審查SaaS提供商安全性的10個(gè)計(jì)劃

作者：Bob Violino 2020-06-15 10:18:42

CIOAge

云安全

SaaS 使用SaaS提供商的服務(wù)就意味著需要放棄一些對(duì)安全性的控制，因此在評(píng)估供應(yīng)商時(shí)密切審查SaaS的安全性是至關(guān)重要的。

對(duì)于越來(lái)越多的企業(yè)來(lái)說(shuō)， SaaS已經(jīng)成為訪問(wèn)重要業(yè)務(wù)應(yīng)用程序的主要手段了。從業(yè)務(wù)的角度來(lái)看，這個(gè)策略是有意義的，因?yàn)樗幸恍撛诘暮锰?節(jié)省成本、提高敏捷性和更容易的可伸縮性等等。

然而，任何基于云的產(chǎn)品都會(huì)有安全風(fēng)險(xiǎn)。一個(gè)組織該如何確定其SaaS提供商的安全規(guī)定是否符合自己的標(biāo)準(zhǔn)?

“我們面臨的挑戰(zhàn)是該如何了解SaaS供應(yīng)商正在采取哪些措施來(lái)保護(hù)其基礎(chǔ)設(shè)施、變更管理程序和事件響應(yīng)流程?！毖芯抗綠artner的副總裁兼分析師Patrick Hevesi說(shuō)。

根據(jù)Gartner 2019年的一份報(bào)告，并非所有SaaS提供商都對(duì)其安全性保持透明。報(bào)告稱，企業(yè)需要了解將重要用戶數(shù)據(jù)放到云服務(wù)中所承擔(dān)的風(fēng)險(xiǎn)，以及它們必須對(duì)云服務(wù)提供商所擁有的信任。

SaaS提供商也很容易受到困擾其他組織的許多相同的惡意軟件和黑客攻擊。這些威脅可能會(huì)影響到使用這些服務(wù)的公司。你可以將你的SaaS提供商評(píng)估過(guò)程集中在以下幾個(gè)方面以最小化可能面臨的風(fēng)險(xiǎn)。

1. 檢查SaaS補(bǔ)丁策略

高管們擔(dān)心的一個(gè)問(wèn)題就是安全補(bǔ)丁?！巴ǔＧ闆r下，SaaS提供商在修補(bǔ)方面經(jīng)常會(huì)滯后，特別是如果他們是多租戶的，而你的組織正好是眾多細(xì)分服務(wù)客戶之一時(shí)?！盇surion公司的高級(jí)安全經(jīng)理Bernie Pinto說(shuō)。Asurion是一家為智能手機(jī)、平板電腦和其他產(chǎn)品提供保險(xiǎn)的公司。

2. 檢查SaaS和內(nèi)部安全控制的一致性

通信設(shè)備公司美國(guó)西門(mén)子的首席網(wǎng)絡(luò)安全官Kurt John說(shuō)，在評(píng)估SaaS提供商時(shí)，企業(yè)需要了解的主要概念是安全控制責(zé)任的轉(zhuǎn)變。使用SaaS產(chǎn)品要求安全團(tuán)隊(duì)關(guān)注其組織的安全環(huán)境與SaaS提供者的安全環(huán)境之間的接口?！澳銜?huì)希望牢牢掌握供應(yīng)商的安全特性將如何與你的企業(yè)信息安全政策保持一致，”他表示?！叭魏尾罹喽紤?yīng)該在進(jìn)程的早期解決。”

John看到了非常重要的三個(gè)關(guān)鍵領(lǐng)域：

• 身份和訪問(wèn)管理(IAM):可能存在無(wú)法將現(xiàn)有企業(yè)IAM平臺(tái)與SaaS提供商提供的產(chǎn)品集成的問(wèn)題;身份驗(yàn)證策略沖突，從可用性的角度來(lái)看，這可能導(dǎo)致混亂和技術(shù)問(wèn)題;SaaS提供商缺乏對(duì)單點(diǎn)登錄(SSO)的支持。
• 加密和密鑰管理:SaaS提供商會(huì)堅(jiān)持對(duì)加密進(jìn)行控制，允許其隨時(shí)訪問(wèn)客戶信息，并將數(shù)據(jù)存儲(chǔ)在公司安全范圍之外，這增加了對(duì)充分加密管理的依賴。
• 安全監(jiān)控:這里的關(guān)注點(diǎn)包括無(wú)法從SaaS環(huán)境中訪問(wèn)安全事件日志數(shù)據(jù)，這限制了潛在安全風(fēng)險(xiǎn)的透明度?！靶枰朔奶魬?zhàn)之一是確保日志不會(huì)被操縱?！盝ohn說(shuō)。“最好的選擇是與SaaS提供商有足夠的數(shù)字連接，可以將日志數(shù)據(jù)實(shí)時(shí)傳輸?shù)浆F(xiàn)有的安全運(yùn)營(yíng)中心?！盝ohn說(shuō)?！斑@提升了整體的視角，并允許你將本地的安全運(yùn)營(yíng)能力擴(kuò)展到云端?！?/li>

3. 確保擁有你的數(shù)據(jù)

公司還應(yīng)密切注意隱私政策或服務(wù)承諾條款，供應(yīng)商需要承諾不共享個(gè)人信息?！半m然這聽(tīng)起來(lái)很有希望，但也會(huì)是一個(gè)明顯的疏漏?！盜T咨詢公司Ascent Solutions的網(wǎng)絡(luò)安全策略師Kayne說(shuō)。

McGladrey說(shuō)，如果供應(yīng)商“沒(méi)有聲明不會(huì)出售你的業(yè)務(wù)數(shù)據(jù)，或者出售關(guān)于你的組織為‘市場(chǎng)研究’或類似目的使用該服務(wù)的假名匯總數(shù)據(jù)”，這就是一個(gè)危險(xiǎn)信號(hào)。如果沒(méi)有說(shuō)明，請(qǐng)確認(rèn)提供商不會(huì)轉(zhuǎn)售你的數(shù)據(jù)。

4. 確保SaaS提供商遵守相關(guān)法規(guī)

另一個(gè)令人擔(dān)憂的問(wèn)題是，隱私政策是否沒(méi)有包含遵守特定法規(guī)的聲明，如《一般數(shù)據(jù)保護(hù)條例》(GDPR)或是《加州消費(fèi)者隱私法》(CCPA)，McGladrey說(shuō)?！斑@些都是公認(rèn)的，但如果遺漏了則可能表明SaaS提供商沒(méi)有跟上法律和監(jiān)管的趨勢(shì)。”他說(shuō)。

“SaaS供應(yīng)商應(yīng)該在數(shù)據(jù)主權(quán)和可選本地化方面保持領(lǐng)先，”McGladrey補(bǔ)充道?！氨M管這對(duì)于選擇SaaS解決方案的跨國(guó)組織來(lái)說(shuō)尤為重要，但那些局限于單一地理區(qū)域的組織也可能希望避免尷尬的情況，比如美國(guó)人的個(gè)人信息被有意地處理和存儲(chǔ)在外國(guó)數(shù)據(jù)中心。”

5. 知道數(shù)據(jù)存儲(chǔ)在哪里

營(yíng)銷技術(shù)提供商Epsilon的首席信息官Robert Walden表示，從安全、合規(guī)和隱私的角度來(lái)看，歸根結(jié)底一切都是與數(shù)據(jù)有關(guān)。Walden說(shuō):“了解通過(guò)SaaS解決方案存儲(chǔ)或傳輸?shù)臄?shù)據(jù)類型、誰(shuí)有權(quán)訪問(wèn)數(shù)據(jù)、誰(shuí)擁有數(shù)據(jù)、如何保護(hù)數(shù)據(jù)、以及在發(fā)生安全漏洞時(shí)誰(shuí)應(yīng)該負(fù)責(zé)”，這些都是很重要的。

“許多公司甚至不知道那些不經(jīng)意間被存儲(chǔ)在SaaS解決方案中的敏感數(shù)據(jù)，也不知道誰(shuí)有權(quán)訪問(wèn)這些數(shù)據(jù)，”Walden說(shuō)?！按送?，公司往往會(huì)不明白，如果在SaaS解決方案的建立過(guò)程中執(zhí)行了標(biāo)準(zhǔn)的點(diǎn)擊式協(xié)議，那么供應(yīng)商往往就會(huì)擁有數(shù)據(jù)的所有權(quán)?！?/p>

6. 檢查數(shù)據(jù)丟失或損壞條款

從數(shù)據(jù)保護(hù)的角度來(lái)看，許多公司沒(méi)有意識(shí)到，雖然SaaS協(xié)議可能有災(zāi)難恢復(fù)條款，但這些條款并不包括數(shù)據(jù)丟失或損壞的情況，Walden說(shuō)。

7. 在SaaS采購(gòu)過(guò)程中涉及安全性

在采購(gòu)過(guò)程中，安全和風(fēng)險(xiǎn)團(tuán)隊(duì)的一名成員應(yīng)該始終與采購(gòu)團(tuán)隊(duì)保持聯(lián)系，Pinto說(shuō)?！安少?gòu)團(tuán)隊(duì)?wèi)?yīng)該與安全團(tuán)隊(duì)步調(diào)一致，讓他們?cè)谶^(guò)程中量化風(fēng)險(xiǎn)。大多數(shù)采購(gòu)團(tuán)隊(duì)仍然沒(méi)有意識(shí)到身份和訪問(wèn)管理是一個(gè)專業(yè)領(lǐng)域?！?/p>

信息安全團(tuán)隊(duì)?wèi)?yīng)該出席所有關(guān)鍵的討論，以確保涉及數(shù)據(jù)安全的非技術(shù)主題能夠得到解決，John說(shuō)。“在我們公司，未解決的網(wǎng)絡(luò)安全問(wèn)題可能會(huì)把供應(yīng)商排除在外?！?/p>

8. 確定SaaS提供商所使用的子服務(wù)

要討論的主題還需要包括SaaS提供者可能使用的子服務(wù)組織。“在簽訂任何合同之前，解決這個(gè)問(wèn)題是至關(guān)重要的，”John說(shuō)?！斑@可能會(huì)對(duì)組織的任何數(shù)據(jù)存儲(chǔ)位置要求都產(chǎn)生影響?！?/p>

在評(píng)估SaaS安全報(bào)告時(shí)，“務(wù)必驗(yàn)證報(bào)告范圍是否包括了作為合同一部分的位置和子服務(wù)，”John說(shuō)。這需要對(duì)合同和適用的安全報(bào)告進(jìn)行交叉檢查，以確保審計(jì)結(jié)果的覆蓋范圍和可靠性。

討論還應(yīng)該涵蓋SaaS提供商所提供的確保法規(guī)遵從性的方法?！霸诮鉀Q這個(gè)問(wèn)題時(shí)，重要的是要了解供應(yīng)商的哪些特性能夠支持法規(guī)遵從性和任何的相關(guān)活動(dòng)，比如電子發(fā)現(xiàn)、數(shù)據(jù)隱私和事件響應(yīng)報(bào)告，”John說(shuō)。

9. 在免費(fèi)SaaS試用期間進(jìn)行徹底測(cè)試

IT和安全應(yīng)該在免費(fèi)SaaS試用期間測(cè)試功能，包括最大容量和峰值的使用率?！皯?yīng)該有幾個(gè)管理員和超級(jí)用戶同時(shí)使用這個(gè)工具，并且在同一個(gè)窗口中評(píng)估性能，”P(pán)into說(shuō)。

同時(shí)，測(cè)試并發(fā)和多進(jìn)程活動(dòng)。“用戶應(yīng)該認(rèn)識(shí)到程序在忙于計(jì)算、移動(dòng)信息和創(chuàng)建報(bào)告時(shí)的響應(yīng)能力，”P(pán)into說(shuō)。

作為內(nèi)部測(cè)試的一部分，“還需要評(píng)估關(guān)鍵安全流程與SaaS提供商的解決方案集成的能力，”John說(shuō)?！斑@將有助于確定可能需要的努力程度和成本預(yù)測(cè)，以確保解決方案實(shí)施后的安全性?！?/p>

10. 審核SaaS提供商的第三方審計(jì)

重要的是要求和審查供應(yīng)商最近的第三方審計(jì)報(bào)告，包括任何可以確認(rèn)安全控制的適用性和有效性的滲透測(cè)試結(jié)果，John說(shuō)?！耙筇峁﹪?guó)家或國(guó)際認(rèn)證的證據(jù)也有助于確定組織企業(yè)級(jí)控制措施的成熟度?！?/p>
本文題目：審查SaaS提供商安全性的10個(gè)計(jì)劃
文章URL：http://fisionsoft.com.cn/article/cosgche.html