SSPM（全稱SaaS Security Posture Management，即SaaS安全配置管理），Gartner將其定義為“持續(xù)評估安全風(fēng)險和管理SaaS應(yīng)用程序安全態(tài)勢的工具”。其核心功能包括報告本機SaaS安全設(shè)置的配置，并為改進(jìn)配置、降低風(fēng)險提供建議。

　　當(dāng)前，企業(yè)SaaS應(yīng)用安全的主要痛點源于：

　　缺乏對不斷增長的SaaS應(yīng)用程序資產(chǎn)的控制；

　　SaaS應(yīng)用生命周期（從購買到部署、運維）缺乏治理；

　　缺乏對SaaS應(yīng)用程序資產(chǎn)所有配置的可見性；

　　云安全技能缺口；

　　數(shù)百到數(shù)千（甚至數(shù)萬）個設(shè)置和權(quán)限帶來的繁重和壓倒性的工作量。

　　雖然SaaS應(yīng)用程序的原生安全控制通常很強大，但確保正確設(shè)置所有配置（從全局設(shè)置到每個用戶角色和權(quán)限）的責(zé)任落在了企業(yè)組織身上。企業(yè)安全團隊需要負(fù)責(zé)了解每個應(yīng)用程序、用戶和配置，并確保它們完全符合行業(yè)和企業(yè)政策。否則，只需一名不知情的SaaS管理員更改設(shè)置或共享錯誤報告，就會暴露高度機密的企業(yè)數(shù)據(jù)。

　　一些優(yōu)秀的SSPM解決方案提供對企業(yè)SaaS安全態(tài)勢的全面可見性，檢查其是否符合行業(yè)標(biāo)準(zhǔn)和企業(yè)政策，甚至有的可以提供從方案內(nèi)部進(jìn)行修復(fù)的能力。比如在復(fù)雜的SaaS資產(chǎn)中自動修復(fù)錯誤配置，顯著提高安全團隊的效率并保護(hù)企業(yè)數(shù)據(jù)。不過，并非所有的SSPM解決方案都如此優(yōu)秀。

　　在選擇SSPM解決方案時，需要特別注意的幾個事項：

　　可見性和洞察力

　　企業(yè)需進(jìn)行全面的安全檢查，以清楚地了解企業(yè)SaaS環(huán)境

　　對于SSPM解決方案而言，首要功能是能夠與企業(yè)所有SaaS應(yīng)用程序集成。每個SaaS應(yīng)用程序都有自己的框架和配置，只要有訪問用戶和企業(yè)系統(tǒng)的權(quán)限，就應(yīng)該納入到企業(yè)組織的監(jiān)控范圍。因為任何應(yīng)用程序都可能帶來風(fēng)險，即便是非關(guān)鍵業(yè)務(wù)應(yīng)用程序也存在風(fēng)險。需要注意的是，通常較小的應(yīng)用程序可以作為攻擊的入口。

　　優(yōu)秀SSPM解決方案的另一個衡量標(biāo)準(zhǔn)是其安全檢查的廣度和深度，SSPM應(yīng)該跟蹤和監(jiān)控的領(lǐng)域和配置包括：身份和訪問管理、惡意軟件防護(hù)、數(shù)據(jù)泄露防護(hù)、審計、外部用戶的訪問控制、隱私控制、合規(guī)政策、安全框架和基準(zhǔn)等。

　　持續(xù)監(jiān)控和修復(fù)

　　通過持續(xù)監(jiān)督和快速修復(fù)錯誤配置來應(yīng)對威脅

　　企業(yè)組織修復(fù)商業(yè)環(huán)境中的問題是一項復(fù)雜而微妙的任務(wù)。SSPM解決方案應(yīng)提供每個配置的深層上下文關(guān)系，并使企業(yè)組織能夠輕松監(jiān)控和設(shè)置警報，以幫助安全團隊隨時了解情況、有效溝通、快速關(guān)閉漏洞、保護(hù)企業(yè)系統(tǒng)。持續(xù)監(jiān)控的內(nèi)容具體包括：24/7全天候持續(xù)監(jiān)控、活動監(jiān)視器、警報、修復(fù)、隨時間推移而不斷變化的安全態(tài)勢等。

　　易部署

　　使安全團隊輕松添加和監(jiān)控新的SaaS應(yīng)用程序

　　企業(yè)SSPM解決方案應(yīng)易于部署，并允許安全團隊輕松添加和監(jiān)控新的SaaS應(yīng)用程序。優(yōu)秀的安全解決方案應(yīng)與企業(yè)應(yīng)用程序和現(xiàn)有網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施輕松集成，以創(chuàng)建針對網(wǎng)絡(luò)威脅的全面防御。這些功能主要包括：自助服務(wù)向?qū)А姶蟮腁PI、低誤報、非侵入式、分層使用等。

　　SSPM解決方案類似于日常“刷牙”，它是企業(yè)創(chuàng)建預(yù)防性保護(hù)狀態(tài)所需的基本要求。出色的SSPM解決方案能夠為企業(yè)組織提供針對所有SaaS應(yīng)用程序的持續(xù)、自動化監(jiān)控，并配置內(nèi)置知識庫，以確保最高等級的SaaS安全，防止企業(yè)遭遇下一次攻擊。