[[134628]]

在2014年11月，應(yīng)用安全服務(wù)供應(yīng)商Adallom發(fā)布了一份名為“云使用風(fēng)險(xiǎn)報(bào)告”的研究報(bào)告，文中列舉了在過(guò)去幾年中Adallom從其用戶那里收集到的云特有風(fēng)險(xiǎn)和安全性問(wèn)題。大量有趣的統(tǒng)計(jì)數(shù)據(jù)表明有很多企業(yè)未能正確實(shí)施和管理云供應(yīng)商的安全控制措施，其中重災(zāi)區(qū)在軟件即服務(wù)(SaaS)。在該報(bào)告中還有一些更為有趣的數(shù)據(jù)：

• 大部分企業(yè)并沒(méi)有妥善管理SaaS應(yīng)用的用戶賬戶。在2013年至2014年之間，11%的企業(yè)SaaS賬戶都是“僵尸賬戶”——也就是說(shuō)這些賬戶目前都沒(méi)有與之相關(guān)的正常用戶。此外，Adallom發(fā)現(xiàn)80%的企業(yè)都至少有一個(gè)僵尸賬戶未被禁用——通常這個(gè)賬戶屬于一個(gè)前員工。
• 最小權(quán)限的概念在云中并不適用。Adallom表示在很多賬戶中有很多的管理員，大約一百個(gè)賬戶中有7個(gè)是管理員。
• 19%的云應(yīng)用用戶在可能的情況下都繞過(guò)了身份驗(yàn)證和訪問(wèn)管理的控制措施。
• 企業(yè)私有文件中的5%實(shí)際上都可以從不同云應(yīng)用環(huán)境公開訪問(wèn)，這表明企業(yè)缺少在云中實(shí)施訪問(wèn)控制。
• 29%的員工使用他們的個(gè)人電子郵件賬戶來(lái)分享云應(yīng)用文件。
• 公司的平均共享信息為393個(gè)外部域。

這些統(tǒng)計(jì)數(shù)據(jù)反映出了很多的問(wèn)題。首先，這些數(shù)字意味著安全團(tuán)隊(duì)可能在SaaS環(huán)境中并沒(méi)有花很大精力用于配置、監(jiān)控和管理數(shù)據(jù)與用戶賬戶的信息。很多安全專家都把精力集中在關(guān)注云供應(yīng)商整體控制能力上，以及那些可以被移植到PaaS和IaaS環(huán)境中的第三方或內(nèi)部工具。他們很多人都在一個(gè)或多個(gè)方面忽視了SaaS安全性問(wèn)題。其次，這些數(shù)據(jù)有力地表明，云中亞健康IT的規(guī)模和嚴(yán)重程度都在不斷增加，即在較長(zhǎng)時(shí)間內(nèi)數(shù)據(jù)與用戶賬戶無(wú)人問(wèn)津或無(wú)人管理。

制定一個(gè)云應(yīng)用安全性策略

那么，企業(yè)應(yīng)當(dāng)采取哪些措施來(lái)應(yīng)對(duì)這些SaaS環(huán)境中的安全性問(wèn)題呢?在開始著手之前，安全團(tuán)隊(duì)需要確定云應(yīng)用安全策略到位，它為特定數(shù)據(jù)類型和敏感層次明確了控制要求。這應(yīng)當(dāng)與云風(fēng)險(xiǎn)評(píng)估過(guò)程緊密結(jié)合起來(lái)，后者主要對(duì)所提議的項(xiàng)目進(jìn)行安全控制狀態(tài)評(píng)估和候選供應(yīng)商能力評(píng)估。除了供應(yīng)商的一般安全狀況以外，對(duì)于SaaS環(huán)境還需特別注意其他幾個(gè)關(guān)鍵點(diǎn)。

首先，企業(yè)應(yīng)找出供應(yīng)商提供了哪些類型的身份驗(yàn)證和訪問(wèn)管理集成方法。例如一家與內(nèi)部LDAP存儲(chǔ)(如Active Directory)進(jìn)行本地集成、支持針對(duì)身份數(shù)據(jù)交換和更新的SAML、以及為身份管理提供大量API的供應(yīng)商將有可能更多地為安全團(tuán)隊(duì)提供更多功能，因?yàn)楹笳唠S著時(shí)間的推移希望能夠提高對(duì)用戶身份的管理能力。

然后，企業(yè)必須確定供應(yīng)商是否支持?jǐn)?shù)據(jù)生命周期控制，即非活躍用戶賬戶將自動(dòng)暫?；蛘叨唐谟脩艨梢該碛幸粋€(gè)來(lái)自于實(shí)例的生命周期。

安全團(tuán)隊(duì)還必須找出可用于保護(hù)對(duì)保存在SaaS環(huán)境中數(shù)據(jù)訪問(wèn)的加密類型和訪問(wèn)控制選項(xiàng)。對(duì)于加密產(chǎn)品，他們應(yīng)確定密鑰的保存位置及其控制密鑰的責(zé)任人。

此外，對(duì)管理控制臺(tái)和參數(shù)顯示面板的管理控制也是很關(guān)鍵的。在理想情況下，SaaS供應(yīng)商對(duì)控制臺(tái)及其功能提供了基于角色的訪問(wèn)，另外還包括證書、令牌以及集成現(xiàn)有企業(yè)控制與工具的其他方法在內(nèi)的多重訪問(wèn)控制方法。

***，企業(yè)需要確定是否能夠得到SaaS環(huán)境中所有的活動(dòng)日志，獲得的頻率以及日志的格式。是否有直接日志可用?如果沒(méi)有，是否可以使用API來(lái)訪問(wèn)日志數(shù)據(jù)，或者腳本程序和自動(dòng)化工具呢?一家企業(yè)獲得的日志和事件數(shù)據(jù)越多，它就能把數(shù)據(jù)與SIEM結(jié)合得越好，日志管理平臺(tái)也就能夠分析在SaaS環(huán)境中的用戶行為。

SaaS安全控制的重要性

在過(guò)去幾年中，SaaS安全性并沒(méi)有像PaaS和IaaS安全性那樣表現(xiàn)得那么重要。但是，隨著越來(lái)越多的敏感數(shù)據(jù)被保存在眾多SaaS環(huán)境中，我們無(wú)法再容忍開放權(quán)限模式、亞健康賬戶或僵尸賬戶，或者將導(dǎo)致重大安全問(wèn)題的過(guò)度權(quán)限分配。企業(yè)應(yīng)當(dāng)對(duì)他們目前正在使用的SaaS環(huán)境重視起來(lái)，評(píng)估其安全控制措施、用戶當(dāng)前狀態(tài)、以及在SaaS中所保存的數(shù)據(jù)，并為在未來(lái)的任何SaaS實(shí)施計(jì)劃做好準(zhǔn)備。

原文鏈接：http://www.searchcloudcomputing.com.cn/showcontent_89066.htm