无论数字化转型还是“安全上云”,对云计算服务(商)的安全评估都是至关重要的工作,过去半年中,Zoom和微盟安全事件,已经为我们敲响了云安全的警钟。中国企业的云服务商安全评估问题尤为严峻,根据派拓网络2019年10月的调查报告,78%的中国企业完全依赖云供应商提供的安全措施,高于亚太地区的70%。而质疑云服务商安全服务不够充分的企业,仅有2%。今天,随着新冠疫情的反复和常态化,远程办公和云服务的普及加速,我们有必要老生常谈,再次关注云服务的安全评估问题。
对于越来越多的企业,软件即服务(SaaS)已成为访问重要业务应用程序的主要手段。从业务的角度来看,“上云”的好处包括:节省成本、提高敏捷性和更易扩展的功能。
但是,任何基于云的产品都存在安全风险。企业如何才能确定其SaaS提供商的安全性是否符合其自身的需求和标准?
Gartner副总裁兼分析师Patrick Hevesi说:“我们面临的挑战是需要了解SaaS供应商是如何保护其基础架构、变更管理和事件响应流程的。”
根据Gartner2019年的报告,并非所有SaaS提供商的安全性都是透明的。报告说,企业必须对两种风险有充分认识:一种是将重要的用户数据放入云服务的风险,另一种是充分信任云服务商的风险。
与任何企业一样,SaaS提供商也容易遭受许多相同的恶意软件和黑客攻击,一旦云服务遭受攻击,往往会城门失火殃及池鱼,云服务用户也会受到影响。因此,我们建议计划使用云服务的企业,对云服务商进行必要的安全评估,降低业务风险,以下是网络安全专业人士对于评估SaaS供应商的十个建议:
01
查看SaaS的漏洞管理/修补策略
高管经常关注的一个问题是安全补丁。“通常,SaaS提供商会打补丁,尤其是多租户服务。”Asurion的安全高级经理Bernie Pinto说。一家云服务商的漏洞管理效率、成熟度模型、工具、落地措施以及与其他安全工具和流程,例如威胁情报和UEBA等的集成,都能体现一家云服务商的漏洞管理水平。企业也可以使用平衡记分卡给云服务商的漏洞管理服务打分。(参考:《2020高效漏洞管理现状与趋势报告》)
02
检查SaaS与内部安全控制的一致性
通信设备公司西门子美国公司首席网络安全官库尔特·约翰(Kurt John)说,在评估SaaS提供商时,公司需要了解的主要概念是安全控制职责的转变。使用SaaS产品要求安全团队专注于其组织的安全环境与SaaS提供商的安全环境之间的接口。他说:“您将应当确保提供商的安全功能如何与您的公司信息安全策略保持一致。”“任何差距都应在此过程中尽早解决。”John认为“控制对齐”有三个关键领域:
·身份和访问管理(IAM):问题可能包括无法将现有企业IAM平台与SaaS提供商的产品集成在一起;认证策略冲突,从可用性的角度来看,这可能导致混乱和技术难题;以及SaaS提供商缺乏对单点登录(SSO)的支持。
·加密和密钥管理:这里的问题包括SaaS提供商坚持保持对加密的控制,使其可以随时访问客户的信息,以及将数据存储在公司安全范围之外,从而增加了对适当加密管理的依赖。
·安全监控:这里的问题包括无法从SaaS环境提供对安全事件日志数据的访问,从而降低了潜在安全风险的透明性。John说:“要克服的挑战之一是确保服务商无法操纵日志。”约翰说:“首选的选择是与SaaS提供商建立适当的数字连接,以便将日志数据实时馈送到您现有的安全运营中心。”“这可以提升整体视野,并支持将本地安全运营功能扩展到云中。”
03
确保您拥有数据
公司还应密切注意提供商的隐私政策或服务条款,以确保不会共享个人信息。IT咨询公司Ascent Solutions的网络安全策略师Kayne McGladrey说:“尽管这听起来理所当然,但现实中往往会被遗漏。”
McGladrey说:如果SaaS供应商未承诺不会出售您的业务数据或以“市场研究”的名义出售您如何使用云服务的数据,这将是一个危险信号。如果云服务协议没有明确说明,请务必确认提供商不会转售您的数据。
04
确保SaaS提供商的合规性
McGladrey指出,另一个令人担忧的问题是,如果隐私政策中没有声明遵守特定法规,例如《通用数据保护法规》(GDPR)或《加州消费者隐私法案》(CCPA),则该声明不符合要求。他说:“缺乏必要的合规性,可能表明SaaS提供商没有跟上法律和监管的步伐。”
McGladrey补充说:“ SaaS供应商应该在数据主权和可选本地化方面领先。”“尽管这对于选择SaaS解决方案的跨国企业特别重要,但是单一地理位置的组织也很有肯能会碰到类似的合规问题。”
05
知道数据存储在哪里
营销技术提供商Epsilon的CIO Robert Walden表示,从安全性,合规性和隐私性的角度来看,这最终都取决于数据。“了解通过SaaS解决方案存储或传输什么样的数据,谁有权访问数据,谁拥有数据,如何保护数据以及在发生安全漏洞时谁应负责都非常重要”,Walden说道。
Walden说:“许多公司甚至都不知道无意中存储在SaaS解决方案中的敏感数据的类型,或者谁可以访问这些敏感数据。”“此外,很多公司不了解,如果在设置SaaS解决方案期间执行了标准的点击(click-through)协议,则该提供商通常对数据拥有所有权。”
06
检查数据丢失或损坏的规定
从数据保护的角度来看,许多公司没有意识到,尽管SaaS协议可能包含灾难恢复条款,但这些条款往往并未涵盖数据丢失或损坏的问题。
07
安全团队应当参与SaaS采购过程
Pinto说,在采购过程中,安全和风险团队的成员应始终与采购团队联系。“采购团队应与安全团队保持一致,并让他们量化流程中的风险。大多数采购团队仍然没有意识到身份和访问管理是一门专业。”
John说,信息安全团队应出席所有关键讨论,以确保解决涵盖与数据安全有关的技术或非技术性问题。“对于我们来说,如果云服务商无法及时解决网络安全问题,将从我们的候选名单上消失。”
08
识别SaaS提供商使用的子服务
SaaS提供商可能使用的子服务也是需要讨论的话题。John说:“这些问题需要在签订任何合同之前解决。”“这可能会影响您的组织对数据存储位置的要求。”
约翰说,在评估SaaS的安全报告时,“重要的是确认报告范围包括合同中的位置和子服务。”“这需要对合同和适用的安全报告进行交叉检查,以确保审计结果具有足够的覆盖范围和可靠性。”
讨论还应涵盖SaaS提供商确保合规的方法。John说:“在解决这个问题时,重要的是要了解云服务商的安全服务和功能,例如检测、数据隐私和事件响应报告,以及任何相关活动,是否合规。”
09
在SaaS免费试用期间进行彻底测试
应在免费的SaaS试用期间进行无死角的IT和安全性的全面测试,包括容量和峰值的压力测试。Pinto说:“应该有多个管理员和超级用户同时使用该工具,并在同一窗口内评估性能。”
另外,需要测试并发和多进程活动。Pinto说:“用户应该了解云服务程序在高负载(忙于计算或移动信息并创建报告)时的响应速度。”
John说,作为内部测试的一部分,“还需要评估关键安全流程与SaaS提供商的解决方案集成的能力”。“这将有助于确定在解决方案实施后,安全性方面需要投入的资源和成本。”
10
审查SaaS提供商的第三方安全审计报告
John说,很重要的一个环节是查看云服务商的最新第三方审计报告,包括渗透测试结果,这些结果将确认安全控制的适用性和有效性。“索取国家或国际认证的证书也有助于确定云服务商的企业级安全控制的成熟度。”