評估SaaS服務商安全性的十個要點
責編:gltian |2020-06-17 10:54:21無論數字化轉型還是“安全上云”,對云計算服務(商)的安全評估都是至關重要的工作,過去半年中,Zoom和微盟安全事件,已經為我們敲響了云安全的警鐘。中國企業的云服務商安全評估問題尤為嚴峻,根據派拓網絡2019年10月的調查報告,78%的中國企業完全依賴云供應商提供的安全措施,高于亞太地區的70%。 而質疑云服務商安全服務不夠充分的企業,僅有2%。今天,隨著新冠疫情的反復和常態化,遠程辦公和云服務的普及加速,我們有必要老生常談,再次關注云服務的安全評估問題。
對于越來越多的企業,軟件即服務(SaaS)已成為訪問重要業務應用程序的主要手段。從業務的角度來看,“上云”的好處包括:節省成本、提高敏捷性和更易擴展的功能。
但是,任何基于云的產品都存在安全風險。企業如何才能確定其SaaS提供商的安全性是否符合其自身的需求和標準?
Gartner副總裁兼分析師Patrick Hevesi說:“我們面臨的挑戰是需要了解SaaS供應商是如何保護其基礎架構、變更管理和事件響應流程的。”
根據Gartner2019年的報告,并非所有SaaS提供商的安全性都是透明的。報告說,企業必須對兩種風險有充分認識:一種是將重要的用戶數據放入云服務的風險,另一種是充分信任云服務商的風險。
與任何企業一樣,SaaS提供商也容易遭受許多相同的惡意軟件和黑客攻擊,一旦云服務遭受攻擊,往往會城門失火殃及池魚,云服務用戶也會受到影響。因此,我們建議計劃使用云服務的企業,對云服務商進行必要的安全評估,降低業務風險,以下是網絡安全
專業人士對于評估SaaS供應商的十個建議:
1.查看SaaS的漏洞管理/修補策略
高管經常關注的一個問題是安全補丁。“通常,SaaS提供商會打補丁,尤其是多租戶服務。” Asurion的安全高級經理Bernie Pinto說。一家云服務商的漏洞管理效率、成熟度模型、工具、落地措施以及與其他安全工具和流程,例如威脅情報和UEBA等的集成,都能體現一家云服務商的漏洞管理水平。企業也可以使用平衡記分卡給云服務商的漏洞管理服務打分。(參考:《2020高效漏洞管理現狀與趨勢報告》)
2.檢查SaaS與內部安全控制的一致性
通信設備公司西門子美國公司首席網絡安全官庫爾特·約翰(Kurt John)說,在評估SaaS提供商時,公司需要了解的主要概念是安全控制職責的轉變。使用SaaS產品要求安全團隊專注于其組織的安全環境與SaaS提供商的安全環境之間的接口。他說:“您將應當確保提供商的安全功能如何與您的公司信息安全策略保持一致。” “任何差距都應在此過程中盡早解決。”
John認為“控制對齊”有三個關鍵領域:
? 身份和訪問管理(IAM):問題可能包括無法將現有企業IAM平臺與SaaS提供商的產品集成在一起;認證策略沖突,從可用性的角度來看,這可能導致混亂和技術難題;以及SaaS提供商缺乏對單點登錄(SSO)的支持。
? 加密和密鑰管理:這里的問題包括SaaS提供商堅持保持對加密的控制,使其可以隨時訪問客戶的信息,以及將數據存儲在公司安全范圍之外,從而增加了對適當加密管理的依賴。
? 安全監控:這里的問題包括無法從SaaS環境提供對安全事件日志數據的訪問,從而降低了潛在安全風險的透明性。John說:“要克
服的挑戰之一是確保服務商無法操縱日志。” 約翰說:“首選的選擇是與SaaS提供商建立適當的數字連接,以便將日志數據實時饋送到您現有的安全運營中心。” “這可以提升整體視野,并支持將本地安全運營功能擴展到云中。”
3.確保您擁有數據
公司還應密切注意提供商的隱私政策或服務條款,以確保不會共享個人信息。IT咨詢公司Ascent Solutions的網絡安全策略師Kayne McGladrey說:“盡管這聽起來理所當然,但現實中往往會被遺漏。”
McGladrey說:如果SaaS供應商未承諾不會出售您的業務數據或以“市場研究”的名義出售您如何使用云服務的數據,這將是一個危險信號。如果云服務協議沒有明確說明,請務必確認提供商不會轉售您的數據。
4.確保SaaS提供商的合規性
McGladrey指出,另一個令人擔憂的問題是,如果隱私政策中沒有聲明遵守特定法規,例如《通用數據保護法規》(GDPR)或《加州消費者隱私法案》(CCPA),則該聲明不符合要求。他說:“缺乏必要的合規性,可能表明SaaS提供商沒有跟上法律和監管的步伐。”
McGladrey補充說:“ SaaS供應商應該在數據主權和可選本地化方面領先。” “盡管這對于選擇SaaS解決方案的跨國企業特別重要,但是單一地理位置的組織也很有肯能會碰到類似的合規問題。”
5.知道數據存儲在哪里
營銷技術提供商Epsilon的CIO Robert Walden表示,從安全性,合規性和隱私性的角度來看,這最終都取決于數據。“了解通過SaaS解決方案存儲或傳輸什么樣的數據,誰有權訪問數據,誰擁有數據,如何保護數據以及在發生安全漏洞時誰應負責都非常重要”,Walden說道。
Walden說:“許多公司甚至都不知道無意中存儲在SaaS解決方案中的敏感數據的類型,或者誰可以訪問這些敏感數據。” “此外,很多公司不了解,如果在設置SaaS解決方案期間執行了標準的點擊(click-through)協議,則該提供商通常對數據擁有所有權。”
6.檢查數據丟失或損壞的規定
從數據保護的角度來看,許多公司沒有意識到,盡管SaaS協議可能包含災難恢復條款,但這些條款往往并未涵蓋數據丟失或損壞的問題。
7.安全團隊應當參與SaaS采購過程
Pinto說,在采購過程中,安全和風險團隊的成員應始終與采購團隊聯系。“采購團隊應與安全團隊保持一致,并讓他們量化流程中的風險。大多數采購團隊仍然沒有意識到身份和訪問管理是一門專業。”
John說,信息安全團隊應出席所有關鍵討論,以確保解決涵蓋與數據安全有關的技術或非技術性問題。“對于我們來說,如果云服務商無法及時解決網絡安全問題,將從我們的候選名單商消失。”
8.識別SaaS提供商使用的子服務
SaaS提供商可能使用的子服務也是需要討論的話題。John說:“這些問題需要再簽訂任何合同之前解決。” “這可能會影響您的組織對數據存儲位置的要求。”
約翰說,在評估SaaS的安全報告時,“重要的是確認報告范圍包括合同中的位置和子服務。” “這需要對合同和適用的安全報告進行交叉檢查,以確保審計結果具有足夠的覆蓋范圍和可靠性。”
討論還應涵蓋SaaS提供商確保合規的方法。John說:“在解決這個問題時,重要的是要了解云服務商的安全服務和功能,例如檢測、數據隱私和事件響應報告,以及任何相關活動,是否合規。”
9.在SaaS免費試用期間進行徹底測試
應在免費的SaaS試用期間進行無死角的IT和安全性的全面測試,包括容量和峰值的壓力測試。Pinto說:“應該有多個管理員和超級用戶同時使用該工具,并在同一窗口內評估性能。”
另外,需要測試并發和多進程活動。Pinto說:“用戶應該了解云服務程序在高負載(忙于計算或移動信息并創建報告)時的響應速度。”
John說,作為內部測試的一部分,“還需要評估關鍵安全流程與SaaS提供商的解決方案集成的能力”。“這將有助于確定在解決方案實施后,安全性方面需要投入的資源和成本。”
10.審查SaaS提供商的第三方安全審計報告
John說,很重要的一個環節是查看云服務商的最新第三方審計報告,包括滲透測試結果,這些結果將確認安全控制的適用性和有效性。“索取國家或國際認證的證書也有助于確定云服務商的企業級安全控制的成熟度。”