對(duì)于越來(lái)越多的企業(yè)，軟件即服務(wù)(SaaS)已成為訪問(wèn)重要業(yè)務(wù)應(yīng)用程序的主要手段。從業(yè)務(wù)的角度來(lái)看，“上云”的好處包括：節(jié)省成本、提高敏捷性和更易擴(kuò)展的功能。

但是，任何基于云的產(chǎn)品都存在安全風(fēng)險(xiǎn)。企業(yè)如何才能確定其SaaS提供商的安全性是否符合其自身的需求和標(biāo)準(zhǔn)?

Gartner副總裁兼分析師Patrick Hevesi說(shuō)：“我們面臨的挑戰(zhàn)是需要了解SaaS供應(yīng)商是如何保護(hù)其基礎(chǔ)架構(gòu)、變更管理和事件響應(yīng)流程的。”

[[330292]]

根據(jù)Gartner2019年的報(bào)告，并非所有SaaS提供商的安全性都是透明的。報(bào)告說(shuō)，企業(yè)必須對(duì)兩種風(fēng)險(xiǎn)有充分認(rèn)識(shí)：一種是將重要的用戶數(shù)據(jù)放入云服務(wù)的風(fēng)險(xiǎn)，另一種是充分信任云服務(wù)商的風(fēng)險(xiǎn)。

與任何企業(yè)一樣，SaaS提供商也容易遭受許多相同的惡意軟件和黑客攻擊，一旦云服務(wù)遭受攻擊，往往會(huì)城門(mén)失火殃及池魚(yú)，云服務(wù)用戶也會(huì)受到影響。因此，我們建議計(jì)劃使用云服務(wù)的企業(yè)，對(duì)云服務(wù)商進(jìn)行必要的安全評(píng)估，降低業(yè)務(wù)風(fēng)險(xiǎn)，以下是網(wǎng)絡(luò)安全專業(yè)人士對(duì)于評(píng)估SaaS供應(yīng)商的十個(gè)建議：

1. 查看SaaS的漏洞管理/修補(bǔ)策略

高管經(jīng)常關(guān)注的一個(gè)問(wèn)題是安全補(bǔ)丁。“通常，SaaS提供商會(huì)打補(bǔ)丁，尤其是多租戶服務(wù)。”Asurion的安全高級(jí)經(jīng)理Bernie Pinto說(shuō)。一家云服務(wù)商的漏洞管理效率、成熟度模型、工具、落地措施以及與其他安全工具和流程，例如威脅情報(bào)和UEBA等的集成，都能體現(xiàn)一家云服務(wù)商的漏洞管理水平。企業(yè)也可以使用平衡記分卡給云服務(wù)商的漏洞管理服務(wù)打分。(參考：《2020高效漏洞管理現(xiàn)狀與趨勢(shì)報(bào)告》)

2. 檢查SaaS與內(nèi)部安全控制的一致性

通信設(shè)備公司西門(mén)子美國(guó)公司首席網(wǎng)絡(luò)安全官庫(kù)爾特·約翰(Kurt John)說(shuō)，在評(píng)估SaaS提供商時(shí)，公司需要了解的主要概念是安全控制職責(zé)的轉(zhuǎn)變。使用SaaS產(chǎn)品要求安全團(tuán)隊(duì)專注于其組織的安全環(huán)境與SaaS提供商的安全環(huán)境之間的接口。他說(shuō)：“您將應(yīng)當(dāng)確保提供商的安全功能如何與您的公司信息安全策略保持一致。”“任何差距都應(yīng)在此過(guò)程中盡早解決。”John認(rèn)為“控制對(duì)齊”有三個(gè)關(guān)鍵領(lǐng)域：

• 身份和訪問(wèn)管理(IAM)：?jiǎn)栴}可能包括無(wú)法將現(xiàn)有企業(yè)IAM平臺(tái)與SaaS提供商的產(chǎn)品集成在一起;認(rèn)證策略沖突，從可用性的角度來(lái)看，這可能導(dǎo)致混亂和技術(shù)難題;以及SaaS提供商缺乏對(duì)單點(diǎn)登錄(SSO)的支持。
• 加密和密鑰管理：這里的問(wèn)題包括SaaS提供商堅(jiān)持保持對(duì)加密的控制，使其可以隨時(shí)訪問(wèn)客戶的信息，以及將數(shù)據(jù)存儲(chǔ)在公司安全范圍之外，從而增加了對(duì)適當(dāng)加密管理的依賴。
• 安全監(jiān)控：這里的問(wèn)題包括無(wú)法從SaaS環(huán)境提供對(duì)安全事件日志數(shù)據(jù)的訪問(wèn)，從而降低了潛在安全風(fēng)險(xiǎn)的透明性。John說(shuō)：“要克服的挑戰(zhàn)之一是確保服務(wù)商無(wú)法操縱日志。”約翰說(shuō)：“首選的選擇是與SaaS提供商建立適當(dāng)?shù)臄?shù)字連接，以便將日志數(shù)據(jù)實(shí)時(shí)饋送到您現(xiàn)有的安全運(yùn)營(yíng)中心。”“這可以提升整體視野，并支持將本地安全運(yùn)營(yíng)功能擴(kuò)展到云中。”

3. 確保您擁有數(shù)據(jù)

公司還應(yīng)密切注意提供商的隱私政策或服務(wù)條款，以確保不會(huì)共享個(gè)人信息。IT咨詢公司Ascent Solutions的網(wǎng)絡(luò)安全策略師Kayne McGladrey說(shuō)：“盡管這聽(tīng)起來(lái)理所當(dāng)然，但現(xiàn)實(shí)中往往會(huì)被遺漏。”

McGladrey說(shuō)：如果SaaS供應(yīng)商未承諾不會(huì)出售您的業(yè)務(wù)數(shù)據(jù)或以“市場(chǎng)研究”的名義出售您如何使用云服務(wù)的數(shù)據(jù)，這將是一個(gè)危險(xiǎn)信號(hào)。如果云服務(wù)協(xié)議沒(méi)有明確說(shuō)明，請(qǐng)務(wù)必確認(rèn)提供商不會(huì)轉(zhuǎn)售您的數(shù)據(jù)。

4. 確保SaaS提供商的合規(guī)性

McGladrey指出，另一個(gè)令人擔(dān)憂的問(wèn)題是，如果隱私政策中沒(méi)有聲明遵守特定法規(guī)，例如《通用數(shù)據(jù)保護(hù)法規(guī)》(GDPR)或《加州消費(fèi)者隱私法案》(CCPA)，則該聲明不符合要求。他說(shuō)：“缺乏必要的合規(guī)性，可能表明SaaS提供商沒(méi)有跟上法律和監(jiān)管的步伐。”

McGladrey補(bǔ)充說(shuō)：“ SaaS供應(yīng)商應(yīng)該在數(shù)據(jù)主權(quán)和可選本地化方面領(lǐng)先。”“盡管這對(duì)于選擇SaaS解決方案的跨國(guó)企業(yè)特別重要，但是單一地理位置的組織也很有肯能會(huì)碰到類似的合規(guī)問(wèn)題。”

5. 知道數(shù)據(jù)存儲(chǔ)在哪里

營(yíng)銷(xiāo)技術(shù)提供商Epsilon的CIO Robert Walden表示，從安全性，合規(guī)性和隱私性的角度來(lái)看，這最終都取決于數(shù)據(jù)。“了解通過(guò)SaaS解決方案存儲(chǔ)或傳輸什么樣的數(shù)據(jù)，誰(shuí)有權(quán)訪問(wèn)數(shù)據(jù)，誰(shuí)擁有數(shù)據(jù)，如何保護(hù)數(shù)據(jù)以及在發(fā)生安全漏洞時(shí)誰(shuí)應(yīng)負(fù)責(zé)都非常重要”,Walden說(shuō)道。

Walden說(shuō)：“許多公司甚至都不知道無(wú)意中存儲(chǔ)在SaaS解決方案中的敏感數(shù)據(jù)的類型，或者誰(shuí)可以訪問(wèn)這些敏感數(shù)據(jù)。”“此外，很多公司不了解，如果在設(shè)置SaaS解決方案期間執(zhí)行了標(biāo)準(zhǔn)的點(diǎn)擊(click-through)協(xié)議，則該提供商通常對(duì)數(shù)據(jù)擁有所有權(quán)。”

6. 檢查數(shù)據(jù)丟失或損壞的規(guī)定

從數(shù)據(jù)保護(hù)的角度來(lái)看，許多公司沒(méi)有意識(shí)到，盡管SaaS協(xié)議可能包含災(zāi)難恢復(fù)條款，但這些條款往往并未涵蓋數(shù)據(jù)丟失或損壞的問(wèn)題。

7. 安全團(tuán)隊(duì)?wèi)?yīng)當(dāng)參與SaaS采購(gòu)過(guò)程

Pinto說(shuō)，在采購(gòu)過(guò)程中，安全和風(fēng)險(xiǎn)團(tuán)隊(duì)的成員應(yīng)始終與采購(gòu)團(tuán)隊(duì)聯(lián)系。“采購(gòu)團(tuán)隊(duì)?wèi)?yīng)與安全團(tuán)隊(duì)保持一致，并讓他們量化流程中的風(fēng)險(xiǎn)。大多數(shù)采購(gòu)團(tuán)隊(duì)仍然沒(méi)有意識(shí)到身份和訪問(wèn)管理是一門(mén)專業(yè)。”

John說(shuō)，信息安全團(tuán)隊(duì)?wèi)?yīng)出席所有關(guān)鍵討論，以確保解決涵蓋與數(shù)據(jù)安全有關(guān)的技術(shù)或非技術(shù)性問(wèn)題。“對(duì)于我們來(lái)說(shuō)，如果云服務(wù)商無(wú)法及時(shí)解決網(wǎng)絡(luò)安全問(wèn)題，將從我們的候選名單上消失。”

8. 識(shí)別SaaS提供商使用的子服務(wù)

SaaS提供商可能使用的子服務(wù)也是需要討論的話題。John說(shuō)：“這些問(wèn)題需要在簽訂任何合同之前解決。”“這可能會(huì)影響您的組織對(duì)數(shù)據(jù)存儲(chǔ)位置的要求。”

約翰說(shuō)，在評(píng)估SaaS的安全報(bào)告時(shí)，“重要的是確認(rèn)報(bào)告范圍包括合同中的位置和子服務(wù)。”“這需要對(duì)合同和適用的安全報(bào)告進(jìn)行交叉檢查，以確保審計(jì)結(jié)果具有足夠的覆蓋范圍和可靠性。”

討論還應(yīng)涵蓋SaaS提供商確保合規(guī)的方法。John說(shuō)：“在解決這個(gè)問(wèn)題時(shí)，重要的是要了解云服務(wù)商的安全服務(wù)和功能，例如檢測(cè)、數(shù)據(jù)隱私和事件響應(yīng)報(bào)告，以及任何相關(guān)活動(dòng)，是否合規(guī)。”

9. 在SaaS免費(fèi)試用期間進(jìn)行徹底測(cè)試

應(yīng)在免費(fèi)的SaaS試用期間進(jìn)行無(wú)死角的IT和安全性的全面測(cè)試，包括容量和峰值的壓力測(cè)試。Pinto說(shuō)：“應(yīng)該有多個(gè)管理員和超級(jí)用戶同時(shí)使用該工具，并在同一窗口內(nèi)評(píng)估性能。”

另外，需要測(cè)試并發(fā)和多進(jìn)程活動(dòng)。Pinto說(shuō)：“用戶應(yīng)該了解云服務(wù)程序在高負(fù)載(忙于計(jì)算或移動(dòng)信息并創(chuàng)建報(bào)告)時(shí)的響應(yīng)速度。”

John說(shuō)，作為內(nèi)部測(cè)試的一部分，“還需要評(píng)估關(guān)鍵安全流程與SaaS提供商的解決方案集成的能力”。“這將有助于確定在解決方案實(shí)施后，安全性方面需要投入的資源和成本。”

10. 審查SaaS提供商的第三方安全審計(jì)報(bào)告

John說(shuō)，很重要的一個(gè)環(huán)節(jié)是查看云服務(wù)商的最新第三方審計(jì)報(bào)告，包括滲透測(cè)試結(jié)果，這些結(jié)果將確認(rèn)安全控制的適用性和有效性。“索取國(guó)家或國(guó)際認(rèn)證的證書(shū)也有助于確定云服務(wù)商的企業(yè)級(jí)安全控制的成熟度。”

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文