對于越來越多的企業(yè)來說,軟件即服務(wù)(SaaS)已經(jīng)成為使用重要業(yè)務(wù)應(yīng)用程序的主要手段。從業(yè)務(wù)的角度來看,這種策略是可行的,因為它有潛在的好處:節(jié)約成本、提高了靈活性和更容易擴展,等等。
然而,任何基于云的產(chǎn)品都有安全風(fēng)險。一家企業(yè)怎樣確定其SaaS提供商的安全條款是否達(dá)到了自己的標(biāo)準(zhǔn)呢?
Gartner的副總裁兼分析師Patrick Hevesi解釋說:“我們面臨的挑戰(zhàn)是怎樣才能全面了解SaaS供應(yīng)商為保護(hù)其基礎(chǔ)設(shè)施、變更管理程序和事件響應(yīng)過程所做的工作。”
據(jù)Gartner 2019年的一份報告,并非所有SaaS提供商都對其安全能力保持透明。報告稱,企業(yè)應(yīng)清楚地知道將重要的用戶數(shù)據(jù)放到云服務(wù)中所要承擔(dān)的風(fēng)險,而且他們還不得不信任云服務(wù)提供商。
SaaS提供商很容易受到同樣困擾著所有其他企業(yè)的很多惡意軟件和黑客的攻擊。這些威脅會影響使用這些服務(wù)的企業(yè)。把對你的SaaS提供商的評估過程集中在以下幾個方面能夠最大程度地降低這種風(fēng)險。
1. 檢查SaaS補丁策略
高管們擔(dān)心的一個問題是安全補丁。Asurion公司為智能手機、平板電腦和其他產(chǎn)品提供保險服務(wù),該公司高級安全經(jīng)理Bernie Pinto指出:“通常情況下,SaaS提供商在提供補丁方面會滯后,特別是如果他們是多租戶的,而你的企業(yè)只是眾多細(xì)分服務(wù)客戶之一。”
2. 檢查SaaS與內(nèi)部安全控制的一致性
通信設(shè)備公司西門子美國(Siemens USA)的首席網(wǎng)絡(luò)安全官Kurt John認(rèn)為,在評估SaaS提供商時,企業(yè)應(yīng)了解的主要概念是安全控制職責(zé)的轉(zhuǎn)變。使用SaaS產(chǎn)品要求安全部門把重點放在企業(yè)安全環(huán)境和SaaS提供商安全環(huán)境之間的接口上。他說:“一定要牢牢把握住提供商的安全功能與企業(yè)的信息安全策略是否保持一致。務(wù)必在流程的早期就處理好任何差距問題。”
John認(rèn)為有3個關(guān)鍵領(lǐng)域?qū)刂频囊恢滦苑浅V匾?/p>
(1) 身份和訪問管理(IAM)
問題可能包括無法將現(xiàn)有的企業(yè)IAM平臺與SaaS提供商的產(chǎn)品集成;相互沖突的身份驗證策略,從可用性角度來看,可能會導(dǎo)致混淆和技術(shù)問題;SaaS提供商不支持單點登錄(SSO)。
(2) 加密和密鑰管理
這方面的問題包括SaaS提供商堅持要保持對加密的控制,允許它隨時訪問客戶的信息,數(shù)據(jù)被存儲在企業(yè)安全邊界之外,這導(dǎo)致不得不采取相應(yīng)的加密管理措施。
(3) 安全監(jiān)視
這方面的問題包括不支持對SaaS環(huán)境下安全事件日志數(shù)據(jù)的訪問,對可能出現(xiàn)的安全風(fēng)險不夠透明。John說:“要克服的挑戰(zhàn)之一是確保日志不被操控。首選方案是與SaaS提供商建立足夠的數(shù)字連接,以便將日志數(shù)據(jù)實時傳送到企業(yè)現(xiàn)有的安全運營中心。這有利于從宏觀上進(jìn)行把握,允許企業(yè)將本地安全操作功能擴展到云中。”
3. 確保企業(yè)擁有自己的數(shù)據(jù)
企業(yè)還應(yīng)詳細(xì)查看提供商承諾的隱私政策或者服務(wù)條款,確保他們不會共享個人信息。IT咨詢公司Ascent Solutions的網(wǎng)絡(luò)安全策略師Kayne McGladrey說:“盡管這聽起來是能做到的,但很容易被疏忽掉。”
McGradrey指出,如果SaaS供應(yīng)商合同中“沒有明確寫明不會出售企業(yè)的業(yè)務(wù)數(shù)據(jù),也不會出售將服務(wù)所得數(shù)據(jù)用于‘市場研究’或者類似目的的匿名匯總數(shù)據(jù)的條款”,那么這就是一個危險信號。如果合同中沒有說明,請務(wù)必確認(rèn)提供商不會轉(zhuǎn)售你的企業(yè)數(shù)據(jù)。
4. 確保SaaS提供商遵守相關(guān)法規(guī)
McGladrey說,另一個令人擔(dān)憂的問題是,隱私政策會不會沒有包括遵守具體法規(guī)的聲明,例如通用數(shù)據(jù)保護(hù)條例(GDPR)和加州消費者隱私法(CCPA)等。他說:“這些都是公認(rèn)的,如果被遺漏了,可能表明SaaS提供商沒有跟上法律和監(jiān)管的趨勢。”
McGladrey補充道:“SaaS供應(yīng)商應(yīng)該在數(shù)據(jù)主權(quán)和可選本地化方面持坦率態(tài)度。雖然這對于跨國公司選擇SaaS解決方案特別重要,但那些受單一地理區(qū)域限制的企業(yè)則希望避免出現(xiàn)尷尬的情況,例如,美國人的個人信息被有意處理并存儲在國外的數(shù)據(jù)中心。”
5. 知道數(shù)據(jù)存儲在哪里
營銷技術(shù)提供商Epsilon公司的首席信息官Robert Walden表示,從安全、合規(guī)和隱私的角度來看,歸根結(jié)底一切都與數(shù)據(jù)有關(guān)。Walden說:“知曉通過SaaS解決方案存儲和傳輸?shù)臄?shù)據(jù)類型、誰有權(quán)訪問數(shù)據(jù)、誰擁有數(shù)據(jù)、怎樣保護(hù)數(shù)據(jù),以及在安全泄露事件發(fā)生時誰應(yīng)承擔(dān)責(zé)任等等,這些都非常重要。”
Walden說:“很多企業(yè)甚至都不知道無意中存儲在SaaS解決方案中的敏感數(shù)據(jù)類型,也不知道誰有權(quán)訪問這些數(shù)據(jù)。此外,企業(yè)通常不知道,如果在SaaS解決方案的建立過程中執(zhí)行了標(biāo)準(zhǔn)的點擊通過協(xié)議,則該提供商通常對數(shù)據(jù)擁有所有權(quán)。”
6. 檢查數(shù)據(jù)丟失或者損壞條款
Walden說,從數(shù)據(jù)保護(hù)的角度來看,很多企業(yè)沒有意識到,雖然SaaS協(xié)議可能有災(zāi)難恢復(fù)條款,但這些條款并未涵蓋數(shù)據(jù)丟失或者損壞的問題。
7. 在SaaS采購過程中涉及的安全
Pinto說,在采購過程中,安全和風(fēng)險部門的成員應(yīng)該一直與采購部門保持聯(lián)系。“采購部門應(yīng)與安全部門步調(diào)一致,并讓他們參與過程中的風(fēng)險量化工作。大多數(shù)采購部門仍然沒有意識到身份和訪問管理是一個專業(yè)領(lǐng)域。”
John說,信息安全部門應(yīng)參與所有關(guān)鍵討論,以確保能夠解決涉及數(shù)據(jù)安全的非技術(shù)性問題。“在我們的部門中,如果出現(xiàn)未解決的網(wǎng)絡(luò)安全問題,那么提供商就會出局。”
8. 確定SaaS提供商使用的子服務(wù)
談判的主題包括SaaS提供商可能使用的企業(yè)子服務(wù)。John說:“在簽署任何合同之前,解決這一問題至關(guān)重要。這可能會影響企業(yè)提出的任何數(shù)據(jù)存儲位置要求。”
John說,在評估SaaS安全報告時,“驗證報告范圍是否包括作為合同一部分的位置和子服務(wù)是很重要的。這需要對合同和適用的安全報告進(jìn)行交叉檢查,以確保審計結(jié)果的充分覆蓋和可靠性。”
談判還應(yīng)涵蓋SaaS提供商確保合規(guī)的方法。John說:“在解決這一問題時,應(yīng)了解提供商的哪些功能支持合規(guī)和任何相關(guān)活動,例如電子發(fā)現(xiàn)、數(shù)據(jù)隱私和事件響應(yīng)報告等,這一點很重要。”
9. 在免費SaaS試用期間進(jìn)行徹底測試
IT和安全部門應(yīng)在免費SaaS試用期間測試功能,包括最大容量和峰值使用量等。Pinto說:“應(yīng)該有幾個管理員和超級用戶同時使用該工具,在同一窗口內(nèi)評估性能。”
同時,測試并發(fā)和多進(jìn)程活動。Pinto說:“當(dāng)程序忙于計算、移動信息和創(chuàng)建報告時,用戶應(yīng)該知道程序的響應(yīng)能力如何。”
作為內(nèi)部測試的一部分,John說:“評估能否將企業(yè)的關(guān)鍵安全流程與SaaS提供商的解決方案集成在一起。這將有助于確定可能需要的工作量和成本預(yù)測,以確保解決方案實施后足夠安全。”
10. 檢查SaaS提供商的第三方審計
John說,要求提供商提供最新的第三方審計報告并進(jìn)行檢查,包括任何滲透測試結(jié)果,以確認(rèn)安全控制的適用性和有效性,這是非常重要的。“要求提供國家或者國際認(rèn)證的證據(jù)也有助于確定企業(yè)級控制措施的成熟度。”
