评估SaaS服务商安全性的十个要点

对于越来越多的企业，软件即服务(SaaS)已成为访问重要业务应用程序的主要手段。从业务的角度来看，“上云”的好处包括：节省成本、提高敏捷性和更易扩展的功能。

但是，任何基于云的产品都存在安全风险。企业如何才能确定其SaaS提供商的安全性是否符合其自身的需求和标准?

Gartner副总裁兼分析师Patrick Hevesi说：“我们面临的挑战是需要了解SaaS供应商是如何保护其基础架构、变更管理和事件响应流程的。”

根据Gartner2019年的报告，并非所有SaaS提供商的安全性都是透明的。报告说，企业必须对两种风险有充分认识：一种是将重要的用户数据放入云服务的风险，另一种是充分信任云服务商的风险。

与任何企业一样，SaaS提供商也容易遭受许多相同的恶意软件和黑客攻击，一旦云服务遭受攻击，往往会城门失火殃及池鱼，云服务用户也会受到影响。因此，我们建议计划使用云服务的企业，对云服务商进行必要的安全评估，降低业务风险，以下是网络安全专业人士对于评估SaaS供应商的十个建议：

1. 查看SaaS的漏洞管理/修补策略

高管经常关注的一个问题是安全补丁。“通常，SaaS提供商会打补丁，尤其是多租户服务。”Asurion的安全高级经理Bernie Pinto说。一家云服务商的漏洞管理效率、成熟度模型、工具、落地措施以及与其他安全工具和流程，例如威胁情报和UEBA等的集成，都能体现一家云服务商的漏洞管理水平。企业也可以使用平衡记分卡给云服务商的漏洞管理服务打分。(