如何评价SaaS加密安全性？

在所有云计算服务的选项中，软件即服务（SaaS）提供了最低程度的洞察力和控制。通过SaaS,企业正在使用一个软件应用程序并不得不依赖之，在大多数情况下，几乎完全信赖供应商的安全控制和承诺。所有我们所知的就是他们所归档的信息、他们让我们知道的信息以及他们在他们的合同中承诺的信息。

SaaS是一个与其他人共享的软件应用程序，即使是最着名的安全供应商通常也需要访问我们在某些地点的数据。他们可能永远不会偷看，可能有一大堆针对访问的安全与审计控制，但是最终我们的数据在数据库中的某处，而在该相同位置也有其他人会进行管理和保持运行。我不是说，这会产生一堆FUD.我向我过去维护我们业务的不同SaaS供应商提供大量的私有数据，但是那并不意味着其中没有涉及风险。在我们的例子中，这有时就是意味着保存某些内部数据。对于你们中的一些，这将意味着使用SaaS,但是在他们的环境中保护你的数据。

SaaS安全涉及众多不同的控制，其中包括身份管理、内部安全设置和角色管理、事件响应和服务停用规划，以及审计。在本文中，我们将重点关注于保护存储在SaaS应用程序中敏感数据的技术，其中包括SaaS加密技术。

有四个主要选项，但除非你使用以文件为导向的服务否则只有其中两个选项对你是具有实际意义的：

1. 信任供应商，依赖于他们的内部控制（其中可能包括加密、数据分散性以及其他选项）。

2. 在发送客户应用程序中的加密数据至供应商前，如果服务提供一个具有该功能的客户端应用程序，则通常只有一个选择。

3. 在发送至服务前，在本地加密数据。

4. 使用一个本地或远程加密代理，加密和解密将提供给供应商的数据。

相信供应商并不总是坏事；很多供应商所采用更好的安全控制远比你在内部应用程序中所进行的安全控制要完善得多。我们仍然参考某些用例，如你可能需要保护某些你所拥有的一些信息，而这就是其他选项起作用之处。

SaaS加密方法某些服务提供一个客户端应用程序，不一定需要通过网络浏览器运行任何东西。这在综合SaaS和PaaS功能的文件存储和备份应用程序中很常见。这些服务中的一些允许你在发送数据至他们服务器之前在客户端应用程序加密你的数据，而安全服务甚至允许你管理你自己的密钥。此举使他们对你的数据完全见而不识，尽管他们通常可以看到元数据。随着时间的推移，我希望看到一些在网络浏览器内扩展加密数据的功能，但是目前我还没有看到任何实施应用。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友