云安全
软件即服务 (SaaS)
别称: 按需软件
定义
一种云交付模式,供应商托管并运营应用程序,客户通过互联网以订阅方式使用。
SaaS 是一种云服务模式,由服务商运行应用程序、底层平台和基础设施,客户仅通过浏览器或 API 使用软件。供应商负责补丁、扩展、可用性以及大部分安全工作;客户则需对自己的数据、身份、配置和集成负责。典型的 SaaS 风险包括账户被盗、OAuth 令牌滥用、第三方应用权限过大、共享链接造成数据泄露以及静默的配置漂移。常见控制措施有支持多因素认证的单点登录、条件访问、SaaS 安全态势管理 (SSPM)、CASB 检查以及数据防泄漏策略,并以明确的合同责任为基础。
示例
- Microsoft 365、Google Workspace 与 Salesforce。
- Slack 与 Zoom 等协作类 SaaS。
相关术语
基础设施即服务(IaaS)
一种云服务模型,云厂商提供虚拟化的计算、存储和网络,客户负责其上的操作系统、中间件和应用。
平台即服务(PaaS)
一种云服务模型,云厂商管理运行时、中间件、操作系统与基础设施,客户专注于应用代码与数据。
共享责任模型
一种云安全框架,将安全职责划分为云服务商负责的“云本身的安全”与客户负责的“云中工作负载的安全”。
CASB(云访问安全代理)
位于用户与云/SaaS 应用之间的策略执行点,用于实现可视化、数据保护和威胁防护。
SSPM(SaaS 安全姿态管理)
一类持续监控 SaaS 应用配置、身份和集成的工具,用于发现配置错误和高风险行为。
云安全
用于保护托管在公有云、私有云或混合云环境中的数据、应用和基础设施的一整套策略、控制措施和技术。