SSPM（全稱SaaS Security Posture Management，即SaaS安全配置管理），Gartner將其定義為“持續(xù)評(píng)估安全風(fēng)險(xiǎn)和管理SaaS應(yīng)用程序安全態(tài)勢(shì)的工具”。其核心功能包括報(bào)告本機(jī)SaaS安全設(shè)置的配置，并為改進(jìn)配置、降低風(fēng)險(xiǎn)提供建議。

　　當(dāng)前，企業(yè)SaaS應(yīng)用安全的主要痛點(diǎn)源于：

　　缺乏對(duì)不斷增長的SaaS應(yīng)用程序資產(chǎn)的控制；

　　SaaS應(yīng)用生命周期（從購買到部署、運(yùn)維）缺乏治理；

　　缺乏對(duì)SaaS應(yīng)用程序資產(chǎn)所有配置的可見性；

　　云安全技能缺口；

　　數(shù)百到數(shù)千（甚至數(shù)萬）個(gè)設(shè)置和權(quán)限帶來的繁重和壓倒性的工作量。

　　雖然SaaS應(yīng)用程序的原生安全控制通常很強(qiáng)大，但確保正確設(shè)置所有配置（從全局設(shè)置到每個(gè)用戶角色和權(quán)限）的責(zé)任落在了企業(yè)組織身上。企業(yè)安全團(tuán)隊(duì)需要負(fù)責(zé)了解每個(gè)應(yīng)用程序、用戶和配置，并確保它們完全符合行業(yè)和企業(yè)政策。否則，只需一名不知情的SaaS管理員更改設(shè)置或共享錯(cuò)誤報(bào)告，就會(huì)暴露高度機(jī)密的企業(yè)數(shù)據(jù)。

　　一些優(yōu)秀的SSPM解決方案提供對(duì)企業(yè)SaaS安全態(tài)勢(shì)的全面可見性，檢查其是否符合行業(yè)標(biāo)準(zhǔn)和企業(yè)政策，甚至有的可以提供從方案內(nèi)部進(jìn)行修復(fù)的能力。比如在復(fù)雜的SaaS資產(chǎn)中自動(dòng)修復(fù)錯(cuò)誤配置，顯著提高安全團(tuán)隊(duì)的效率并保護(hù)企業(yè)數(shù)據(jù)。不過，并非所有的SSPM解決方案都如此優(yōu)秀。

　　在選擇SSPM解決方案時(shí)，需要特別注意的幾個(gè)事項(xiàng)：

　　可見性和洞察力

　　企業(yè)需進(jìn)行全面的安全檢查，以清楚地了解企業(yè)SaaS環(huán)境

　　對(duì)于SSPM解決方案而言，首要功能是能夠與企業(yè)所有SaaS應(yīng)用程序集成。每個(gè)SaaS應(yīng)用程序都有自己的框架和配置，只要有訪問用戶和企業(yè)系統(tǒng)的權(quán)限，就應(yīng)該納入到企業(yè)組織的監(jiān)控范圍。因?yàn)槿魏螒?yīng)用程序都可能帶來風(fēng)險(xiǎn)，即便是非關(guān)鍵業(yè)務(wù)應(yīng)用程序也存在風(fēng)險(xiǎn)。需要注意的是，通常較小的應(yīng)用程序可以作為攻擊的入口。

　　優(yōu)秀SSPM解決方案的另一個(gè)衡量標(biāo)準(zhǔn)是其安全檢查的廣度和深度，SSPM應(yīng)該跟蹤和監(jiān)控的領(lǐng)域和配置包括：身份和訪問管理、惡意軟件防護(hù)、數(shù)據(jù)泄露防護(hù)、審計(jì)、外部用戶的訪問控制、隱私控制、合規(guī)政策、安全框架和基準(zhǔn)等。

　　持續(xù)監(jiān)控和修復(fù)

　　通過持續(xù)監(jiān)督和快速修復(fù)錯(cuò)誤配置來應(yīng)對(duì)威脅

　　企業(yè)組織修復(fù)商業(yè)環(huán)境中的問題是一項(xiàng)復(fù)雜而微妙的任務(wù)。SSPM解決方案應(yīng)提供每個(gè)配置的深層上下文關(guān)系，并使企業(yè)組織能夠輕松監(jiān)控和設(shè)置警報(bào)，以幫助安全團(tuán)隊(duì)隨時(shí)了解情況、有效溝通、快速關(guān)閉漏洞、保護(hù)企業(yè)系統(tǒng)。持續(xù)監(jiān)控的內(nèi)容具體包括：24/7全天候持續(xù)監(jiān)控、活動(dòng)監(jiān)視器、警報(bào)、修復(fù)、隨時(shí)間推移而不斷變化的安全態(tài)勢(shì)等。

　　易部署

　　使安全團(tuán)隊(duì)輕松添加和監(jiān)控新的SaaS應(yīng)用程序

　　企業(yè)SSPM解決方案應(yīng)易于部署，并允許安全團(tuán)隊(duì)輕松添加和監(jiān)控新的SaaS應(yīng)用程序。優(yōu)秀的安全解決方案應(yīng)與企業(yè)應(yīng)用程序和現(xiàn)有網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施輕松集成，以創(chuàng)建針對(duì)網(wǎng)絡(luò)威脅的全面防御。這些功能主要包括：自助服務(wù)向?qū)А?qiáng)大的API、低誤報(bào)、非侵入式、分層使用等。

　　SSPM解決方案類似于日常“刷牙”，它是企業(yè)創(chuàng)建預(yù)防性保護(hù)狀態(tài)所需的基本要求。出色的SSPM解決方案能夠?yàn)槠髽I(yè)組織提供針對(duì)所有SaaS應(yīng)用程序的持續(xù)、自動(dòng)化監(jiān)控，并配置內(nèi)置知識(shí)庫，以確保最高等級(jí)的SaaS安全，防止企業(yè)遭遇下一次攻擊。