SaaS浪潮已成海啸 这里是管理其风险的8种方法-阿里云开发者社区

开发者社区> 云栖大讲堂> 正文

SaaS浪潮已成海啸 这里是管理其风险的8种方法

简介:
+关注继续查看

每个员工都在找寻下一个SaaS应用来让自己的工作更轻松。一张信用卡+一份开支报告,公司里任何人都能在几分钟之内注册一个新的应用。问题在于:员工注册SaaS应用时并不具备相应的知识或者企业内部IT管理员的允许。

Gartner和思科的调查发现,IT员工只知晓公司内在用app的7%。这意味着,任何一家公司里,存在成百上千个不安全的SaaS应用,每一个都是可供黑客用以捞取公司数据的潜在切入点。

SaaS浪潮已成海啸

随着企业应用市场的扩张,非托管SaaS应用的数量也在持续上涨,让公司企业更难以控制安全及合规风险。考虑到这一点,OneLogin高级主管艾尔·萨金特为我们提供了管理SaaS海啸引入风险的几种方法。

1. 资金导向

2_money-100697959-orig-600

IT部门应该与财务部门合作,专门创建一个“SaaS订阅”费用类别,而不是浇灭员工购买应用提升工作效率的热情。这样一来,IT部门就能更清楚有哪些app在用,可以更有效地维护和强化安全。

2. 营造协作氛围

3_collaborative-100697961-orig-600

员工总在找寻访问其最爱app的方法,这也是为什么完全限制外部应用对减少影子IT无甚效果的原因。相反,IT部门应向申请使用新生产力或通信应用的员工打开大门,为它们提供单点登录(SSO)门户以实现更快的访问。当员工习惯了使用应用要申请,IT也让应用访问更加简单,IT部门就能对自己应该保护的工具有更深入的理解了。

3. 保证内部安全

4_secure-100697965-orig-600

一旦IT确定了员工喜欢用的那些app,并将这些app放到SSO门户上,IT部门就需要围绕口令复杂性、定期更换和独特性实施强身份验证,当然,还有多因子身份验证(MFA)。SSO门户应该是更大的身份识别与访问管理(IAM)解决方案的一部分,公司应采用IAM来监测谁在访问何种应用,同时确保每个员工只能访问工作所需的app和信息。

4. 部署用户和实体行为分析

5_behavior_analytics-100697960-orig-600

IT部门应将IAM与云访问安全代理(CASB)集成以找寻公司内异常行为,比如同一身份在两个不同国家访问一个app。如此,当CASB检测到此类行为,就能自动采取相应措施,包括要求MFA、终止会话、强制口令重置,或者禁用账户。

5. 跟踪app使用

6_app_usage-100697962-orig-600

成百上千的非托管app在用,所以,前雇员在IT部门不知情或不同意的情况下还留有对公司信息的访问权也毫不奇怪。大约10%的前雇员都能都能登录前老板的账户。因此,IT部门应将IAM与安全信息和事件管理器连接,监测非授权用户访问,确保只有授权用户才有对公司app的访问权。

6. 实现人力资源驱动的ID即服务(IDaaS)

7_idaas-100697963-orig-600

更进一步,IT和HR部门应联合开展工作,创建员工离职应用撤销计划,其中就包括有HR驱动的IAM。一旦实现,当HR在人力资源信息中修改雇员状态为“离职”,IAM就会自动拾取这些修改并撤销对应用的访问权。这将会降低账户被遗漏的机会。

7. 应用对app的控制

8_app_control-100697964-orig-600

虽然孤立员工推进SaaS应用是减少影子IT的重要一步,并非每个app都适合交换和访问公司数据。开放授权app尤其是难点,因为它们的无缝用户体验很易于让人采纳。但是其中一些有着广泛的授权范围,比如完全修改用户所有文件的能力——很容易被黑客当做攻击途径。IT应使用CASB来追踪开放授权app的使用,阻止带有过多授权范围的app。

8. 数据优先级划分

9_prioritization-100697966-orig-600

就算已采取了必要的措施来管理SaaS海啸,影子IT依然是一个风险因素。确定出公司最敏感的25个数据资产,知道有哪些和应用能访问这些数据集,用IAM和CASB解决方案定期监测它们,找寻异常行为。


作者:nana

来源:51CTO

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
iOS中CoreData数据管理系列三——添加与查询数据
iOS中CoreData数据管理系列三——添加与查询数据
20 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
4495 0
SAS学习笔记之《SAS编程与数据挖掘商业案例》(3)变量操作、观测值操作、SAS数据集管理
SAS学习笔记之《SAS编程与数据挖掘商业案例》(3)变量操作、观测值操作、SAS数据集管理 1. SAS变量操作的常用语句 ASSIGNMENT 创建或修改变量 SUM 累加变量或表达式 KEEP 规定在数据集中保留的变量 DROP 规定在数据集中删除的变量 ARRAY 定义一个数组 RENAME
1389 0
创建SinaSAE云账号创建和发布基于SVN代码管理的PHP空工程
1、使用Sina微博账号登录,进入【新浪云控制台】 2、选择【云应用SAE】界面,选择【创建新应用】 3、点击【继续创建】,进入应用信息编辑界面     依次编辑“二级域名”“应用程序名”,再点【运行环境】中的【PHP空应用】,再点左下角的【创建应用】完成应用创建。
815 0
SaaS型管理软件将成为主流
本文讲的是SaaS型管理软件将成为主流,在管理软件市场,数目众多的中小企业就是市场的巨大的潜在“金矿”,而且这个““金矿”一直都未能得到很好的开发。
786 0
Cassandra 最佳实践系列(4) - 管理篇之一
Cassandra之系统管理命令介绍之第一部分
1511 0
世界三大生产理论之间的关系——《可以量化的管理学》
6.8广义速度V与管理理论 内容提要:在广义动量定理Fαt=nmV中,增加广义速度V,可以增加成果nmV。有三大生产方法可以增加广义速度V,分别为福特的流水线生产,精益生产(大野耐一的丰田生产方式)和高德拉特的TOC制约理论。
764 0
+关注
云栖大讲堂
擅长前端领域,欢迎各位热爱前端的朋友加入我们( 钉钉群号:23351485)关注【前端那些事儿】云栖号,更多好文持续更新中!
3892
文章
1754
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载