信息化觀察網(wǎng)

無論數(shù)字化轉(zhuǎn)型還是“安全上云”，對云計算服務(wù)（商）的安全評估都是至關(guān)重要的工作，過去半年中，Zoom和微盟安全事件，已經(jīng)為我們敲響了云安全的警鐘。中國企業(yè)的云服務(wù)商安全評估問題尤為嚴峻，根據(jù)派拓網(wǎng)絡(luò)2019年10月的調(diào)查報告，78%的中國企業(yè)完全依賴云供應(yīng)商提供的安全措施，高于亞太地區(qū)的70%。而質(zhì)疑云服務(wù)商安全服務(wù)不夠充分的企業(yè)，僅有2%。今天，隨著新冠疫情的反復(fù)和常態(tài)化，遠程辦公和云服務(wù)的普及加速，我們有必要老生常談，再次關(guān)注云服務(wù)的安全評估問題。

對于越來越多的企業(yè)，軟件即服務(wù)（SaaS）已成為訪問重要業(yè)務(wù)應(yīng)用程序的主要手段。從業(yè)務(wù)的角度來看，“上云”的好處包括：節(jié)省成本、提高敏捷性和更易擴展的功能。

但是，任何基于云的產(chǎn)品都存在安全風(fēng)險。企業(yè)如何才能確定其SaaS提供商的安全性是否符合其自身的需求和標(biāo)準(zhǔn)？

Gartner副總裁兼分析師Patrick Hevesi說：“我們面臨的挑戰(zhàn)是需要了解SaaS供應(yīng)商是如何保護其基礎(chǔ)架構(gòu)、變更管理和事件響應(yīng)流程的。”

根據(jù)Gartner2019年的報告，并非所有SaaS提供商的安全性都是透明的。報告說，企業(yè)必須對兩種風(fēng)險有充分認識：一種是將重要的用戶數(shù)據(jù)放入云服務(wù)的風(fēng)險，另一種是充分信任云服務(wù)商的風(fēng)險。

與任何企業(yè)一樣，SaaS提供商也容易遭受許多相同的惡意軟件和黑客攻擊，一旦云服務(wù)遭受攻擊，往往會城門失火殃及池魚，云服務(wù)用戶也會受到影響。因此，我們建議計劃使用云服務(wù)的企業(yè)，對云服務(wù)商進行必要的安全評估，降低業(yè)務(wù)風(fēng)險，以下是網(wǎng)絡(luò)安全專業(yè)人士對于評估SaaS供應(yīng)商的十個建議：

01

查看SaaS的漏洞管理/修補策略

高管經(jīng)常關(guān)注的一個問題是安全補丁。“通常，SaaS提供商會打補丁，尤其是多租戶服務(wù)。”Asurion的安全高級經(jīng)理Bernie Pinto說。一家云服務(wù)商的漏洞管理效率、成熟度模型、工具、落地措施以及與其他安全工具和流程，例如威脅情報和UEBA等的集成，都能體現(xiàn)一家云服務(wù)商的漏洞管理水平。企業(yè)也可以使用平衡記分卡給云服務(wù)商的漏洞管理服務(wù)打分。（參考：《2020高效漏洞管理現(xiàn)狀與趨勢報告》）

02

檢查SaaS與內(nèi)部安全控制的一致性

通信設(shè)備公司西門子美國公司首席網(wǎng)絡(luò)安全官庫爾特·約翰（Kurt John）說，在評估SaaS提供商時，公司需要了解的主要概念是安全控制職責(zé)的轉(zhuǎn)變。使用SaaS產(chǎn)品要求安全團隊專注于其組織的安全環(huán)境與SaaS提供商的安全環(huán)境之間的接口。他說：“您將應(yīng)當(dāng)確保提供商的安全功能如何與您的公司信息安全策略保持一致。”“任何差距都應(yīng)在此過程中盡早解決。”John認為“控制對齊”有三個關(guān)鍵領(lǐng)域：

·身份和訪問管理（IAM）：問題可能包括無法將現(xiàn)有企業(yè)IAM平臺與SaaS提供商的產(chǎn)品集成在一起；認證策略沖突，從可用性的角度來看，這可能導(dǎo)致混亂和技術(shù)難題；以及SaaS提供商缺乏對單點登錄（SSO）的支持。

·加密和密鑰管理：這里的問題包括SaaS提供商堅持保持對加密的控制，使其可以隨時訪問客戶的信息，以及將數(shù)據(jù)存儲在公司安全范圍之外，從而增加了對適當(dāng)加密管理的依賴。

·安全監(jiān)控：這里的問題包括無法從SaaS環(huán)境提供對安全事件日志數(shù)據(jù)的訪問，從而降低了潛在安全風(fēng)險的透明性。John說：“要克服的挑戰(zhàn)之一是確保服務(wù)商無法操縱日志。”約翰說：“首選的選擇是與SaaS提供商建立適當(dāng)?shù)臄?shù)字連接，以便將日志數(shù)據(jù)實時饋送到您現(xiàn)有的安全運營中心。”“這可以提升整體視野，并支持將本地安全運營功能擴展到云中。”

03

確保您擁有數(shù)據(jù)

公司還應(yīng)密切注意提供商的隱私政策或服務(wù)條款，以確保不會共享個人信息。IT咨詢公司Ascent Solutions的網(wǎng)絡(luò)安全策略師Kayne McGladrey說：“盡管這聽起來理所當(dāng)然，但現(xiàn)實中往往會被遺漏。”

McGladrey說：如果SaaS供應(yīng)商未承諾不會出售您的業(yè)務(wù)數(shù)據(jù)或以“市場研究”的名義出售您如何使用云服務(wù)的數(shù)據(jù)，這將是一個危險信號。如果云服務(wù)協(xié)議沒有明確說明，請務(wù)必確認提供商不會轉(zhuǎn)售您的數(shù)據(jù)。

04

確保SaaS提供商的合規(guī)性

McGladrey指出，另一個令人擔(dān)憂的問題是，如果隱私政策中沒有聲明遵守特定法規(guī)，例如《通用數(shù)據(jù)保護法規(guī)》（GDPR）或《加州消費者隱私法案》（CCPA），則該聲明不符合要求。他說：“缺乏必要的合規(guī)性，可能表明SaaS提供商沒有跟上法律和監(jiān)管的步伐。”

McGladrey補充說：“ SaaS供應(yīng)商應(yīng)該在數(shù)據(jù)主權(quán)和可選本地化方面領(lǐng)先。”“盡管這對于選擇SaaS解決方案的跨國企業(yè)特別重要，但是單一地理位置的組織也很有肯能會碰到類似的合規(guī)問題。”

05

知道數(shù)據(jù)存儲在哪里

營銷技術(shù)提供商Epsilon的CIO Robert Walden表示，從安全性，合規(guī)性和隱私性的角度來看，這最終都取決于數(shù)據(jù)。“了解通過SaaS解決方案存儲或傳輸什么樣的數(shù)據(jù)，誰有權(quán)訪問數(shù)據(jù)，誰擁有數(shù)據(jù)，如何保護數(shù)據(jù)以及在發(fā)生安全漏洞時誰應(yīng)負責(zé)都非常重要”,Walden說道。

Walden說：“許多公司甚至都不知道無意中存儲在SaaS解決方案中的敏感數(shù)據(jù)的類型，或者誰可以訪問這些敏感數(shù)據(jù)。”“此外，很多公司不了解，如果在設(shè)置SaaS解決方案期間執(zhí)行了標(biāo)準(zhǔn)的點擊（click-through）協(xié)議，則該提供商通常對數(shù)據(jù)擁有所有權(quán)。”

06

檢查數(shù)據(jù)丟失或損壞的規(guī)定

從數(shù)據(jù)保護的角度來看，許多公司沒有意識到，盡管SaaS協(xié)議可能包含災(zāi)難恢復(fù)條款，但這些條款往往并未涵蓋數(shù)據(jù)丟失或損壞的問題。

07

安全團隊?wèi)?yīng)當(dāng)參與SaaS采購過程

Pinto說，在采購過程中，安全和風(fēng)險團隊的成員應(yīng)始終與采購團隊聯(lián)系。“采購團隊?wèi)?yīng)與安全團隊保持一致，并讓他們量化流程中的風(fēng)險。大多數(shù)采購團隊仍然沒有意識到身份和訪問管理是一門專業(yè)。”

John說，信息安全團隊?wèi)?yīng)出席所有關(guān)鍵討論，以確保解決涵蓋與數(shù)據(jù)安全有關(guān)的技術(shù)或非技術(shù)性問題。“對于我們來說，如果云服務(wù)商無法及時解決網(wǎng)絡(luò)安全問題，將從我們的候選名單上消失。”

08

識別SaaS提供商使用的子服務(wù)

SaaS提供商可能使用的子服務(wù)也是需要討論的話題。John說：“這些問題需要在簽訂任何合同之前解決。”“這可能會影響您的組織對數(shù)據(jù)存儲位置的要求。”

約翰說，在評估SaaS的安全報告時，“重要的是確認報告范圍包括合同中的位置和子服務(wù)。”“這需要對合同和適用的安全報告進行交叉檢查，以確保審計結(jié)果具有足夠的覆蓋范圍和可靠性。”

討論還應(yīng)涵蓋SaaS提供商確保合規(guī)的方法。John說：“在解決這個問題時，重要的是要了解云服務(wù)商的安全服務(wù)和功能，例如檢測、數(shù)據(jù)隱私和事件響應(yīng)報告，以及任何相關(guān)活動，是否合規(guī)。”

09

在SaaS免費試用期間進行徹底測試

應(yīng)在免費的SaaS試用期間進行無死角的IT和安全性的全面測試，包括容量和峰值的壓力測試。Pinto說：“應(yīng)該有多個管理員和超級用戶同時使用該工具，并在同一窗口內(nèi)評估性能。”

另外，需要測試并發(fā)和多進程活動。Pinto說：“用戶應(yīng)該了解云服務(wù)程序在高負載（忙于計算或移動信息并創(chuàng)建報告）時的響應(yīng)速度。”

John說，作為內(nèi)部測試的一部分，“還需要評估關(guān)鍵安全流程與SaaS提供商的解決方案集成的能力”。“這將有助于確定在解決方案實施后，安全性方面需要投入的資源和成本。”

10

審查SaaS提供商的第三方安全審計報告

John說，很重要的一個環(huán)節(jié)是查看云服務(wù)商的最新第三方審計報告，包括滲透測試結(jié)果，這些結(jié)果將確認安全控制的適用性和有效性。“索取國家或國際認證的證書也有助于確定云服務(wù)商的企業(yè)級安全控制的成熟度。”