對于越來越多的企業(yè)來說, SaaS已經(jīng)成為訪問重要業(yè)務(wù)應(yīng)用程序的主要手段了。從業(yè)務(wù)的角度來看,這個(gè)策略是有意義的,因?yàn)樗幸恍撛诘暮锰?節(jié)省成本、提高敏捷性和更容易的可伸縮性等等。
然而,任何基于云的產(chǎn)品都會(huì)有安全風(fēng)險(xiǎn)。一個(gè)組織該如何確定其SaaS提供商的安全規(guī)定是否符合自己的標(biāo)準(zhǔn)?
“我們面臨的挑戰(zhàn)是該如何了解SaaS供應(yīng)商正在采取哪些措施來保護(hù)其基礎(chǔ)設(shè)施、變更管理程序和事件響應(yīng)流程。”研究公司Gartner的副總裁兼分析師Patrick Hevesi說。
根據(jù)Gartner 2019年的一份報(bào)告,并非所有SaaS提供商都對其安全性保持透明。報(bào)告稱,企業(yè)需要了解將重要用戶數(shù)據(jù)放到云服務(wù)中所承擔(dān)的風(fēng)險(xiǎn),以及它們必須對云服務(wù)提供商所擁有的信任。
SaaS提供商也很容易受到困擾其他組織的許多相同的惡意軟件和黑客攻擊。這些威脅可能會(huì)影響到使用這些服務(wù)的公司。你可以將你的SaaS提供商評估過程集中在以下幾個(gè)方面以最小化可能面臨的風(fēng)險(xiǎn)。
1. 檢查SaaS補(bǔ)丁策略
高管們擔(dān)心的一個(gè)問題就是安全補(bǔ)丁。“通常情況下,SaaS提供商在修補(bǔ)方面經(jīng)常會(huì)滯后,特別是如果他們是多租戶的,而你的組織正好是眾多細(xì)分服務(wù)客戶之一時(shí)。”Asurion公司的高級安全經(jīng)理Bernie Pinto說。Asurion是一家為智能手機(jī)、平板電腦和其他產(chǎn)品提供保險(xiǎn)的公司。
2.檢查SaaS和內(nèi)部安全控制的一致性
通信設(shè)備公司美國西門子的首席網(wǎng)絡(luò)安全官Kurt John說,在評估SaaS提供商時(shí),企業(yè)需要了解的主要概念是安全控制責(zé)任的轉(zhuǎn)變。使用SaaS產(chǎn)品要求安全團(tuán)隊(duì)關(guān)注其組織的安全環(huán)境與SaaS提供者的安全環(huán)境之間的接口。“你會(huì)希望牢牢掌握供應(yīng)商的安全特性將如何與你的企業(yè)信息安全政策保持一致,”他表示。“任何差距都應(yīng)該在進(jìn)程的早期解決。”
John看到了非常重要的三個(gè)關(guān)鍵領(lǐng)域:
·身份和訪問管理(IAM):可能存在無法將現(xiàn)有企業(yè)IAM平臺與SaaS提供商提供的產(chǎn)品集成的問題;身份驗(yàn)證策略沖突,從可用性的角度來看,這可能導(dǎo)致混亂和技術(shù)問題;SaaS提供商缺乏對單點(diǎn)登錄(SSO)的支持。
·加密和密鑰管理:SaaS提供商會(huì)堅(jiān)持對加密進(jìn)行控制,允許其隨時(shí)訪問客戶信息,并將數(shù)據(jù)存儲在公司安全范圍之外,這增加了對充分加密管理的依賴。
·安全監(jiān)控:這里的關(guān)注點(diǎn)包括無法從SaaS環(huán)境中訪問安全事件日志數(shù)據(jù),這限制了潛在安全風(fēng)險(xiǎn)的透明度。“需要克服的挑戰(zhàn)之一是確保日志不會(huì)被操縱。”John說。“最好的選擇是與SaaS提供商有足夠的數(shù)字連接,可以將日志數(shù)據(jù)實(shí)時(shí)傳輸?shù)浆F(xiàn)有的安全運(yùn)營中心。”John說。“這提升了整體的視角,并允許你將本地的安全運(yùn)營能力擴(kuò)展到云端。”
3.確保擁有你的數(shù)據(jù)
公司還應(yīng)密切注意隱私政策或服務(wù)承諾條款,供應(yīng)商需要承諾不共享個(gè)人信息。“雖然這聽起來很有希望,但也會(huì)是一個(gè)明顯的疏漏。”IT咨詢公司Ascent Solutions的網(wǎng)絡(luò)安全策略師Kayne說。
McGladrey說,如果供應(yīng)商“沒有聲明不會(huì)出售你的業(yè)務(wù)數(shù)據(jù),或者出售關(guān)于你的組織為‘市場研究’或類似目的使用該服務(wù)的假名匯總數(shù)據(jù)”,這就是一個(gè)危險(xiǎn)信號。如果沒有說明,請確認(rèn)提供商不會(huì)轉(zhuǎn)售你的數(shù)據(jù)。
4.確保SaaS提供商遵守相關(guān)法規(guī)
另一個(gè)令人擔(dān)憂的問題是,隱私政策是否沒有包含遵守特定法規(guī)的聲明,如《一般數(shù)據(jù)保護(hù)條例》(GDPR)或是《加州消費(fèi)者隱私法》(CCPA),McGladrey說。“這些都是公認(rèn)的,但如果遺漏了則可能表明SaaS提供商沒有跟上法律和監(jiān)管的趨勢。”他說。
“SaaS供應(yīng)商應(yīng)該在數(shù)據(jù)主權(quán)和可選本地化方面保持領(lǐng)先,”McGladrey補(bǔ)充道。“盡管這對于選擇SaaS解決方案的跨國組織來說尤為重要,但那些局限于單一地理區(qū)域的組織也可能希望避免尷尬的情況,比如美國人的個(gè)人信息被有意地處理和存儲在外國數(shù)據(jù)中心。”
5.知道數(shù)據(jù)存儲在哪里
營銷技術(shù)提供商Epsilon的首席信息官Robert Walden表示,從安全、合規(guī)和隱私的角度來看,歸根結(jié)底一切都是與數(shù)據(jù)有關(guān)。Walden說:“了解通過SaaS解決方案存儲或傳輸?shù)臄?shù)據(jù)類型、誰有權(quán)訪問數(shù)據(jù)、誰擁有數(shù)據(jù)、如何保護(hù)數(shù)據(jù)、以及在發(fā)生安全漏洞時(shí)誰應(yīng)該負(fù)責(zé)”,這些都是很重要的。
“許多公司甚至不知道那些不經(jīng)意間被存儲在SaaS解決方案中的敏感數(shù)據(jù),也不知道誰有權(quán)訪問這些數(shù)據(jù),”Walden說。“此外,公司往往會(huì)不明白,如果在SaaS解決方案的建立過程中執(zhí)行了標(biāo)準(zhǔn)的點(diǎn)擊式協(xié)議,那么供應(yīng)商往往就會(huì)擁有數(shù)據(jù)的所有權(quán)。”
6.檢查數(shù)據(jù)丟失或損壞條款
從數(shù)據(jù)保護(hù)的角度來看,許多公司沒有意識到,雖然SaaS協(xié)議可能有災(zāi)難恢復(fù)條款,但這些條款并不包括數(shù)據(jù)丟失或損壞的情況,Walden說。
7.在SaaS采購過程中涉及安全性
在采購過程中,安全和風(fēng)險(xiǎn)團(tuán)隊(duì)的一名成員應(yīng)該始終與采購團(tuán)隊(duì)保持聯(lián)系,Pinto說。“采購團(tuán)隊(duì)?wèi)?yīng)該與安全團(tuán)隊(duì)步調(diào)一致,讓他們在過程中量化風(fēng)險(xiǎn)。大多數(shù)采購團(tuán)隊(duì)仍然沒有意識到身份和訪問管理是一個(gè)專業(yè)領(lǐng)域。”
信息安全團(tuán)隊(duì)?wèi)?yīng)該出席所有關(guān)鍵的討論,以確保涉及數(shù)據(jù)安全的非技術(shù)主題能夠得到解決,John說。“在我們公司,未解決的網(wǎng)絡(luò)安全問題可能會(huì)把供應(yīng)商排除在外。”
8.確定SaaS提供商所使用的子服務(wù)
要討論的主題還需要包括SaaS提供者可能使用的子服務(wù)組織。“在簽訂任何合同之前,解決這個(gè)問題是至關(guān)重要的,”John說。“這可能會(huì)對組織的任何數(shù)據(jù)存儲位置要求都產(chǎn)生影響。”
在評估SaaS安全報(bào)告時(shí),“務(wù)必驗(yàn)證報(bào)告范圍是否包括了作為合同一部分的位置和子服務(wù),”John說。這需要對合同和適用的安全報(bào)告進(jìn)行交叉檢查,以確保審計(jì)結(jié)果的覆蓋范圍和可靠性。
討論還應(yīng)該涵蓋SaaS提供商所提供的確保法規(guī)遵從性的方法。“在解決這個(gè)問題時(shí),重要的是要了解供應(yīng)商的哪些特性能夠支持法規(guī)遵從性和任何的相關(guān)活動(dòng),比如電子發(fā)現(xiàn)、數(shù)據(jù)隱私和事件響應(yīng)報(bào)告,”John說。
9.在免費(fèi)SaaS試用期間進(jìn)行徹底測試
IT和安全應(yīng)該在免費(fèi)SaaS試用期間測試功能,包括最大容量和峰值的使用率。“應(yīng)該有幾個(gè)管理員和超級用戶同時(shí)使用這個(gè)工具,并且在同一個(gè)窗口中評估性能,”Pinto說。
同時(shí),測試并發(fā)和多進(jìn)程活動(dòng)。“用戶應(yīng)該認(rèn)識到程序在忙于計(jì)算、移動(dòng)信息和創(chuàng)建報(bào)告時(shí)的響應(yīng)能力,”Pinto說。
作為內(nèi)部測試的一部分,“還需要評估關(guān)鍵安全流程與SaaS提供商的解決方案集成的能力,”John說。“這將有助于確定可能需要的努力程度和成本預(yù)測,以確保解決方案實(shí)施后的安全性。”
10. 審核SaaS提供商的第三方審計(jì)
重要的是要求和審查供應(yīng)商最近的第三方審計(jì)報(bào)告,包括任何可以確認(rèn)安全控制的適用性和有效性的滲透測試結(jié)果,John說。“要求提供國家或國際認(rèn)證的證據(jù)也有助于確定組織企業(yè)級控制措施的成熟度。”
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號