云計算和SaaS安全需要全面的方法
曾任美國國土安全部和美國國稅局首席信息官,現任Learning Tree International公司首席執行官的Richard A.Spires對云計算技術和SaaS安全進行了分析和闡述。
他表示,采用云計算有很多好處,既有通過基礎設施即服務(IaaS)和平臺即服務(PaaS)交付模型實現按需計算的優勢,也包括使用軟件即服務(SaaS)應用程序的好處。特別是,基于SaaS的應用程序正日益成為企業快速便捷地采用新應用程序的方式。這推動了巨大的市場增長,而在美國上市的SaaS初創企業如今有11000家以上,而根據調研機構IDC公司的分析,到2019年,全球基于SaaS的市場規模超過1120億美元。
IT組織需要開發一種全面的方法來解決依賴第三方計算和應用程序帶來的安全挑戰
盡管云計算和SaaS業務模型可以使IT組織降低基礎設施成本并提高支持客戶的敏捷性,但同時也增加了處理IT安全性的復雜性。IT組織不僅在某種程度上放棄了對某些IT基礎設施的控制和可視性,在某種程度上利用了基于SaaS的應用程序,而且還讓第三方存儲和控制敏感數據。不久前,IT安全人員還致力于保護組織的IT外圍環境。隨著出現新的計算和服務模型,人們不得不承認傳統的外圍設備已經不復存在。
A.Spires認為,SaaS安全性是雙重挑戰。首先,對于第三方云計算服務提供商的使用(包括更傳統的外包數據中心服務),組織需要對這些提供商正在實施適當的安全控制措施具有信心,這些控制應該與(或至少類似)他們將在其自己的數據中心和網絡中實施的內容相匹配。這些控制范圍從人員的物理訪問到包括系統管理訪問的身份管理和適當的網絡加密。一些非營利組織一直在努力使這一行業的控制標準化。
值得注意的是,云安全聯盟(CSA)已經開發了云計算控制矩陣(CCM),這是一個專門為云計算設計的安全控制框架。利用云計算控制矩陣(CCM),云安全聯盟(CSA)為云計算服務提供商開發了一個審計、認證和注冊程序,稱之為安全、信任和保證注冊(STAR)。美國聯邦政府也開發了類似的模型FedRAMP,這是一種云計算服務提供商滿足NIST 800-53安全控制套件定義的三個不同級別的最低安全控制要求的方法。
但是,即使IT安全主管對底層云計算服務提供商的控制套件具有信心,那么對于使用SaaS應用程序的組織又將如何呢?在這種情況下,敏感數據很可能將由第三方存儲和控制,并由組織的客戶或合作伙伴使用,從而使數據永遠不會與組織的網絡、防火墻或任何其他安全設備或過程控制接觸。這對于首席信息官或首席信息安全官(CISO)來說,這種情況令人擔憂,因為SaaS應用程序對應用程序及其數據的安全性幾乎沒有可見性和控制力。因此,第二個挑戰是如何將組織的安全策略和控制擴展到公共云和SaaS應用程序。
這一挑戰已經產生了所謂的云訪問安全代理(CASB),這些產品充當位于企業內部或云中的安全實施點,并且在邏輯上存在于組織和云計算服務提供商之間以提供一系列服務包括身份認證和授權、設備配置文件、應用程序白名單、加密、警報、惡意軟件檢測等。CASB市場中的一些行業領先供應商包括Bitglass、Forcepoint、Cloudlock /Cisco和Skyhigh Networks。CASB解決方案的使用正在快速增長,根據調研機構Gartner公司的調查報告,到2020年,將有85%的大型組織使用CASB解決方案,而2015年這一比例還不到5%。
從積極的方面來看,CASB供應商具有強大的功能,正在填補市場空白。但是A.Spires表示,他對如何通過繼續添加工具,然后在內部進行集成以解決企業IT安全性挑戰感到困惑。他很少看到這種策略能很好地實施。因此支持以下觀點:應對企業IT安全挑戰的最佳方法是使用IT安全平臺,該平臺可提供一系列功能來幫助企業發現漏洞。在這個市場上,Palo Alto Networks、思科和Check Point Software公司提供了集成的平臺解決方案。
作為平臺價值的一個示例,Palo Alto Networks公司最近將其平臺功能擴展到了云計算 解決方案和SaaS應用程序中。尤其吸引人(并且在操作上很有吸引力)的是,組織可以為一種數據類型設置安全控制(例如根據數據的敏感性來定制控制),而Palo Alto Networks公司的技術使用戶能夠在其整個平臺上實施這些策略。無論其數據駐留在用戶自己的數據中心,外包數據中心還是公共云中的SaaS應用程序中。這極大地簡化了其組織中安全策略的管理,并提供了高級威脅防護。
此外,網絡攻擊者使用的越來越多的利用之一旨在通過基于SaaS的應用程序通過惡意軟件感染用戶,因為網絡攻擊者知道大多數組織都無法像使用內部基于應用程序的方式來監視這些SaaS應用程序。這些平臺的關鍵組成部分包括能夠將威脅檢測和防御功能引入IT基礎設施和應用程序的各個方面,包括那些駐留在云中的應用程序。
基于SaaS的應用程序的使用正成為組織快速交付新功能的首選方法。其需求來自業務用戶,因此IT組織必須接受并規劃SaaS的數量和用途的持續擴展。因此,即使用戶數據不會在組織的網絡或數據中心處理或存儲,IT組織也需要開發一種全面的方法來應對依賴于第三方計算和應用程序帶來的安全挑戰。
