評估SaaS服務(wù)商安全性的十個(gè)要點(diǎn)
對于越來越多的企業(yè),軟件即服務(wù)(SaaS)已成為訪問重要業(yè)務(wù)應(yīng)用程序的主要手段。從業(yè)務(wù)的角度來看,“上云”的好處包括:節(jié)省成本、提高敏捷性和更易擴(kuò)展的功能。
但是,任何基于云的產(chǎn)品都存在安全風(fēng)險(xiǎn)。企業(yè)如何才能確定其SaaS提供商的安全性是否符合其自身的需求和標(biāo)準(zhǔn)?
Gartner副總裁兼分析師Patrick Hevesi說:“我們面臨的挑戰(zhàn)是需要了解SaaS供應(yīng)商是如何保護(hù)其基礎(chǔ)架構(gòu)、變更管理和事件響應(yīng)流程的。”
根據(jù)Gartner2019年的報(bào)告,并非所有SaaS提供商的安全性都是透明的。報(bào)告說,企業(yè)必須對兩種風(fēng)險(xiǎn)有充分認(rèn)識:一種是將重要的用戶數(shù)據(jù)放入云服務(wù)的風(fēng)險(xiǎn),另一種是充分信任云服務(wù)商的風(fēng)險(xiǎn)。
與任何企業(yè)一樣,SaaS提供商也容易遭受許多相同的惡意軟件和黑客攻擊,一旦云服務(wù)遭受攻擊,往往會城門失火殃及池魚,云服務(wù)用戶也會受到影響。因此,我們建議計(jì)劃使用云服務(wù)的企業(yè),對云服務(wù)商進(jìn)行必要的安全評估,降低業(yè)務(wù)風(fēng)險(xiǎn),以下是網(wǎng)絡(luò)安全專業(yè)人士對于評估SaaS供應(yīng)商的十個(gè)建議:
1. 查看SaaS的漏洞管理/修補(bǔ)策略
高管經(jīng)常關(guān)注的一個(gè)問題是安全補(bǔ)丁。“通常,SaaS提供商會打補(bǔ)丁,尤其是多租戶服務(wù)。”Asurion的安全高級經(jīng)理Bernie Pinto說。一家云服務(wù)商的漏洞管理效率、成熟度模型、工具、落地措施以及與其他安全工具和流程,例如威脅情報(bào)和UEBA等的集成,都能體現(xiàn)一家云服務(wù)商的漏洞管理水平。企業(yè)也可以使用平衡記分卡給云服務(wù)商的漏洞管理服務(wù)打分。(參考:《2020高效漏洞管理現(xiàn)狀與趨勢報(bào)告》)
2. 檢查SaaS與內(nèi)部安全控制的一致性
通信設(shè)備公司西門子美國公司首席網(wǎng)絡(luò)安全官庫爾特·約翰(Kurt John)說,在評估SaaS提供商時(shí),公司需要了解的主要概念是安全控制職責(zé)的轉(zhuǎn)變。使用SaaS產(chǎn)品要求安全團(tuán)隊(duì)專注于其組織的安全環(huán)境與SaaS提供商的安全環(huán)境之間的接口。他說:“您將應(yīng)當(dāng)確保提供商的安全功能如何與您的公司信息安全策略保持一致。”“任何差距都應(yīng)在此過程中盡早解決。”John認(rèn)為“控制對齊”有三個(gè)關(guān)鍵領(lǐng)域:
- 身份和訪問管理(IAM):問題可能包括無法將現(xiàn)有企業(yè)IAM平臺與SaaS提供商的產(chǎn)品集成在一起;認(rèn)證策略沖突,從可用性的角度來看,這可能導(dǎo)致混亂和技術(shù)難題;以及SaaS提供商缺乏對單點(diǎn)登錄(SSO)的支持。
- 加密和密鑰管理:這里的問題包括SaaS提供商堅(jiān)持保持對加密的控制,使其可以隨時(shí)訪問客戶的信息,以及將數(shù)據(jù)存儲在公司安全范圍之外,從而增加了對適當(dāng)加密管理的依賴。
- 安全監(jiān)控:這里的問題包括無法從SaaS環(huán)境提供對安全事件日志數(shù)據(jù)的訪問,從而降低了潛在安全風(fēng)險(xiǎn)的透明性。John說:“要克服的挑戰(zhàn)之一是確保服務(wù)商無法操縱日志。”約翰說:“首選的選擇是與SaaS提供商建立適當(dāng)?shù)臄?shù)字連接,以便將日志數(shù)據(jù)實(shí)時(shí)饋送到您現(xiàn)有的安全運(yùn)營中心。”“這可以提升整體視野,并支持將本地安全運(yùn)營功能擴(kuò)展到云中。”
3. 確保您擁有數(shù)據(jù)
公司還應(yīng)密切注意提供商的隱私政策或服務(wù)條款,以確保不會共享個(gè)人信息。IT咨詢公司Ascent Solutions的網(wǎng)絡(luò)安全策略師Kayne McGladrey說:“盡管這聽起來理所當(dāng)然,但現(xiàn)實(shí)中往往會被遺漏。”
McGladrey說:如果SaaS供應(yīng)商未承諾不會出售您的業(yè)務(wù)數(shù)據(jù)或以“市場研究”的名義出售您如何使用云服務(wù)的數(shù)據(jù),這將是一個(gè)危險(xiǎn)信號。如果云服務(wù)協(xié)議沒有明確說明,請務(wù)必確認(rèn)提供商不會轉(zhuǎn)售您的數(shù)據(jù)。
4. 確保SaaS提供商的合規(guī)性
McGladrey指出,另一個(gè)令人擔(dān)憂的問題是,如果隱私政策中沒有聲明遵守特定法規(guī),例如《通用數(shù)據(jù)保護(hù)法規(guī)》(GDPR)或《加州消費(fèi)者隱私法案》(CCPA),則該聲明不符合要求。他說:“缺乏必要的合規(guī)性,可能表明SaaS提供商沒有跟上法律和監(jiān)管的步伐。”
McGladrey補(bǔ)充說:“ SaaS供應(yīng)商應(yīng)該在數(shù)據(jù)主權(quán)和可選本地化方面領(lǐng)先。”“盡管這對于選擇SaaS解決方案的跨國企業(yè)特別重要,但是單一地理位置的組織也很有肯能會碰到類似的合規(guī)問題。”
5. 知道數(shù)據(jù)存儲在哪里
營銷技術(shù)提供商Epsilon的CIO Robert Walden表示,從安全性,合規(guī)性和隱私性的角度來看,這最終都取決于數(shù)據(jù)。“了解通過SaaS解決方案存儲或傳輸什么樣的數(shù)據(jù),誰有權(quán)訪問數(shù)據(jù),誰擁有數(shù)據(jù),如何保護(hù)數(shù)據(jù)以及在發(fā)生安全漏洞時(shí)誰應(yīng)負(fù)責(zé)都非常重要”,Walden說道。
Walden說:“許多公司甚至都不知道無意中存儲在SaaS解決方案中的敏感數(shù)據(jù)的類型,或者誰可以訪問這些敏感數(shù)據(jù)。”“此外,很多公司不了解,如果在設(shè)置SaaS解決方案期間執(zhí)行了標(biāo)準(zhǔn)的點(diǎn)擊(click-through)協(xié)議,則該提供商通常對數(shù)據(jù)擁有所有權(quán)。”
6. 檢查數(shù)據(jù)丟失或損壞的規(guī)定
從數(shù)據(jù)保護(hù)的角度來看,許多公司沒有意識到,盡管SaaS協(xié)議可能包含災(zāi)難恢復(fù)條款,但這些條款往往并未涵蓋數(shù)據(jù)丟失或損壞的問題。
7. 安全團(tuán)隊(duì)?wèi)?yīng)當(dāng)參與SaaS采購過程
Pinto說,在采購過程中,安全和風(fēng)險(xiǎn)團(tuán)隊(duì)的成員應(yīng)始終與采購團(tuán)隊(duì)聯(lián)系。“采購團(tuán)隊(duì)?wèi)?yīng)與安全團(tuán)隊(duì)保持一致,并讓他們量化流程中的風(fēng)險(xiǎn)。大多數(shù)采購團(tuán)隊(duì)仍然沒有意識到身份和訪問管理是一門專業(yè)。”
John說,信息安全團(tuán)隊(duì)?wèi)?yīng)出席所有關(guān)鍵討論,以確保解決涵蓋與數(shù)據(jù)安全有關(guān)的技術(shù)或非技術(shù)性問題。“對于我們來說,如果云服務(wù)商無法及時(shí)解決網(wǎng)絡(luò)安全問題,將從我們的候選名單上消失。”
8. 識別SaaS提供商使用的子服務(wù)
SaaS提供商可能使用的子服務(wù)也是需要討論的話題。John說:“這些問題需要在簽訂任何合同之前解決。”“這可能會影響您的組織對數(shù)據(jù)存儲位置的要求。”
約翰說,在評估SaaS的安全報(bào)告時(shí),“重要的是確認(rèn)報(bào)告范圍包括合同中的位置和子服務(wù)。”“這需要對合同和適用的安全報(bào)告進(jìn)行交叉檢查,以確保審計(jì)結(jié)果具有足夠的覆蓋范圍和可靠性。”
討論還應(yīng)涵蓋SaaS提供商確保合規(guī)的方法。John說:“在解決這個(gè)問題時(shí),重要的是要了解云服務(wù)商的安全服務(wù)和功能,例如檢測、數(shù)據(jù)隱私和事件響應(yīng)報(bào)告,以及任何相關(guān)活動(dòng),是否合規(guī)。”
9. 在SaaS免費(fèi)試用期間進(jìn)行徹底測試
應(yīng)在免費(fèi)的SaaS試用期間進(jìn)行無死角的IT和安全性的全面測試,包括容量和峰值的壓力測試。Pinto說:“應(yīng)該有多個(gè)管理員和超級用戶同時(shí)使用該工具,并在同一窗口內(nèi)評估性能。”
另外,需要測試并發(fā)和多進(jìn)程活動(dòng)。Pinto說:“用戶應(yīng)該了解云服務(wù)程序在高負(fù)載(忙于計(jì)算或移動(dòng)信息并創(chuàng)建報(bào)告)時(shí)的響應(yīng)速度。”
John說,作為內(nèi)部測試的一部分,“還需要評估關(guān)鍵安全流程與SaaS提供商的解決方案集成的能力”。“這將有助于確定在解決方案實(shí)施后,安全性方面需要投入的資源和成本。”
10. 審查SaaS提供商的第三方安全審計(jì)報(bào)告
John說,很重要的一個(gè)環(huán)節(jié)是查看云服務(wù)商的最新第三方審計(jì)報(bào)告,包括滲透測試結(jié)果,這些結(jié)果將確認(rèn)安全控制的適用性和有效性。“索取國家或國際認(rèn)證的證書也有助于確定云服務(wù)商的企業(yè)級安全控制的成熟度。”
【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章,轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權(quán)】
