与B2B SaaS相关的7个主要安全风险和担忧

  • 一月21,2019

安全问题B2B SAAS

B2B组织越来越选择SaaS来实现诸如多功能性和易于访问性等功能。除此以外,B2B SaaS还具有多项优势,例如易于存储的数据,可随时随地访问数据和服务的灵活性以及用于关键业务应用程序的强大基础架构。尽管B2B SaaS的优势很多,但是客户也考虑了与此服务模型相关的潜在安全风险。

该博客讨论了 在登上SaaS火车之前要解决的B2B SaaS安全顶级问题:

  1. 资料保密

B2B SaaS客户始终担心在雇用SaaS供应商进行基于云的存储时如何存储和保护其数据。担心失去对敏感数据的控制,潜在的传播,修改或删除,未经授权的访问,数据泄漏是B2B客户最关心的问题。

在雇用SaaS提供商之前,客户应在签署虚线之前讨论安全策略,访问过程,加密协议和风险管理计划。

  1. 缺乏透明度

SaaS提供商通常对其安全程序和策略保密,因为泄露这些详细信息可能会损害安全性。尽管这是SaaS供应商的合理论据,但客户有权要求有关如何存储其数据和应用程序的信息。

SaaS提供者和客户应就现场证据,演练和审核进行谈判,以建立信心。该协议可能涵盖:

  • 访问审核和日志记录跟踪
  • 演示Web应用程序的安全性
  • 防止内部威胁的安全机制
  • 访问控制
  • 处理数据泄露的机制
  1. 共享基础架构

由于SaaS基础架构是多租户的,因此客户数据隔离是另一个问题。必须明确区分不同客户的数据,否则未经授权的访问可能会导致数据泄露。

从应用程序到存储,整个堆栈中的各个客户数据必须进行分隔。

  1. 托管数据的服务器的位置

为了方便和灵活地使用户从任何位置访问数据,基于云的软件会将数据传输到距离客户位置最近的数据中心。而且大多数SaaS提供商都不共享其服务器的位置。因此,如果您正在旅行,可能永远都不知道敏感数据位于何处。

另外,某些国家/地区有法规(例如 FISMA),客户需要在国家/地区内保存敏感数据。虚拟化的系统,数据和虚拟机可能会在各个位置动态移动,以实现负载平衡等。

很少有SaaS提供商提供国内保证,这是一个令人担忧的问题,因为它可能违反法规要求。

另请阅读: 强大的客户支持流程对您的B2B SaaS公司有什么作用?

  1. 随时随地访问

随时随地访问业务应用程序的显着B2B SaaS优势也具有潜在的安全隐患。通常,员工在公共或开放网络中使用其智能设备或笔记本电脑访问业务数据。一些用户可能会完全忽略安全策略,并从共享或不安全的设备访问业务应用程序。

开放网络和智能设备的普及使端点变得不安全,这使敏感的业务数据和应用程序暴露于威胁之下,因为它们不再位于受控外围设备中。

利用SaaS的企业必须通过以下方式控制连接和访问:

  • 仅允许通过“白名单的IP地址
  • 通过VPN进行远程访问
  • 安全的Web网关设备
  • 禁止访问“列入黑名单的应用
  • 对员工进行网络监控和Web过滤技术培训
  • 企业移动性管理以管理和保护端点
  1. 身份管理

许多SaaS提供商将第三方技术与其平台集成在一起,以为其客户提供基于角色的高级访问控制。这种做法有很多问题:

  • 身份管理服务仍处于起步阶段,尚未成熟以应对复杂的攻击。
  • 客户必须使用其他安全工具和软件系统,从而使身份管理变得笨拙。
  • 身份服务缺乏标准,并且用户配置文件的专有支持有限。

需要为身份管理服务和服务提供工具建立全面的行业标准。

  1. 缺乏云特定标准

当前,没有建立的云安全标准。一些提供商完成了诸如SAS 70或ISO 27001之类的审核。尽管它们是一个很好的起点,但SaaS供应商和客户必须努力建立协议以解决新出现的风险,控制漏洞并实施更新的安全措施。

B2B SaaS具有其自身的一系列优势和挑战。借助正确的基础架构,强大的策略以及公开的沟通和解决问题可以帮助阻止对敏感数据和应用程序的威胁。客户和供应商都应该聚在一起,以识别安全问题,部署相关的安全控制,执行定期审核和审查,并实施强大的控制(如加密,MDM解决方案,EMM等),以最佳地利用SaaS。

关于作者

Vandita是一位热情的作家和IT爱好者。从专业上讲,她是德里大学的计算机讲师,此前曾在Aricent Technologies担任软件工程师。

为现代员工重新构想的移动设备管理

Scalefusion是功能强大的移动设备管理解决方案,使组织可以从统一设备管理仪表板管理iOS,Android,Windows 10和macOS设备,应用程序和内容。
立即访问。无需信用卡。