SaaS安全性:评价SaaS加密选项

在所有云计算服务的选项中,软件即服务(SaaS)提供了最低程度的信息洞察和控制权限。对于SaaS来说,企业正在使用一个软件应用程序并不得不依赖之,在大多数情况下,几乎是完全信赖供应商的安全控制和承诺。所有我们企业用户所知的就是他们所归档的信息、他们让我们知道的信息以及他们在他们的合同中所承诺的信息。

SaaS是一个与其他人共享的软件应用程序,即使是最著名的安全供应商通常也需要访问我们在某些地点的数据。他们可能永远不会偷看,可能有一大堆针对访问的安全与审计控制,但是最终我们的数据在数据库中的某处,而在该相同位置也有其他人会进行管理操作和保持运行。我不是说,这会产生一堆FUD。我向我过去维护我们业务的不同SaaS供应商们提供了大量的私有数据,但是那并不是说其中没有涉及风险。在我们的例子中,这有时就是意味着保存某些内部数据。对于你们中的一些人来说,这将意味着使用SaaS,但是在他们的环境中保护你的数据。

SaaS安全设计众多不同的控制机制,其中包括身份管理、内部安全设置和角色管理、事件响应和服务停用规划,以及审计。在本文中,我们将重点关注于保护存储在SaaS应用程序中敏感数据的技术,其中包括SaaS加密技术。

有四个主要选项,但除非你使用以文件为导向的服务否则只有其中两个选项对你是具有实际意义的:

1. 信任供应商,依赖于他们的内部控制(其中可能包括加密、数据分散性以及其他选项)。

2. 在发送客户应用程序中的加密数据至供应商前,如果服务提供一个具有该功能的客户端应用程序,则通常只有一个选择。

3. 在发送至服务前,在本地加密数据。

4. 使用一个本地或远程加密代理,加密和解密将提供给供应商的数据。

相信供应商并不总是坏事;很多供应商所采用较为先进的安全控制远比你在内部应用程序中所进行的安全控制要完善得多。我们仍然参考某些用例,如你可能需要保护某些你所拥有的一些信息,而这就是其他选项发挥作用之处。