審查SaaS提供商安全能力的10個(gè)要點(diǎn)

Bob Violino Charles

對(duì)于越來越多的企業(yè)來說，軟件即服務(wù)（SaaS）已經(jīng)成為使用重要業(yè)務(wù)應(yīng)用程序的主要手段。從業(yè)務(wù)的角度來看，這種策略是可行的，因?yàn)樗袧撛诘暮锰帲汗?jié)約成本、提高了靈活性和更容易擴(kuò)展，等等。

然而，任何基于云的產(chǎn)品都有安全風(fēng)險(xiǎn)。一家企業(yè)怎樣確定其SaaS提供商的安全條款是否達(dá)到了自己的標(biāo)準(zhǔn)呢？

Gartner的副總裁兼分析師Patrick Hevesi解釋說：“我們面臨的挑戰(zhàn)是怎樣才能全面了解SaaS供應(yīng)商為保護(hù)其基礎(chǔ)設(shè)施、變更管理程序和事件響應(yīng)過程所做的工作?！?/p>

據(jù)Gartner 2019年的一份報(bào)告，并非所有SaaS提供商都對(duì)其安全能力保持透明。報(bào)告稱，企業(yè)應(yīng)清楚地知道將重要的用戶數(shù)據(jù)放到云服務(wù)中所要承擔(dān)的風(fēng)險(xiǎn)，而且他們還不得不信任云服務(wù)提供商。

SaaS提供商很容易受到同樣困擾著所有其他企業(yè)的很多惡意軟件和黑客的攻擊。這些威脅會(huì)影響使用這些服務(wù)的企業(yè)。把對(duì)你的SaaS提供商的評(píng)估過程集中在以下幾個(gè)方面能夠最大程度地降低這種風(fēng)險(xiǎn)。

1.檢查SaaS補(bǔ)丁策略

高管們擔(dān)心的一個(gè)問題是安全補(bǔ)丁。Asurion公司為智能手機(jī)、平板電腦和其他產(chǎn)品提供保險(xiǎn)服務(wù)，該公司高級(jí)安全經(jīng)理Bernie Pinto指出：“通常情況下，SaaS提供商在提供補(bǔ)丁方面會(huì)滯后，特別是如果他們是多租戶的，而你的企業(yè)只是眾多細(xì)分服務(wù)客戶之一?！?h3>2.檢查SaaS與內(nèi)部安全控制的一致性

通信設(shè)備公司西門子美國(guó)（Siemens USA）的首席網(wǎng)絡(luò)安全官Kurt John認(rèn)為，在評(píng)估SaaS提供商時(shí)，企業(yè)應(yīng)了解的主要概念是安全控制職責(zé)的轉(zhuǎn)變。使用SaaS產(chǎn)品要求安全部門把重點(diǎn)放在企業(yè)安全環(huán)境和SaaS提供商安全環(huán)境之間的接口上。他說：“一定要牢牢把握住提供商的安全功能與企業(yè)的信息安全策略是否保持一致。務(wù)必在流程的早期就處理好任何差距問題?！?/p>

John認(rèn)為有3個(gè)關(guān)鍵領(lǐng)域?qū)刂频囊恢滦苑浅Ｖ匾?/p>

·身份和訪問管理（IAM）：?jiǎn)栴}可能包括無法將現(xiàn)有的企業(yè)IAM平臺(tái)與SaaS提供商的產(chǎn)品集成;相互沖突的身份驗(yàn)證策略，從可用性角度來看，可能會(huì)導(dǎo)致混淆和技術(shù)問題;SaaS提供商不支持單點(diǎn)登錄（SSO）。

·加密和密鑰管理：這方面的問題包括SaaS提供商堅(jiān)持要保持對(duì)加密的控制，允許它隨時(shí)訪問客戶的信息，數(shù)據(jù)被存儲(chǔ)在企業(yè)安全邊界之外，這導(dǎo)致不得不采取相應(yīng)的加密管理措施。

·安全監(jiān)視：這方面的問題包括不支持對(duì)SaaS環(huán)境下安全事件日志數(shù)據(jù)的訪問，對(duì)可能出現(xiàn)的安全風(fēng)險(xiǎn)不夠透明。John說：“要克服的挑戰(zhàn)之一是確保日志不被操控。首選方案是與SaaS提供商建立足夠的數(shù)字連接，以便將日志數(shù)據(jù)實(shí)時(shí)傳送到企業(yè)現(xiàn)有的安全運(yùn)營(yíng)中心。這有利于從宏觀上進(jìn)行把握，允許企業(yè)將本地安全操作功能擴(kuò)展到云中?！?h3>3.確保企業(yè)擁有自己的數(shù)據(jù)

企業(yè)還應(yīng)詳細(xì)查看提供商承諾的隱私政策或者服務(wù)條款，確保他們不會(huì)共享個(gè)人信息。IT咨詢公司Ascent Solutions的網(wǎng)絡(luò)安全策略師Kayne McGladrey說：“盡管這聽起來是能做到的，但很容易被疏忽掉。”

McGradrey指出，如果SaaS供應(yīng)商合同中“沒有明確寫明不會(huì)出售企業(yè)的業(yè)務(wù)數(shù)據(jù)，也不會(huì)出售將服務(wù)所得數(shù)據(jù)用于‘市場(chǎng)研究或者類似目的的匿名匯總數(shù)據(jù)的條款”，那么這就是一個(gè)危險(xiǎn)信號(hào)。如果合同中沒有說明，請(qǐng)務(wù)必確認(rèn)提供商不會(huì)轉(zhuǎn)售你的企業(yè)數(shù)據(jù)。

4.確保SaaS提供商遵守相關(guān)法規(guī)

McGladrey說，另一個(gè)令人擔(dān)憂的問題是，隱私政策會(huì)不會(huì)沒有包括遵守具體法規(guī)的聲明，例如通用數(shù)據(jù)保護(hù)條例（GDPR）和加州消費(fèi)者隱私法（CCPA）等。他說：“這些都是公認(rèn)的，如果被遺漏了，可能表明SaaS提供商沒有跟上法律和監(jiān)管的趨勢(shì)?！?p>

McGladrey補(bǔ)充道：“SaaS供應(yīng)商應(yīng)該在數(shù)據(jù)主權(quán)和可選本地化方面持坦率態(tài)度。雖然這對(duì)于跨國(guó)公司選擇SaaS解決方案特別重要，但那些受單一地理區(qū)域限制的企業(yè)則希望避免出現(xiàn)尷尬的情況，例如，美國(guó)人的個(gè)人信息被有意處理并存儲(chǔ)在國(guó)外的數(shù)據(jù)中心?！?h3>5.知道數(shù)據(jù)存儲(chǔ)在哪里

營(yíng)銷技術(shù)提供商Epsilon公司的首席信息官Robert Walden表示，從安全、合規(guī)和隱私的角度來看，歸根結(jié)底一切都與數(shù)據(jù)有關(guān)。Walden說：“知曉通過SaaS解決方案存儲(chǔ)和傳輸?shù)臄?shù)據(jù)類型、誰有權(quán)訪問數(shù)據(jù)、誰擁有數(shù)據(jù)、怎樣保護(hù)數(shù)據(jù)，以及在安全泄露事件發(fā)生時(shí)誰應(yīng)承擔(dān)責(zé)任等等，這些都非常重要?！?/p>

Walden說：“很多企業(yè)甚至都不知道無意中存儲(chǔ)在SaaS解決方案中的敏感數(shù)據(jù)類型，也不知道誰有權(quán)訪問這些數(shù)據(jù)。此外，企業(yè)通常不知道，如果在SaaS解決方案的建立過程中執(zhí)行了標(biāo)準(zhǔn)的點(diǎn)擊通過協(xié)議，則該提供商通常對(duì)數(shù)據(jù)擁有所有權(quán)?！?h3>6.檢查數(shù)據(jù)丟失或者損壞條款

Walden說，從數(shù)據(jù)保護(hù)的角度來看，很多企業(yè)沒有意識(shí)到，雖然SaaS協(xié)議可能有災(zāi)難恢復(fù)條款，但這些條款并未涵蓋數(shù)據(jù)丟失或者損壞的問題。

7.在SaaS采購過程中涉及的安全

Pinto說，在采購過程中，安全和風(fēng)險(xiǎn)部門的成員應(yīng)該一直與采購部門保持聯(lián)系?！安少彶块T應(yīng)與安全部門步調(diào)一致，并讓他們參與過程中的風(fēng)險(xiǎn)量化工作。大多數(shù)采購部門仍然沒有意識(shí)到身份和訪問管理是一個(gè)專業(yè)領(lǐng)域?！?/p>

John說，信息安全部門應(yīng)參與所有關(guān)鍵討論，以確保能夠解決涉及數(shù)據(jù)安全的非技術(shù)性問題。“在我們的部門中，如果出現(xiàn)未解決的網(wǎng)絡(luò)安全問題，那么提供商就會(huì)出局?！?h3>8.確定SaaS提供商使用的子服務(wù)

談判的主題包括SaaS提供商可能使用的企業(yè)子服務(wù)。John說：“在簽署任何合同之前，解決這一問題至關(guān)重要。這可能會(huì)影響企業(yè)提出的任何數(shù)據(jù)存儲(chǔ)位置要求。”

John說，在評(píng)估SaaS安全報(bào)告時(shí)，“驗(yàn)證報(bào)告范圍是否包括作為合同一部分的位置和子服務(wù)是很重要的。這需要對(duì)合同和適用的安全報(bào)告進(jìn)行交叉檢查，以確保審計(jì)結(jié)果的充分覆蓋和可靠性?！?/p>

談判還應(yīng)涵蓋SaaS提供商確保合規(guī)的方法。John說：“在解決這一問題時(shí)，應(yīng)了解提供商的哪些功能支持合規(guī)和任何相關(guān)活動(dòng)，例如電子發(fā)現(xiàn)、數(shù)據(jù)隱私和事件響應(yīng)報(bào)告等，這一點(diǎn)很重要?！?h3>9.在免費(fèi)SaaS試用期間進(jìn)行徹底測(cè)試

IT和安全部門應(yīng)在免費(fèi)SaaS試用期間測(cè)試功能，包括最大容量和峰值使用量等。Pinto說：“應(yīng)該有幾個(gè)管理員和超級(jí)用戶同時(shí)使用該工具，在同一窗口內(nèi)評(píng)估性能?！?/p>

同時(shí)，測(cè)試并發(fā)和多進(jìn)程活動(dòng)。Pinto說：“當(dāng)程序忙于計(jì)算、移動(dòng)信息和創(chuàng)建報(bào)告時(shí)，用戶應(yīng)該知道程序的響應(yīng)能力如何?！?/p>

作為內(nèi)部測(cè)試的一部分，John說：“評(píng)估能否將企業(yè)的關(guān)鍵安全流程與SaaS提供商的解決方案集成在一起。這將有助于確定可能需要的工作量和成本預(yù)測(cè)，以確保解決方案實(shí)施后足夠安全?！?h3>10.檢查SaaS提供商的第三方審計(jì)

John說，要求提供商提供最新的第三方審計(jì)報(bào)告并進(jìn)行檢查，包括任何滲透測(cè)試結(jié)果，以確認(rèn)安全控制的適用性和有效性，這是非常重要的?！耙筇峁﹪?guó)家或者國(guó)際認(rèn)證的證據(jù)也有助于確定企業(yè)級(jí)控制措施的成熟度?！?/p>

Bob Violino目前在紐約，是Insider Pro、Computerworld、CIO、CSO、InfoWorld和Network World的特約撰稿人。

原文網(wǎng)址

https：//www.csoonline.com/article/3546316/a-10-point-plan-to-vet-saas-provider-security.html