Bob Violino Charles

對于越來越多的企業(yè)來說，軟件即服務（SaaS）已經(jīng)成為使用重要業(yè)務應用程序的主要手段。從業(yè)務的角度來看，這種策略是可行的，因為它有潛在的好處：節(jié)約成本、提高了靈活性和更容易擴展，等等。

然而，任何基于云的產(chǎn)品都有安全風險。一家企業(yè)怎樣確定其SaaS提供商的安全條款是否達到了自己的標準呢？

Gartner的副總裁兼分析師Patrick Hevesi解釋說：“我們面臨的挑戰(zhàn)是怎樣才能全面了解SaaS供應商為保護其基礎設施、變更管理程序和事件響應過程所做的工作。”

據(jù)Gartner 2019年的一份報告，并非所有SaaS提供商都對其安全能力保持透明。報告稱，企業(yè)應清楚地知道將重要的用戶數(shù)據(jù)放到云服務中所要承擔的風險，而且他們還不得不信任云服務提供商。

SaaS提供商很容易受到同樣困擾著所有其他企業(yè)的很多惡意軟件和黑客的攻擊。這些威脅會影響使用這些服務的企業(yè)。把對你的SaaS提供商的評估過程集中在以下幾個方面能夠最大程度地降低這種風險。

1.檢查SaaS補丁策略

高管們擔心的一個問題是安全補丁。Asurion公司為智能手機、平板電腦和其他產(chǎn)品提供保險服務，該公司高級安全經(jīng)理Bernie Pinto指出：“通常情況下，SaaS提供商在提供補丁方面會滯后，特別是如果他們是多租戶的，而你的企業(yè)只是眾多細分服務客戶之一?！?h3>2.檢查SaaS與內(nèi)部安全控制的一致性

通信設備公司西門子美國（Siemens USA）的首席網(wǎng)絡安全官Kurt John認為，在評估SaaS提供商時，企業(yè)應了解的主要概念是安全控制職責的轉(zhuǎn)變。使用SaaS產(chǎn)品要求安全部門把重點放在企業(yè)安全環(huán)境和SaaS提供商安全環(huán)境之間的接口上。他說：“一定要牢牢把握住提供商的安全功能與企業(yè)的信息安全策略是否保持一致。務必在流程的早期就處理好任何差距問題?！?/p>

John認為有3個關鍵領域?qū)刂频囊恢滦苑浅Ｖ匾?/p>

·身份和訪問管理（IAM）：問題可能包括無法將現(xiàn)有的企業(yè)IAM平臺與SaaS提供商的產(chǎn)品集成;相互沖突的身份驗證策略，從可用性角度來看，可能會導致混淆和技術問題;SaaS提供商不支持單點登錄（SSO）。

·加密和密鑰管理：這方面的問題包括SaaS提供商堅持要保持對加密的控制，允許它隨時訪問客戶的信息，數(shù)據(jù)被存儲在企業(yè)安全邊界之外，這導致不得不采取相應的加密管理措施。

·安全監(jiān)視：這方面的問題包括不支持對SaaS環(huán)境下安全事件日志數(shù)據(jù)的訪問，對可能出現(xiàn)的安全風險不夠透明。John說：“要克服的挑戰(zhàn)之一是確保日志不被操控。首選方案是與SaaS提供商建立足夠的數(shù)字連接，以便將日志數(shù)據(jù)實時傳送到企業(yè)現(xiàn)有的安全運營中心。這有利于從宏觀上進行把握，允許企業(yè)將本地安全操作功能擴展到云中?！?h3>3.確保企業(yè)擁有自己的數(shù)據(jù)

企業(yè)還應詳細查看提供商承諾的隱私政策或者服務條款，確保他們不會共享個人信息。IT咨詢公司Ascent Solutions的網(wǎng)絡安全策略師Kayne McGladrey說：“盡管這聽起來是能做到的，但很容易被疏忽掉。”

McGradrey指出，如果SaaS供應商合同中“沒有明確寫明不會出售企業(yè)的業(yè)務數(shù)據(jù)，也不會出售將服務所得數(shù)據(jù)用于‘市場研究或者類似目的的匿名匯總數(shù)據(jù)的條款”，那么這就是一個危險信號。如果合同中沒有說明，請務必確認提供商不會轉(zhuǎn)售你的企業(yè)數(shù)據(jù)。

4.確保SaaS提供商遵守相關法規(guī)

McGladrey說，另一個令人擔憂的問題是，隱私政策會不會沒有包括遵守具體法規(guī)的聲明，例如通用數(shù)據(jù)保護條例（GDPR）和加州消費者隱私法（CCPA）等。他說：“這些都是公認的，如果被遺漏了，可能表明SaaS提供商沒有跟上法律和監(jiān)管的趨勢。”

McGladrey補充道：“SaaS供應商應該在數(shù)據(jù)主權和可選本地化方面持坦率態(tài)度。雖然這對于跨國公司選擇SaaS解決方案特別重要，但那些受單一地理區(qū)域限制的企業(yè)則希望避免出現(xiàn)尷尬的情況，例如，美國人的個人信息被有意處理并存儲在國外的數(shù)據(jù)中心。”

5.知道數(shù)據(jù)存儲在哪里

營銷技術提供商Epsilon公司的首席信息官Robert Walden表示，從安全、合規(guī)和隱私的角度來看，歸根結(jié)底一切都與數(shù)據(jù)有關。Walden說：“知曉通過SaaS解決方案存儲和傳輸?shù)臄?shù)據(jù)類型、誰有權訪問數(shù)據(jù)、誰擁有數(shù)據(jù)、怎樣保護數(shù)據(jù)，以及在安全泄露事件發(fā)生時誰應承擔責任等等，這些都非常重要。”

Walden說：“很多企業(yè)甚至都不知道無意中存儲在SaaS解決方案中的敏感數(shù)據(jù)類型，也不知道誰有權訪問這些數(shù)據(jù)。此外，企業(yè)通常不知道，如果在SaaS解決方案的建立過程中執(zhí)行了標準的點擊通過協(xié)議，則該提供商通常對數(shù)據(jù)擁有所有權?！?h3>6.檢查數(shù)據(jù)丟失或者損壞條款

Walden說，從數(shù)據(jù)保護的角度來看，很多企業(yè)沒有意識到，雖然SaaS協(xié)議可能有災難恢復條款，但這些條款并未涵蓋數(shù)據(jù)丟失或者損壞的問題。

7.在SaaS采購過程中涉及的安全

Pinto說，在采購過程中，安全和風險部門的成員應該一直與采購部門保持聯(lián)系?！安少彶块T應與安全部門步調(diào)一致，并讓他們參與過程中的風險量化工作。大多數(shù)采購部門仍然沒有意識到身份和訪問管理是一個專業(yè)領域?！?/p>

John說，信息安全部門應參與所有關鍵討論，以確保能夠解決涉及數(shù)據(jù)安全的非技術性問題?！霸谖覀兊牟块T中，如果出現(xiàn)未解決的網(wǎng)絡安全問題，那么提供商就會出局。”

8.確定SaaS提供商使用的子服務

談判的主題包括SaaS提供商可能使用的企業(yè)子服務。John說：“在簽署任何合同之前，解決這一問題至關重要。這可能會影響企業(yè)提出的任何數(shù)據(jù)存儲位置要求。”

John說，在評估SaaS安全報告時，“驗證報告范圍是否包括作為合同一部分的位置和子服務是很重要的。這需要對合同和適用的安全報告進行交叉檢查，以確保審計結(jié)果的充分覆蓋和可靠性?！?/p>

談判還應涵蓋SaaS提供商確保合規(guī)的方法。John說：“在解決這一問題時，應了解提供商的哪些功能支持合規(guī)和任何相關活動，例如電子發(fā)現(xiàn)、數(shù)據(jù)隱私和事件響應報告等，這一點很重要?！?h3>9.在免費SaaS試用期間進行徹底測試

IT和安全部門應在免費SaaS試用期間測試功能，包括最大容量和峰值使用量等。Pinto說：“應該有幾個管理員和超級用戶同時使用該工具，在同一窗口內(nèi)評估性能?！?/p>

同時，測試并發(fā)和多進程活動。Pinto說：“當程序忙于計算、移動信息和創(chuàng)建報告時，用戶應該知道程序的響應能力如何?！?/p>

作為內(nèi)部測試的一部分，John說：“評估能否將企業(yè)的關鍵安全流程與SaaS提供商的解決方案集成在一起。這將有助于確定可能需要的工作量和成本預測，以確保解決方案實施后足夠安全?！?h3>10.檢查SaaS提供商的第三方審計

John說，要求提供商提供最新的第三方審計報告并進行檢查，包括任何滲透測試結(jié)果，以確認安全控制的適用性和有效性，這是非常重要的。“要求提供國家或者國際認證的證據(jù)也有助于確定企業(yè)級控制措施的成熟度。”

Bob Violino目前在紐約，是Insider Pro、Computerworld、CIO、CSO、InfoWorld和Network World的特約撰稿人。

原文網(wǎng)址

https：//www.csoonline.com/article/3546316/a-10-point-plan-to-vet-saas-provider-security.html