在快速发展的数字环境中，软件即服务 (SaaS) 已成为现代业务运营的基石。SaaS 价值近 2000 亿美元，预计将主导企业软件市场，提供无与伦比的商机和效率。然而，这场革命带来了重大责任，特别是在数据安全和保护方面。对基于云的解决方案的日益依赖加剧了网络威胁的脆弱性和监管的复杂性，使 SaaS 安全成为全球企业最关心的问题。

SaaS 市场趋势和安全影响

多云和多 SaaS 的兴起

当今企业环境的特点是向多云和多 SaaS 使用的重大转变。Thales（泰雷兹） 2023 年云安全研究显示，企业现在平均使用 2.3 个云平台和 97 个 SaaS 应用程序。这一趋势在带来众多好处的同时，也带来了新的挑战，即确保跨不同云基础设施的无缝互操作性和强大的数据保护。

安全问题不断升级

SaaS 应用程序在多个云平台上的广泛使用导致攻击面增加，使 SaaS 应用程序成为网络攻击的主要目标。超过三分之一的企业将SaaS 应用程序视为网络威胁的首要目标，云存储紧随其后。管理多个平台的复杂性加剧了风险，增加了运营挑战，并使漏洞暴露给复杂的攻击者策略。

管理复杂性和数据主权

随着 SaaS 领域的发展，其复杂性也随之增加。企业在管理和保护云数据方面面临着越来越多的困难， 55% 的企业承认这项任务越来越复杂。此外，数据主权要求的兴起（尤其是在欧洲）又增加了一层复杂性，迫使企业满足有关数据存储、使用和访问的严格监管要求。

增长和威胁的影响

SaaS 市场的指数级增长与不断升级的安全威胁和监管挑战的背景形成了一场“完美风暴”。企业现在必须应对这场风暴，确保利用 SaaS 的优势，同时保护其最有价值的资产：数据。利用 SaaS 的优势和降低其安全风险的双重挑战正在塑造企业 IT 战略的未来。

SaaS 环境中的安全挑战

SaaS 应用程序的快速采用本质上加剧了安全风险。超过 39% 的企业在其云环境中经历过数据泄露，主要原因是管理多个平台的表面积和操作复杂性增加。数据保护管理复杂性的进一步证实来自于正在使用的密钥管理系统的数量。近三分之二 (62%) 表示他们的运营基础设施拥有五个或更多密钥管理系统。这些挑战凸显了 SaaS 领域需要强大的安全策略。

加密在 SaaS 安全中的关键作用

加密是保护 SaaS 数据的关键。它确保 SaaS 应用程序上驻留的敏感数据的机密性、完整性和可用性，从而符合 GDPR、PCI-DSS 和 HIPAA 等行业标准。保护数据最有效的方法是通过在数据传输、静态和使用过程中应用的端到端加密。然而，在不同的 SaaS 环境中实施无缝加密会带来一系列挑战，并且需要战略规划和执行。

SaaS 中的加密密钥管理

密钥管理已成为 SaaS 安全框架中的关键组件。麦肯锡咨询公司的一份报告显示，60% 的 CISO 和 IT 专业人员期待 SaaS 供应商提供强大的密钥管理系统 (KMS) 解决方案。然而，仅仅依赖云提供商的 KMS 服务无异于将房门钥匙藏在门垫下，这在数据安全方面是不可接受的做法。

因此，企业（尤其是大型企业）越来越多的趋势是避免让 SaaS 提供商托管和控制其加密密钥。相反，他们更喜欢在本地保存密钥或自己管理云托管密钥。这种方法不仅可以降低未经授权的数据访问的风险，而且还符合数据主权要求。实施 BYOK 和 HYOK 等客户管理的密钥管理解决方案正在迅速成为更好地控制 SaaS 环境中敏感数据的常见策略。

SaaS 提供商的最佳实践

对于 SaaS 提供商来说，采取主动的安全方法至关重要。这包括：

• 通过客户控制的加密密钥增强数据保护：为客户提供管理 SaaS 应用程序中数据加密密钥的选项，对于客户在整个企业中轻松采用 SaaS 解决方案大有帮助。
• 敏捷安全性：集成安全开发实践可确保安全性始终是开发过程中不可或缺的一部分。
• 透明度：提供有关安全功能的清晰信息可以建立与潜在客户的信任。
• 平滑集成：增强 API 以与客户的安全环境无缝集成，从而缓解采用和数据保护问题。
• 数据隐私领先地位：遵守 GDPR 和 CCPA 等数据隐私法规表明了我们对保护客户数据的承诺。

Thales – Salesforce 协作用例证明，可以成功实施主动的密钥管理方法，从而使 SaaS 客户和提供商都受益。

Thales如何帮助企业和 SaaS 提供商

在多云时代，SaaS应用程序的安全性比以往任何时候都更加重要。随着企业继续利用 SaaS 的优势，对严格的数据加密和复杂的加密密钥管理的需求变得至关重要。

Thales可以通过现已部署的加密和密钥管理解决方案帮助企业 SaaS 用户和 SaaS 应用程序提供商应对这些挑战。

了解有关“SaaS产品的数据安全解决方案”的更多信息，或联系揽阁信息的销售团队。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 汽车领域的密钥管理

• 保护您的数字堡垒 - SSH密钥：现代网络安全中的安全4.0

• 欧盟NIS2指令即将出台

• SOC 2合规性：您需要了解的内容和需要做的事情

• 硬件安全模块供应商已做好应对量子安全需求激增的准备