Leo Yeh's Blog

SAS 資訊安全 (25)

教學目標

初步了解 SAS Cloud 有關資訊安全的基本概念。

重點概念

首先雲端環境在企業組織中越來越流行,此時資訊安全不再僅僅是專家和 IT 專業人員的領域,業務中的每個人都必須意識到安全性和潛在違規的隱患。而在雲端平台中,則提供許多種方法來確保資料安全,對於大多數系統而言,其主要是提供給其員工或公司已知的合作夥伴使用,因此虛擬私有網路 (VPN) 或 IP 白名單是在不使系統暴露於網際網路的情況下存取最便捷的方法,更進一步針對所有連線使用者進行身份驗證、授權存取和稽核記錄。

接著 SAS 也有提供雲端服務,稱為 SAS Cloud,其主要提供企業組織 SAS 的雲端服務來解決各種商業問題,並且無需先投資硬體和分析支援團隊,就能夠透過 SAS Cloud 雲端服務幫助企業組織最大化生產力,並且保持競爭力,其中主要有四種交付方式,分別為:

  1. 結果即服務 (Result as a Service,RaaS):結果即服務主要適用於那些不具備解決分析問題專業人員的企業組織,其主要提供將分析問題導入至 SAS 雲端解決方案中就能夠為提供所需要的分析結果。
  2. 軟體即服務 (Software as a Service,SaaS):軟體即服務主要透過基於訂閱的固定價格選項提供託管預定的解決方案,無需任何硬體就能夠輕鬆滿足安裝或維護的需求。
  3. 託管服務 (Hosted Managed Services):託管服務主要是提供產業領先的企業組織綜合分析的解決方案,其主要是將請求的解決方案部署在專門的雲端服務平台中。
  4. 遠端管理的軟體和服務 (Remote Managed Software and Services):遠端管理的軟體和服務主要是當企業組織中的資料根本無法離開受控管的環境時,則能夠提供遠端專家支援服務,透過安全的虛擬私有網路連線存取監控和維護。

此外不論企業組織是否已經導入雲端服務平台,當企業組織發生 SAS 解決方案的問題時,就會視情況提供遠端專家支援服務,並且透過安全的虛擬私有網路連線至企業組織內部的伺服器解決問題。

再來在 SAS Cloud 主要提供多種類型的安全策略,分別為:

  1. 實體安全 (Physical Security):主要是為了防止未經授權的存取或防止伺服器被進行破壞。
  2. 邏輯安全 (Logical Security):主要包括作業系統、應用程式、資料庫和網路通訊相關的安全保護。
  3. 個人安全 (Personnel Security):主要確保只有在履行職責時,才授予存取系統的權限,並且經過正式的管理層批准和審查,以及當員工離開公司,所有存取權限皆會即時刪除。
  4. 第三方安全認證 (Third-Party Accreditations):主要透過進行定期稽核和聘請第三方顧問來評估其方法,是否符合最佳實務做法和標準,以及優化服務交付目標和持續改進。
  5. 內部稽核和流程改善 (Internal Audit and Improvement Processes):主要持續執行內部稽核,以利確保執行業務正確和符合要求,以及針對流程進行持續改善。
  6. 資料安全和資料穩私 (Data Security and Data Privacy):主要針對資料安全提供機密性、可用性和完整性,以利確保資料未被未經授權的個人或團體使用或存取,以及針對資料隱私提供適當定義,以利適當使用個人資料。此外當公司和商業客戶使用提供給或委託給他們的資料或資訊時,應該根據約定目的,並且在提供的框架內使用,以及遵守合約和法律義務。

更多有關 SAS Cloud 資訊安全的相關資訊,請參考官方文件

最後在企業組織若沒有考慮 SAS Cloud 也沒關係,在企業組織內部環境也能夠部署 SAS Viya 分析平台,並且將能夠透過專業的服務來滿足企業組織中資訊安全的高風險需求,像是弱點掃描、安全連線、資料加密、單一登入、稽核記錄、…等需求,更多有關 SAS Viya 的相關資訊,請參考官方文件

相關資源

⬅️ Go back