SaaS蔓延：含义、危害、现状及缓解方案

作者：小二郎 2022-11-29 14:10:36

安全

云安全

SaaS 随着SaaS解决方案在许多不同行业中变得越来越普遍，了解如何维护其管理至关重要。以下是克服和防止SaaS蔓延的几种方法。

由于全球大流行带来的诸多限制，全球企业迅速争相采用远程工作解决方案。这种突然的变化不仅改变了企业的日常运营方式，也改变了它们使用工具的方式。该解决方案的一部分包括转向软件即服务（Software as a Service，SaaS），以获得针对不同业务需求的更灵活的选项。

如今，SaaS已经成为应用程序交付方面的标准，因为它可以提供多种好处，包括减少厂商锁定，更快的价值实现时间，增强的可访问性、生产力和可扩展性等。

然而，随着越来越多的公司争先恐后地采用这种解决方案，管理它的挑战也在不断加剧。这就是所谓的SaaS蔓延（SaaS sprawl）。

何为SaaS蔓延（SaaS sprawl）？

当网络上使用的许多第三方云应用程序无法再由其管理人员有效管理时，就会出现SaaS蔓延。当多个团队和个人用户下载应用程序以满足即时需求时，通常会出现这种现象。这种做法没有得到公司IT部门的事先批准，可能会导致安全风险。不受监控地使用云应用程序有可能破坏组织的业务工作流效率。

SaaS蔓延对企业的影响

安全与威胁

根据最近的一项调查结果显示，高达75%的IT领导者表示，SaaS蔓延的最大担忧是安全方面。众所周知，SaaS应用程序倾向于存储大量机密数据、客户财务信息、记录等。保护这些文件不被损坏或从其他隐藏来源被窃取是非常必要的。因此，请确保您采取了所有的预防措施来保护您的数据，以免为时过晚。

成本与财务负担

有时，员工甚至会在没有预先检查公司现有SaaS堆栈的情况下购买SaaS应用程序，这导致了两个主要问题：一是给定公司中SaaS应用程序数量的增加，二是该公司SaaS的总体支出增加。这给财务部门的预算预测和成本估算带来了困难。因此，有时很难管理SaaS支出，而且公司经常直到有人发现了这种过度支出的趋势，才意识到他们在SaaS应用程序上花费了太多资金。

合规危机

对于一家公司来说，遵守管理法规以避免任何法律麻烦是非常必要的，这可能包括GDPR、SOC 2或FISMA等，这些法规都要求组织根据其提供的服务类型来保护客户的敏感和私人信息。而当一家公司无法满足任何这些要求时，它就会面临严重的商业声誉受损、诉讼以及其他更多无法挽回的后果。当公司失去对其SaaS堆栈的控制时，如果监控不当，可能会导致数据暴露和各种其他问题。因此，要小心保护您的客户与您共享的信息。

数据分发与管理困难

由于信息在不同应用程序中的分散分布，SaaS蔓延诱发了数据蔓延的问题。当这种情况发生时，查找所有数据驻留的位置、谁可以访问数据以及数据的暴露程度就变得非常麻烦。假设你是一名消费者，你发现Dropbox可以更方便地共享和存储文件，即使你的公司使用的是谷歌Drive。现在，即使你拥有谷歌Drive的全部访问权限，你也会使用Dropbox存储和共享数据，而Dropbox很明显已经超出了IT部门的权限。因此，即使您后来离开公司，数据也可能永远留在Dropbox中，没有恢复的机会。即使这看起来是一个微不足道的小问题，但如果没有及时衡量和纠正，它确实会产生重大影响。

操作错误

越来越多的应用程序的出现和使用无疑会在员工和IT部门之间造成混乱，此外，它还会导致延迟、效率低下，并以负面的方式影响员工的整体体验。而当员工受到影响时，他们的生产力以及与不同部门之间的协作也会由此受到影响。因此，建议定期盘点您的组织中跨不同部门使用的所有SaaS应用程序。注意哪些员工在使用这些工具，他们在这些工具上花费了多少时间，以及所有这些必要的细节。

克服和防止SaaS蔓延的方法

随着SaaS解决方案在许多不同行业中变得越来越普遍，了解如何维护其管理至关重要。以下是克服和防止SaaS蔓延的几种方法。

1. 发现所有正在使用的SaaS应用程序

创建一个不同项目团队和跨部门的个人用户当前正在使用的所有应用程序的清单。这样做可以清楚地了解您的目录规模，以及哪些应用程序得到了IT部门的批准。使用软件资产管理工具也可以帮助您创建全面的审计。

2. 跟踪和评估应用的成本和使用情况

确定每个应用在整个网络中的使用成本。通过这一点，您可以确定哪些应用能很好地利用预算，哪些没有。一些企业可能会发现，在应用程序很少使用的地方，他们需要支付额外的许可。相反的情况也可能发生。

3. 使用软件许可管理（SLM）

当同时使用多个第三方云应用程序时，手动管理所有相关数据和安全检查可能会非常繁琐和繁重。但是，通过使用软件许可证管理工具，您可以有效地、更好地控制您的网络。

4. 使您的IT团队易于访问并具有协作性

组织的不同部门都有自己运行公司工作流的方式。为了有效地管理所有SaaS应用程序，所有团队都应该更加协作，并努力了解彼此的需求。这包括创造一个更友好的环境，鼓励员工在需要的时候与他们的IT部门联系。

5. 自动化所有更新和工作流程

当使用多个SaaS应用程序时，跟踪各种许可证的每个更新周期可能是一项艰巨的任务。然而，使用软件管理工具可以在需要时通过自动化流程来简化此任务。

6. 标准化所有正在使用的应用程序

确定每个部门的不同需求，并创建一个最能满足这些需求的SaaS应用程序列表。一旦建立，设置一个强制性的规则，这些应用程序只能用于特定的任务，而不能用于其他任何事情。这将有助于避免可能导致安全风险的重复应用程序问题。

7. 规划SaaS采购流程

规划一个SaaS采购过程，其中只有授权的部门或人员可以授予使用应用程序的访问权。这将使您更好地了解您的SaaS足迹如何移动，从而更容易跟踪和管理。

8. 利用员工培训

培训员工如何正确使用每个SaaS应用程序以及它们的局限性。这将使他们更好地了解每个工具和使用未经授权的应用程序的风险。 

参考及来源：https://openit.com/what-is-saas-sprawl-its-impact-and-how-to-overcome-it/ https://www.smartkarrot.com/resources/blog/saas-sprawl/