審查SaaS提供商安全性的10個計劃

作者：Bob Violino 2020-06-15 10:18:42

CIOAge

云安全

SaaS 使用SaaS提供商的服務就意味著需要放棄一些對安全性的控制，因此在評估供應商時密切審查SaaS的安全性是至關重要的。

對于越來越多的企業(yè)來說， SaaS已經成為訪問重要業(yè)務應用程序的主要手段了。從業(yè)務的角度來看，這個策略是有意義的，因為它有一些潛在的好處:節(jié)省成本、提高敏捷性和更容易的可伸縮性等等。

然而，任何基于云的產品都會有安全風險。一個組織該如何確定其SaaS提供商的安全規(guī)定是否符合自己的標準?

“我們面臨的挑戰(zhàn)是該如何了解SaaS供應商正在采取哪些措施來保護其基礎設施、變更管理程序和事件響應流程?！毖芯抗綠artner的副總裁兼分析師Patrick Hevesi說。

根據Gartner 2019年的一份報告，并非所有SaaS提供商都對其安全性保持透明。報告稱，企業(yè)需要了解將重要用戶數據放到云服務中所承擔的風險，以及它們必須對云服務提供商所擁有的信任。

SaaS提供商也很容易受到困擾其他組織的許多相同的惡意軟件和黑客攻擊。這些威脅可能會影響到使用這些服務的公司。你可以將你的SaaS提供商評估過程集中在以下幾個方面以最小化可能面臨的風險。

1. 檢查SaaS補丁策略

高管們擔心的一個問題就是安全補丁?！巴ǔＧ闆r下，SaaS提供商在修補方面經常會滯后，特別是如果他們是多租戶的，而你的組織正好是眾多細分服務客戶之一時?！盇surion公司的高級安全經理Bernie Pinto說。Asurion是一家為智能手機、平板電腦和其他產品提供保險的公司。

2. 檢查SaaS和內部安全控制的一致性

通信設備公司美國西門子的首席網絡安全官Kurt John說，在評估SaaS提供商時，企業(yè)需要了解的主要概念是安全控制責任的轉變。使用SaaS產品要求安全團隊關注其組織的安全環(huán)境與SaaS提供者的安全環(huán)境之間的接口?！澳銜Ｍ卫握莆展痰陌踩匦詫⑷绾闻c你的企業(yè)信息安全政策保持一致，”他表示?！叭魏尾罹喽紤撛谶M程的早期解決?！?/p>

John看到了非常重要的三個關鍵領域：

• 身份和訪問管理(IAM):可能存在無法將現有企業(yè)IAM平臺與SaaS提供商提供的產品集成的問題;身份驗證策略沖突，從可用性的角度來看，這可能導致混亂和技術問題;SaaS提供商缺乏對單點登錄(SSO)的支持。
• 加密和密鑰管理:SaaS提供商會堅持對加密進行控制，允許其隨時訪問客戶信息，并將數據存儲在公司安全范圍之外，這增加了對充分加密管理的依賴。
• 安全監(jiān)控:這里的關注點包括無法從SaaS環(huán)境中訪問安全事件日志數據，這限制了潛在安全風險的透明度?！靶枰朔奶魬?zhàn)之一是確保日志不會被操縱。”John說。“最好的選擇是與SaaS提供商有足夠的數字連接，可以將日志數據實時傳輸到現有的安全運營中心?！盝ohn說?！斑@提升了整體的視角，并允許你將本地的安全運營能力擴展到云端?！?/li>

3. 確保擁有你的數據

公司還應密切注意隱私政策或服務承諾條款，供應商需要承諾不共享個人信息?！半m然這聽起來很有希望，但也會是一個明顯的疏漏?！盜T咨詢公司Ascent Solutions的網絡安全策略師Kayne說。

McGladrey說，如果供應商“沒有聲明不會出售你的業(yè)務數據，或者出售關于你的組織為‘市場研究’或類似目的使用該服務的假名匯總數據”，這就是一個危險信號。如果沒有說明，請確認提供商不會轉售你的數據。

4. 確保SaaS提供商遵守相關法規(guī)

另一個令人擔憂的問題是，隱私政策是否沒有包含遵守特定法規(guī)的聲明，如《一般數據保護條例》(GDPR)或是《加州消費者隱私法》(CCPA)，McGladrey說。“這些都是公認的，但如果遺漏了則可能表明SaaS提供商沒有跟上法律和監(jiān)管的趨勢。”他說。

“SaaS供應商應該在數據主權和可選本地化方面保持領先，”McGladrey補充道。“盡管這對于選擇SaaS解決方案的跨國組織來說尤為重要，但那些局限于單一地理區(qū)域的組織也可能希望避免尷尬的情況，比如美國人的個人信息被有意地處理和存儲在外國數據中心?！?/p>

5. 知道數據存儲在哪里

營銷技術提供商Epsilon的首席信息官Robert Walden表示，從安全、合規(guī)和隱私的角度來看，歸根結底一切都是與數據有關。Walden說:“了解通過SaaS解決方案存儲或傳輸的數據類型、誰有權訪問數據、誰擁有數據、如何保護數據、以及在發(fā)生安全漏洞時誰應該負責”，這些都是很重要的。

“許多公司甚至不知道那些不經意間被存儲在SaaS解決方案中的敏感數據，也不知道誰有權訪問這些數據，”Walden說?！按送?，公司往往會不明白，如果在SaaS解決方案的建立過程中執(zhí)行了標準的點擊式協(xié)議，那么供應商往往就會擁有數據的所有權?！?/p>

6. 檢查數據丟失或損壞條款

從數據保護的角度來看，許多公司沒有意識到，雖然SaaS協(xié)議可能有災難恢復條款，但這些條款并不包括數據丟失或損壞的情況，Walden說。

7. 在SaaS采購過程中涉及安全性

在采購過程中，安全和風險團隊的一名成員應該始終與采購團隊保持聯(lián)系，Pinto說。“采購團隊應該與安全團隊步調一致，讓他們在過程中量化風險。大多數采購團隊仍然沒有意識到身份和訪問管理是一個專業(yè)領域?！?/p>

信息安全團隊應該出席所有關鍵的討論，以確保涉及數據安全的非技術主題能夠得到解決，John說。“在我們公司，未解決的網絡安全問題可能會把供應商排除在外?！?/p>

8. 確定SaaS提供商所使用的子服務

要討論的主題還需要包括SaaS提供者可能使用的子服務組織?！霸诤炗喨魏魏贤?，解決這個問題是至關重要的，”John說?！斑@可能會對組織的任何數據存儲位置要求都產生影響?！?/p>

在評估SaaS安全報告時，“務必驗證報告范圍是否包括了作為合同一部分的位置和子服務，”John說。這需要對合同和適用的安全報告進行交叉檢查，以確保審計結果的覆蓋范圍和可靠性。

討論還應該涵蓋SaaS提供商所提供的確保法規(guī)遵從性的方法?！霸诮鉀Q這個問題時，重要的是要了解供應商的哪些特性能夠支持法規(guī)遵從性和任何的相關活動，比如電子發(fā)現、數據隱私和事件響應報告，”John說。

9. 在免費SaaS試用期間進行徹底測試

IT和安全應該在免費SaaS試用期間測試功能，包括最大容量和峰值的使用率?！皯撚袔讉€管理員和超級用戶同時使用這個工具，并且在同一個窗口中評估性能，”Pinto說。

同時，測試并發(fā)和多進程活動。“用戶應該認識到程序在忙于計算、移動信息和創(chuàng)建報告時的響應能力，”Pinto說。

作為內部測試的一部分，“還需要評估關鍵安全流程與SaaS提供商的解決方案集成的能力，”John說?！斑@將有助于確定可能需要的努力程度和成本預測，以確保解決方案實施后的安全性。”

10. 審核SaaS提供商的第三方審計

重要的是要求和審查供應商最近的第三方審計報告，包括任何可以確認安全控制的適用性和有效性的滲透測試結果，John說?！耙筇峁﹪一驀H認證的證據也有助于確定組織企業(yè)級控制措施的成熟度。”

網頁名稱：審查SaaS提供商安全性的10個計劃
轉載源于：http://m.5511xx.com/article/cosgche.html