压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

無(wú)論數(shù)字化轉(zhuǎn)型還是“安全上云”，對(duì)云計(jì)算服務(wù)（商）的安全評(píng)估都是至關(guān)重要的工作，過去半年中，Zoom和微盟安全事件，已經(jīng)為我們敲響了云安全的警鐘。中國(guó)企業(yè)的云服務(wù)商安全評(píng)估問題尤為嚴(yán)峻，根據(jù)派拓網(wǎng)絡(luò)2019年10月的調(diào)查報(bào)告，78%的中國(guó)企業(yè)完全依賴云供應(yīng)商提供的安全措施，高于亞太地區(qū)的70%。 而質(zhì)疑云服務(wù)商安全服務(wù)不夠充分的企業(yè)，僅有2%。今天，隨著新冠疫情的反復(fù)和常態(tài)化，遠(yuǎn)程辦公和云服務(wù)的普及加速，我們有必要老生常談，再次關(guān)注云服務(wù)的安全評(píng)估問題。

對(duì)于越來越多的企業(yè)，軟件即服務(wù)（SaaS）已成為訪問重要業(yè)務(wù)應(yīng)用程序的主要手段。從業(yè)務(wù)的角度來看，“上云”的好處包括：節(jié)省成本、提高敏捷性和更易擴(kuò)展的功能。

但是，任何基于云的產(chǎn)品都存在安全風(fēng)險(xiǎn)。企業(yè)如何才能確定其SaaS提供商的安全性是否符合其自身的需求和標(biāo)準(zhǔn)？

Gartner副總裁兼分析師Patrick Hevesi說：“我們面臨的挑戰(zhàn)是需要了解SaaS供應(yīng)商是如何保護(hù)其基礎(chǔ)架構(gòu)、變更管理和事件響應(yīng)流程的。”

根據(jù)Gartner2019年的報(bào)告，并非所有SaaS提供商的安全性都是透明的。報(bào)告說，企業(yè)必須對(duì)兩種風(fēng)險(xiǎn)有充分認(rèn)識(shí)：一種是將重要的用戶數(shù)據(jù)放入云服務(wù)的風(fēng)險(xiǎn)，另一種是充分信任云服務(wù)商的風(fēng)險(xiǎn)。

與任何企業(yè)一樣，SaaS提供商也容易遭受許多相同的惡意軟件和黑客攻擊，一旦云服務(wù)遭受攻擊，往往會(huì)城門失火殃及池魚，云服務(wù)用戶也會(huì)受到影響。因此，我們建議計(jì)劃使用云服務(wù)的企業(yè)，對(duì)云服務(wù)商進(jìn)行必要的安全評(píng)估，降低業(yè)務(wù)風(fēng)險(xiǎn)，以下是網(wǎng)絡(luò)安全

專業(yè)人士對(duì)于評(píng)估SaaS供應(yīng)商的十個(gè)建議：

1.查看SaaS的漏洞管理/修補(bǔ)策略

高管經(jīng)常關(guān)注的一個(gè)問題是安全補(bǔ)丁。“通常，SaaS提供商會(huì)打補(bǔ)丁，尤其是多租戶服務(wù)。” Asurion的安全高級(jí)經(jīng)理Bernie Pinto說。一家云服務(wù)商的漏洞管理效率、成熟度模型、工具、落地措施以及與其他安全工具和流程，例如威脅情報(bào)和UEBA等的集成，都能體現(xiàn)一家云服務(wù)商的漏洞管理水平。企業(yè)也可以使用平衡記分卡給云服務(wù)商的漏洞管理服務(wù)打分。（參考：《2020高效漏洞管理現(xiàn)狀與趨勢(shì)報(bào)告》）

2.檢查SaaS與內(nèi)部安全控制的一致性

通信設(shè)備公司西門子美國(guó)公司首席網(wǎng)絡(luò)安全官庫(kù)爾特·約翰（Kurt John）說，在評(píng)估SaaS提供商時(shí)，公司需要了解的主要概念是安全控制職責(zé)的轉(zhuǎn)變。使用SaaS產(chǎn)品要求安全團(tuán)隊(duì)專注于其組織的安全環(huán)境與SaaS提供商的安全環(huán)境之間的接口。他說：“您將應(yīng)當(dāng)確保提供商的安全功能如何與您的公司信息安全策略保持一致。” “任何差距都應(yīng)在此過程中盡早解決。”

John認(rèn)為“控制對(duì)齊”有三個(gè)關(guān)鍵領(lǐng)域：

? 身份和訪問管理（IAM）：?jiǎn)栴}可能包括無(wú)法將現(xiàn)有企業(yè)IAM平臺(tái)與SaaS提供商的產(chǎn)品集成在一起；認(rèn)證策略沖突，從可用性的角度來看，這可能導(dǎo)致混亂和技術(shù)難題；以及SaaS提供商缺乏對(duì)單點(diǎn)登錄（SSO）的支持。

? 加密和密鑰管理：這里的問題包括SaaS提供商堅(jiān)持保持對(duì)加密的控制，使其可以隨時(shí)訪問客戶的信息，以及將數(shù)據(jù)存儲(chǔ)在公司安全范圍之外，從而增加了對(duì)適當(dāng)加密管理的依賴。

? 安全監(jiān)控：這里的問題包括無(wú)法從SaaS環(huán)境提供對(duì)安全事件日志數(shù)據(jù)的訪問，從而降低了潛在安全風(fēng)險(xiǎn)的透明性。John說：“要克

服的挑戰(zhàn)之一是確保服務(wù)商無(wú)法操縱日志。” 約翰說：“首選的選擇是與SaaS提供商建立適當(dāng)?shù)臄?shù)字連接，以便將日志數(shù)據(jù)實(shí)時(shí)饋送到您現(xiàn)有的安全運(yùn)營(yíng)中心。” “這可以提升整體視野，并支持將本地安全運(yùn)營(yíng)功能擴(kuò)展到云中。”

3.確保您擁有數(shù)據(jù)

公司還應(yīng)密切注意提供商的隱私政策或服務(wù)條款，以確保不會(huì)共享個(gè)人信息。IT咨詢公司Ascent Solutions的網(wǎng)絡(luò)安全策略師Kayne McGladrey說：“盡管這聽起來理所當(dāng)然，但現(xiàn)實(shí)中往往會(huì)被遺漏。”

McGladrey說：如果SaaS供應(yīng)商未承諾不會(huì)出售您的業(yè)務(wù)數(shù)據(jù)或以“市場(chǎng)研究”的名義出售您如何使用云服務(wù)的數(shù)據(jù)，這將是一個(gè)危險(xiǎn)信號(hào)。如果云服務(wù)協(xié)議沒有明確說明，請(qǐng)務(wù)必確認(rèn)提供商不會(huì)轉(zhuǎn)售您的數(shù)據(jù)。

4.確保SaaS提供商的合規(guī)性

McGladrey指出，另一個(gè)令人擔(dān)憂的問題是，如果隱私政策中沒有聲明遵守特定法規(guī)，例如《通用數(shù)據(jù)保護(hù)法規(guī)》（GDPR）或《加州消費(fèi)者隱私法案》（CCPA），則該聲明不符合要求。他說：“缺乏必要的合規(guī)性，可能表明SaaS提供商沒有跟上法律和監(jiān)管的步伐。”

McGladrey補(bǔ)充說：“ SaaS供應(yīng)商應(yīng)該在數(shù)據(jù)主權(quán)和可選本地化方面領(lǐng)先。” “盡管這對(duì)于選擇SaaS解決方案的跨國(guó)企業(yè)特別重要，但是單一地理位置的組織也很有肯能會(huì)碰到類似的合規(guī)問題。”

5.知道數(shù)據(jù)存儲(chǔ)在哪里

營(yíng)銷技術(shù)提供商Epsilon的CIO Robert Walden表示，從安全性，合規(guī)性和隱私性的角度來看，這最終都取決于數(shù)據(jù)。“了解通過SaaS解決方案存儲(chǔ)或傳輸什么樣的數(shù)據(jù)，誰(shuí)有權(quán)訪問數(shù)據(jù)，誰(shuí)擁有數(shù)據(jù)，如何保護(hù)數(shù)據(jù)以及在發(fā)生安全漏洞時(shí)誰(shuí)應(yīng)負(fù)責(zé)都非常重要”,Walden說道。

Walden說：“許多公司甚至都不知道無(wú)意中存儲(chǔ)在SaaS解決方案中的敏感數(shù)據(jù)的類型，或者誰(shuí)可以訪問這些敏感數(shù)據(jù)。” “此外，很多公司不了解，如果在設(shè)置SaaS解決方案期間執(zhí)行了標(biāo)準(zhǔn)的點(diǎn)擊（click-through）協(xié)議，則該提供商通常對(duì)數(shù)據(jù)擁有所有權(quán)。”

6.檢查數(shù)據(jù)丟失或損壞的規(guī)定

從數(shù)據(jù)保護(hù)的角度來看，許多公司沒有意識(shí)到，盡管SaaS協(xié)議可能包含災(zāi)難恢復(fù)條款，但這些條款往往并未涵蓋數(shù)據(jù)丟失或損壞的問題。

7.安全團(tuán)隊(duì)?wèi)?yīng)當(dāng)參與SaaS采購(gòu)過程

Pinto說，在采購(gòu)過程中，安全和風(fēng)險(xiǎn)團(tuán)隊(duì)的成員應(yīng)始終與采購(gòu)團(tuán)隊(duì)聯(lián)系。“采購(gòu)團(tuán)隊(duì)?wèi)?yīng)與安全團(tuán)隊(duì)保持一致，并讓他們量化流程中的風(fēng)險(xiǎn)。大多數(shù)采購(gòu)團(tuán)隊(duì)仍然沒有意識(shí)到身份和訪問管理是一門專業(yè)。”

John說，信息安全團(tuán)隊(duì)?wèi)?yīng)出席所有關(guān)鍵討論，以確保解決涵蓋與數(shù)據(jù)安全有關(guān)的技術(shù)或非技術(shù)性問題。“對(duì)于我們來說，如果云服務(wù)商無(wú)法及時(shí)解決網(wǎng)絡(luò)安全問題，將從我們的候選名單商消失。”

8.識(shí)別SaaS提供商使用的子服務(wù)

SaaS提供商可能使用的子服務(wù)也是需要討論的話題。John說：“這些問題需要再簽訂任何合同之前解決。” “這可能會(huì)影響您的組織對(duì)數(shù)據(jù)存儲(chǔ)位置的要求。”

約翰說，在評(píng)估SaaS的安全報(bào)告時(shí)，“重要的是確認(rèn)報(bào)告范圍包括合同中的位置和子服務(wù)。” “這需要對(duì)合同和適用的安全報(bào)告進(jìn)行交叉檢查，以確保審計(jì)結(jié)果具有足夠的覆蓋范圍和可靠性。”

討論還應(yīng)涵蓋SaaS提供商確保合規(guī)的方法。John說：“在解決這個(gè)問題時(shí)，重要的是要了解云服務(wù)商的安全服務(wù)和功能，例如檢測(cè)、數(shù)據(jù)隱私和事件響應(yīng)報(bào)告，以及任何相關(guān)活動(dòng)，是否合規(guī)。”

9.在SaaS免費(fèi)試用期間進(jìn)行徹底測(cè)試

應(yīng)在免費(fèi)的SaaS試用期間進(jìn)行無(wú)死角的IT和安全性的全面測(cè)試，包括容量和峰值的壓力測(cè)試。Pinto說：“應(yīng)該有多個(gè)管理員和超級(jí)用戶同時(shí)使用該工具，并在同一窗口內(nèi)評(píng)估性能。”

另外，需要測(cè)試并發(fā)和多進(jìn)程活動(dòng)。Pinto說：“用戶應(yīng)該了解云服務(wù)程序在高負(fù)載（忙于計(jì)算或移動(dòng)信息并創(chuàng)建報(bào)告）時(shí)的響應(yīng)速度。”

John說，作為內(nèi)部測(cè)試的一部分，“還需要評(píng)估關(guān)鍵安全流程與SaaS提供商的解決方案集成的能力”。“這將有助于確定在解決方案實(shí)施后，安全性方面需要投入的資源和成本。”

10.審查SaaS提供商的第三方安全審計(jì)報(bào)告

John說，很重要的一個(gè)環(huán)節(jié)是查看云服務(wù)商的最新第三方審計(jì)報(bào)告，包括滲透測(cè)試結(jié)果，這些結(jié)果將確認(rèn)安全控制的適用性和有效性。“索取國(guó)家或國(guó)際認(rèn)證的證書也有助于確定云服務(wù)商的企業(yè)級(jí)安全控制的成熟度。”