本問題。特別是身份驗證、加密保護和管理。
身份驗證選項
最接近最終用戶的SaaS的安全主題是口令和身份驗證,但面臨諸多挑戰。用戶不僅需要小心謹慎,而且還會感到困惑。例如,原來創建安全密碼的原始規則不再適用。
密碼管理器是一種創建和管理長密碼的好方法,現在推薦使用它,盡管密碼管理器并不能讓人們確信設定密碼就不會被黑客入侵。但無論如何,設定密碼是一個有效的措施。
雙因素身份驗證(2FA)是實施安全措施的第二個步驟,通常將驗證代碼發送到一個多帶帶的設備。但是關于如何最好地實施這種方法存在一些爭議。例如,美國政府不鼓勵使用SMS(短信驗證碼)進行身份驗證。
然后還有其他一些因素,例如生物識別或地理標記,這些因素可以強化身份驗證并觸發異常登錄活動的警報。強認證還與加密通道、密碼散列、事件監控,以及其他高級技術相關聯。
那么企業的SaaS提供商使用哪種認證?雙因素或是多因素?他們是否以其他方式增強密碼安全性?他們如何促進在多個應用程序采用單點登錄(SSO)或聯合身份驗證?
加密和保護數據
另一個值得關注的問題是,一旦企業與其數據與應用程序互動,會發生什么情況?那么企業的SaaS提供商如何處理傳輸中、使用中、靜止中的數據?
傳統上,網絡公司已經使用安全套接字層(SSL)進行通信。實際上,IETF在2015年棄用了SSL,其中采用傳輸層安全(TLS)1.0替代了SSL 3.1。已經實現這些加密協議的網站被標記為Secure HTTPS(SSL/TLS中的HTTP)。
如果企業的SaaS提供商與許多基于云計算的公司一樣,他們可能會使用多租戶架構,這意味著企業的數據很可能最終與他人的數據相鄰。使用什么類型的加密以及控件的粒度如何?無論架構如何,他們將如何備份、復制、存儲和恢復數據?
另一組問題涉及數據的類型。受到最多關注的數據泄露涉及個人可識別信息(PII)的發布,該類信息越來越受政府部門的監管,并受到歐盟“通用數據保護條例”(GDPR)的大量關注。因此,除了加密之外,企業的SaaS提供商還有哪些方法可以防止PII和敏感數據的丟失?
管理、政策和治理
數據丟失防護(DLP)主題與用戶控制問題重疊,因為數據可能會因不正確的設置而無意中暴露。最終用戶可以在開展最少(或不需要)培訓的情況下開始使用大多數SaaS應用程序,但考慮到其潛在的損害,這可能不是一個好習慣。
即使最終用戶獲得這樣的控制權利,但具有限制人為錯誤的可能性。更智能的應用程序(或管理覆蓋)可以幫助標記和PII 安全鎖定。
管理角色是安全和合規性影響的另一個問題。限制特權訪問是一個很好的普遍做法,但它是GDPR法規的一個特別關注點。體系結構良好的應用程序還應該方便添加和刪除賬戶。在這方面,企業可能會看到其SaaS提供商是否利用了跨域身份管理系統(SCIM),這是一種自動交換用戶ID的開放標準。
企業針對其SaaS提供商的一些最終政策相關問題:他們是否可以將登錄限制為與企業網絡或VPN一致的指定IP范圍?他們是否允許企業在移動設備上管理該應用的可用性?是否有會話超時閾值的調整?
不僅僅是網絡安全的忍者
雖然上面的一些問題可能看起來是基本的問題,人們可能會認為只有網絡安全管理人員才能掌握什么是關鍵,但事實并非如此。在此應該揭開這個話題的神秘面紗。這符合應用程序制造商,最終用戶和第三方提供商等所有人的利益,需要人們看到云計算應用程序安全性的所有權是一個整體和無處不在的責任。
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/5758.html
摘要:阿里云再次發生故障,這已是年的第二起。這場事故,持續了三個小時左右。針對故障,阿里云表示會根據協議服務合同,盡快處理賠償事宜。十天前,阿里云今年的第一起事故被曝光。后來,阿里云就此事作出回應,并在網站醒目標識并給出告警。阿里云再次發生故障,這已是2019年的第二起。3月2日23時55分左右,阿里云開始出現大規模宕機故障,位于華北地區的多家互聯網公司的IT運維人員發現多個APP和網站開始陷入卡...
摘要:如何選擇云主機部署管理軟件伴隨云計算與服務器技術的結合進一步深化,云主機的發展和使用前已經成為現如今互聯網行業發展的趨勢。云主機上可以安裝盜版軟件嗎,會不會被查?可以的,服務器是指獨立的硬件設備。它其實就是一臺放在機房的高配置電腦。是可以安裝各種操作系統和應用軟件的。只要是在你電腦上能運行的程序。在服務器也可以運行。云主機與VPS類似。阿里云和騰訊云的服務器也不除外的。如何選擇云主機部署管理...
摘要:如何選擇云主機部署管理軟件伴隨云計算與服務器技術的結合進一步深化,云主機的發展和使用前已經成為現如今互聯網行業發展的趨勢。購買了云主機應該如何管理,都該做什么云主機管理,說簡單點,你找到好工具就事半功倍了。如何選擇云主機部署管理軟件?伴隨云計算與服務器技術的結合進一步深化,云主機的發展和使用前已經成為現如今互聯網行業發展的趨勢。隨著更多的用戶對云主機有了更深的了解,云主機憑借其合理的網站服務...
摘要:如今,新興技術的關注點不斷轉移,人們對此已經習以為常,云計算技術也不例外。在此提出的建議是,不要讓多云影響企業的云計算發展抱負,并與一家云計算提供商達成良好的合作關系。隨著云計算市場的不斷增長和發展,供應商將尋求降低定價以獲得市場份額。如今,新興技術的關注點不斷轉移,人們對此已經習以為常,云計算技術也不例外。多云已經成為IT媒體報道的流行術語,并在各個方面取代了單一云平臺。多云具有提高安全性...
閱讀 2315·2021-09-22 15:27
閱讀 3170·2021-09-03 10:32
閱讀 3499·2021-09-01 11:38
閱讀 2499·2019-08-30 15:56
閱讀 2213·2019-08-30 13:01
閱讀 1537·2019-08-29 12:13
閱讀 1418·2019-08-26 13:33
閱讀 893·2019-08-26 13:30
