評估SaaS服務商安全性的十個要點

作者：安全牛 2020-06-16 11:22:19

安全

應用安全

SaaS 我們建議計劃使用云服務的企業(yè)，對云服務商進行必要的安全評估，降低業(yè)務風險，以下是網(wǎng)絡安全專業(yè)人士對于評估SaaS供應商的十個建議。

成都創(chuàng)新互聯(lián)公司長期為近千家客戶提供的網(wǎng)站建設服務，團隊從業(yè)經(jīng)驗10年，關注不同地域、不同群體，并針對不同對象提供差異化的產(chǎn)品和服務；打造開放共贏平臺，與合作伙伴共同營造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為久治企業(yè)提供專業(yè)的網(wǎng)站建設、成都網(wǎng)站制作，久治網(wǎng)站改版等技術服務。擁有10年豐富建站經(jīng)驗和眾多成功案例,為您定制開發(fā)。

對于越來越多的企業(yè)，軟件即服務(SaaS)已成為訪問重要業(yè)務應用程序的主要手段。從業(yè)務的角度來看，“上云”的好處包括：節(jié)省成本、提高敏捷性和更易擴展的功能。

但是，任何基于云的產(chǎn)品都存在安全風險。企業(yè)如何才能確定其SaaS提供商的安全性是否符合其自身的需求和標準?

Gartner副總裁兼分析師Patrick Hevesi說：“我們面臨的挑戰(zhàn)是需要了解SaaS供應商是如何保護其基礎架構(gòu)、變更管理和事件響應流程的?！?/p>

根據(jù)Gartner2019年的報告，并非所有SaaS提供商的安全性都是透明的。報告說，企業(yè)必須對兩種風險有充分認識：一種是將重要的用戶數(shù)據(jù)放入云服務的風險，另一種是充分信任云服務商的風險。

與任何企業(yè)一樣，SaaS提供商也容易遭受許多相同的惡意軟件和黑客攻擊，一旦云服務遭受攻擊，往往會城門失火殃及池魚，云服務用戶也會受到影響。因此，我們建議計劃使用云服務的企業(yè)，對云服務商進行必要的安全評估，降低業(yè)務風險，以下是網(wǎng)絡安全專業(yè)人士對于評估SaaS供應商的十個建議：

1. 查看SaaS的漏洞管理/修補策略

高管經(jīng)常關注的一個問題是安全補丁?！巴ǔ＃琒aaS提供商會打補丁，尤其是多租戶服務?！盇surion的安全高級經(jīng)理Bernie Pinto說。一家云服務商的漏洞管理效率、成熟度模型、工具、落地措施以及與其他安全工具和流程，例如威脅情報和UEBA等的集成，都能體現(xiàn)一家云服務商的漏洞管理水平。企業(yè)也可以使用平衡記分卡給云服務商的漏洞管理服務打分。(參考：《2020高效漏洞管理現(xiàn)狀與趨勢報告》)

2. 檢查SaaS與內(nèi)部安全控制的一致性

通信設備公司西門子美國公司首席網(wǎng)絡安全官庫爾特·約翰(Kurt John)說，在評估SaaS提供商時，公司需要了解的主要概念是安全控制職責的轉(zhuǎn)變。使用SaaS產(chǎn)品要求安全團隊專注于其組織的安全環(huán)境與SaaS提供商的安全環(huán)境之間的接口。他說：“您將應當確保提供商的安全功能如何與您的公司信息安全策略保持一致?！薄叭魏尾罹喽紤诖诉^程中盡早解決?！盝ohn認為“控制對齊”有三個關鍵領域：

• 身份和訪問管理(IAM)：問題可能包括無法將現(xiàn)有企業(yè)IAM平臺與SaaS提供商的產(chǎn)品集成在一起;認證策略沖突，從可用性的角度來看，這可能導致混亂和技術難題;以及SaaS提供商缺乏對單點登錄(SSO)的支持。
• 加密和密鑰管理：這里的問題包括SaaS提供商堅持保持對加密的控制，使其可以隨時訪問客戶的信息，以及將數(shù)據(jù)存儲在公司安全范圍之外，從而增加了對適當加密管理的依賴。
• 安全監(jiān)控：這里的問題包括無法從SaaS環(huán)境提供對安全事件日志數(shù)據(jù)的訪問，從而降低了潛在安全風險的透明性。John說：“要克服的挑戰(zhàn)之一是確保服務商無法操縱日志?！奔s翰說：“首選的選擇是與SaaS提供商建立適當?shù)臄?shù)字連接，以便將日志數(shù)據(jù)實時饋送到您現(xiàn)有的安全運營中心。”“這可以提升整體視野，并支持將本地安全運營功能擴展到云中?！?/li>

3. 確保您擁有數(shù)據(jù)

公司還應密切注意提供商的隱私政策或服務條款，以確保不會共享個人信息。IT咨詢公司Ascent Solutions的網(wǎng)絡安全策略師Kayne McGladrey說：“盡管這聽起來理所當然，但現(xiàn)實中往往會被遺漏?！?/p>

McGladrey說：如果SaaS供應商未承諾不會出售您的業(yè)務數(shù)據(jù)或以“市場研究”的名義出售您如何使用云服務的數(shù)據(jù)，這將是一個危險信號。如果云服務協(xié)議沒有明確說明，請務必確認提供商不會轉(zhuǎn)售您的數(shù)據(jù)。

4. 確保SaaS提供商的合規(guī)性

McGladrey指出，另一個令人擔憂的問題是，如果隱私政策中沒有聲明遵守特定法規(guī)，例如《通用數(shù)據(jù)保護法規(guī)》(GDPR)或《加州消費者隱私法案》(CCPA)，則該聲明不符合要求。他說：“缺乏必要的合規(guī)性，可能表明SaaS提供商沒有跟上法律和監(jiān)管的步伐?！?/p>

McGladrey補充說：“ SaaS供應商應該在數(shù)據(jù)主權(quán)和可選本地化方面領先。”“盡管這對于選擇SaaS解決方案的跨國企業(yè)特別重要，但是單一地理位置的組織也很有肯能會碰到類似的合規(guī)問題?！?/p>

5. 知道數(shù)據(jù)存儲在哪里

營銷技術提供商Epsilon的CIO Robert Walden表示，從安全性，合規(guī)性和隱私性的角度來看，這最終都取決于數(shù)據(jù)?！傲私馔ㄟ^SaaS解決方案存儲或傳輸什么樣的數(shù)據(jù)，誰有權(quán)訪問數(shù)據(jù)，誰擁有數(shù)據(jù)，如何保護數(shù)據(jù)以及在發(fā)生安全漏洞時誰應負責都非常重要”,Walden說道。

Walden說：“許多公司甚至都不知道無意中存儲在SaaS解決方案中的敏感數(shù)據(jù)的類型，或者誰可以訪問這些敏感數(shù)據(jù)?！薄按送?，很多公司不了解，如果在設置SaaS解決方案期間執(zhí)行了標準的點擊(click-through)協(xié)議，則該提供商通常對數(shù)據(jù)擁有所有權(quán)?！?/p>

6. 檢查數(shù)據(jù)丟失或損壞的規(guī)定

從數(shù)據(jù)保護的角度來看，許多公司沒有意識到，盡管SaaS協(xié)議可能包含災難恢復條款，但這些條款往往并未涵蓋數(shù)據(jù)丟失或損壞的問題。

7. 安全團隊應當參與SaaS采購過程

Pinto說，在采購過程中，安全和風險團隊的成員應始終與采購團隊聯(lián)系?！安少張F隊應與安全團隊保持一致，并讓他們量化流程中的風險。大多數(shù)采購團隊仍然沒有意識到身份和訪問管理是一門專業(yè)。”

John說，信息安全團隊應出席所有關鍵討論，以確保解決涵蓋與數(shù)據(jù)安全有關的技術或非技術性問題?！皩τ谖覀儊碚f，如果云服務商無法及時解決網(wǎng)絡安全問題，將從我們的候選名單上消失?！?/p>

8. 識別SaaS提供商使用的子服務

SaaS提供商可能使用的子服務也是需要討論的話題。John說：“這些問題需要在簽訂任何合同之前解決?！薄斑@可能會影響您的組織對數(shù)據(jù)存儲位置的要求?！?/p>

約翰說，在評估SaaS的安全報告時，“重要的是確認報告范圍包括合同中的位置和子服務?！薄斑@需要對合同和適用的安全報告進行交叉檢查，以確保審計結(jié)果具有足夠的覆蓋范圍和可靠性?！?/p>

討論還應涵蓋SaaS提供商確保合規(guī)的方法。John說：“在解決這個問題時，重要的是要了解云服務商的安全服務和功能，例如檢測、數(shù)據(jù)隱私和事件響應報告，以及任何相關活動，是否合規(guī)?！?/p>

9. 在SaaS免費試用期間進行徹底測試

應在免費的SaaS試用期間進行無死角的IT和安全性的全面測試，包括容量和峰值的壓力測試。Pinto說：“應該有多個管理員和超級用戶同時使用該工具，并在同一窗口內(nèi)評估性能。”

另外，需要測試并發(fā)和多進程活動。Pinto說：“用戶應該了解云服務程序在高負載(忙于計算或移動信息并創(chuàng)建報告)時的響應速度。”

John說，作為內(nèi)部測試的一部分，“還需要評估關鍵安全流程與SaaS提供商的解決方案集成的能力”?！斑@將有助于確定在解決方案實施后，安全性方面需要投入的資源和成本?！?/p>

10. 審查SaaS提供商的第三方安全審計報告

John說，很重要的一個環(huán)節(jié)是查看云服務商的最新第三方審計報告，包括滲透測試結(jié)果，這些結(jié)果將確認安全控制的適用性和有效性。“索取國家或國際認證的證書也有助于確定云服務商的企業(yè)級安全控制的成熟度?！?/p>

【本文是51CTO專欄作者“安全?！钡脑瓌?chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文   

網(wǎng)站標題：評估SaaS服務商安全性的十個要點
標題路徑：http://m.5511xx.com/article/dhpseoh.html