在所有云计算服务选项中,软件即服务(SaaS)提供最大程度的信息洞察力和控制力。对于SaaS,企业正在使用软件应用程序并且必须依赖它,在大多数情况下,几乎完全依赖于供应商的安全控制和承诺。我们业务用户所知道的只是他们存档的内容、他们让我们知道的内容以及他们在合同中承诺的内容。 SaaS是一种与他人共享的软件应用程序,即使是最好的安全供应商也经常需要在某些位置访问我们的数据。他们可能永远不会偷看,可能有一大堆安全和访问审计控制,但最终我们的数据在数据库中的某个地方,并且在同一个地方还有其他人管理并保持它的运行。我不是说,这会引起一堆FUD。我已经向我过去维护业务的不同SaaS供应商提供了大量私人数据,但这并不是说没有风险。在我们的例子中,这有时意味着保存一些内部数据。对于你们中的一些人来说,这将意味着使用SaaS,但在他们的环境中保护您的数据。 SaaS安全设计有很多不同的控制机制,包括身份管理、内部安全设置和角色管理、事件响应和服务中断计划、审计。在本文中,我们将重点介绍用于保护存储在SaaS应用程序中的敏感数据的技术,包括SaaS加密。 有四个主要选项,但除非您使用面向文档的服务,否则只有其中两个对您有实际意义: 1.信任供应商并依赖他们的内部控制(其中可能包括加密、数据去中心化和其他选项)。 2。在将客户端应用程序中的加密数据发送给提供者之前,如果服务为客户端应用程序提供了该功能,通常只有一个选项。 3。在发送到服务之前在本地加密数据。 4。使用本地或远程加密代理对要提供给供应商的数据进行加密和解密。 相信供应商并不总是坏事;许多供应商拥有比您拥有的内部应用程序更高级的安全控制。我们仍然指的是某些用例,例如您可能需要保护您拥有的一些信息,这就是其他选项发挥作用的地方。 SaaS加密选项 有些服务提供客户端应用程序,不一定需要通过网络浏览器运行任何东西。这在结合了SaaS和PaaS功能的文件存储和备份应用程序中很常见。其中一些服务允许您在将数据发送到他们的服务器之前在客户端应用程序中加密您的数据,而安全服务甚至允许您管理自己的加密密钥。此举使他们完全看不到您的数据,尽管他们通常可以看到元数据。随着时间的推移,我希望看到一些在网络浏览器中扩展加密数据的功能,但我还没有看到任何实现。 客户端加密很棒,但并不总是一个选项(特别是对于非面向文件的服务)。另一种选择是在发送到Internet之前使用您自己的软件在本地加密。这可能难以管理,而且我几乎只看到此选项适用于基于文件的数据。也有一些针对masking的解决方案,即在本地拦截web表单的加密数据块,但这种方案并不常用,是一种前卫的技术,市场前途未卜。 ***一种选择是使用某种基于网络的加密代理,这是大多数企业在不完全信任供应商时求助的解决方案。 代理放置在网络上,充当网络网关。当用户访问SaaS网站时,他们会通过代理进行重定向。该代理依赖于对SaaS应用程序和拦截网页的关键组成域的深入了解。位于这些域中的敏感数据在发送给提供商之前进行加密,并在发送回用户之前进行解密。 对用户来说似乎是在访问该服务,只要他们在网络上使用代理。但是,如果他们尝试通过直接连接到SaaS应用程序来访问客户帐号,他们将只能看到加密数据。对于未提供所需的细粒度访问控制的服务,您可以屏蔽用户的数据并获得超出应用程序内部控制的安全性。此外,从技术上讲,您可以在云中托管代理本身以支持远程访问。 众所周知,除了主要的云计算服务之外,这个选项是不可用的,并且可以构建拦截功能并与目标服务无缝集成。此外,在代理提供商完成更新之前,对SaaS应用程序用户界面的更改可能会破坏功能。 SaaS安全建议 鉴于这些SaaS加密挑战,我更倾向于提出以下建议: 1。最好的选择是与您信任的SaaS提供商合作,并通过良好的合同和审计来保护自己。 2。如果您关心基于文件的数据,有很多有效的加密选项;大多数基于企业文件的加密工具工作得很好。 3。如果您根本不信任您的提供商,请寻找代理加密解决方案。加密尽可能少,以降低文件损坏的风险。请理解,除非您将经纪商本身置于云端,否则您可能会损失一些流动性。 SaaS加密数据并非不可能,但您的第一次尝试应始终与您信任的提供商合作。如果您需要突破,这些选项应该可以满足您的所有需求。
