云安全是以下系统的保护伞：IaaS（基础设施即服务）、PaaS（平台即服务）和SaaS（软件即服务）。Gartner创建了SaaS安全配置管理（SSPM）清单，用于持续评估安全风险以及为管理SaaS应用程序安全态势提供解决方案。随着相关的企业拥有数以千计的员工，依赖数十至数百个不等的应用程序，他们对SaaS安全设置的深度可见性和补救的需求越来越重要。

SaaS安全存在的主要痛点

缺乏对不断增长的SaaS应用程序资产的控制

SaaS应用程序的生命周期缺乏治理：不论是从购买到部署还是运营和维护

SaaS应用程序资产中的所有配置都缺乏可见性

不断发展、加速、复杂的云安全方面存在的技能差距

艰苦而压倒性的工作量，以保持数百到数千（到数万）的设置和权限。

缺乏对第三方应用程序及其权限的可见性

对于整个SaaS的治理既细微，又复杂。虽然SaaS应用程序的原生安全控制通常很强大，但组织有责任确保从全局设置到每个用户角色和特权的所有配置都正确设置。只需一个不知情的SaaS管理员即可更改设置或共享错误的报告，机密公司数据就会暴露。安全团队有责任了解每个应用程序、用户和配置，并确保它们都符合行业和公司政策。

有效的SSPM解决方案可以解决这些痛苦，并充分了解公司的SaaS安全态势，检查是否符合行业标准和公司政策。一些解决方案甚至提供了直接从解决方案内部进行补救的能力。因此，SSPM工具可以通过自动化在整个日益复杂的SaaS资产中修复配置错误来显著提高安全团队的效率并保护公司数据。

正如人们所料，并非所有SSPM解决方案都是平等的。监控、警报和补救应该是SSPM解决方案的核心。它们确保任何漏洞在被网络攻击利用之前迅速关闭。像Adaptive Shield开发的解决方案一样，创造了进入SaaS环境的窗口。

比较SSPM选项时需要注意的主要功能

可见性和洞察力 ： 运行全面的安全检查，以清楚地了解您的SaaS环境、所有集成和所有风险领域。

集成的广度：对于SSPM解决方案来说，最重要的是SSPM与您的所有SaaS应用程序集成的能力。每个SaaS都有自己的框架和配置。如果可以访问用户和公司的系统，组织应该对其进行监控，因为任何应用程序都可能构成风险，即使是非业务关键型的应用程序。需要注意的是，较小的应用程序通常也会被作为攻击的网关。寻找一个至少具有30个集成的SSPM系统，这些集成系统具有适应性，能够对每种数据类型进行检查，以防止配置错误。更重要的是，解决方案应该能够以无缝的“开箱即用”的方式支持SaaS IT堆栈中尽可能多的应用程序。

全面和深度安全检查：有效的SSPM的另一个重要组成部分是安全检查的广度和深度。每个域都有自己的内容供安全团队跟踪和监控，例如访问管理、数据泄露、恶意软件防御，甚至合规性策略。这些和其他问题包含在AdpativeShield的完整指南中。

持续监控和补救：通过持续监督和快速补救来应对威胁。修复业务环境中的配置错误问题是一项复杂而微妙的任务。SSPM解决方案应该提供有关每种配置的深度上下文，并使您能够轻松监控和设置警报。这样，漏洞在被网络攻击利用之前很快就会被关闭。

系统功能：集成强大而流畅的SSPM系统，没有额外的噪音。您的SSPM解决方案应该易于部署，并允许您的安全团队轻松添加和监控新的SaaS应用程序。顶级安全解决方案应该很容易与您现有的应用程序和基础设施集成。它应该是非侵入性的，提供便利的的分层使用功能，并提供自助向导和强大的API，以创建对网络威胁的全面防御。

第三方应用程序访问发现和控制：可见已连接的第三方应用程序，以及它们获得了哪些权限和访问权限。然后能够关闭他们的访问权限。

设备态势管理：能够将SaaS应用程序用户、角色和权限与其相关设备的合规性和完整性水平相关联。

正确的SSPM解决方案可以防止您的下一次攻击

SSPM类似于刷牙：这是创造预防性保护状态所需的基本要求。正确的SSPM，如Adaptive Shield，为组织提供对所有SaaS应用程序的持续、自动监控，以及内置的知识库，以确保最高的SaaS安全卫生。

自适应盾牌等SSPM解决方案为您提供全天候的持续监控、警报、票务、补救和随时间推移的服务。这些工具允许您的安全团队关闭漏洞并快速有效地保护您的系统。

使用Adaptive Shield，安全团队将部署SaaS安全的最佳做法，同时与所有类型的SaaS应用程序集成，包括视频会议平台、客户支持工具、人力资源管理系统、仪表板、工作区、内容和文件共享应用程序、消息应用程序、营销平台等。

自适应盾牌的框架易于使用，可以直观地掌握，部署仅需要五分钟。

文章来源于：https://threatpost.com/ultimate-saas-security-posture-checklist/179771/如若转载，请注明原文地址