对于越来越多的企业来说,软件即服务(SaaS)已经成为访问重要业务应用程序的主要手段。从业务的角度来看,“上云”的好处包括节省成本、提高敏捷性和更容易扩展。然而,任何基于云的产品都存在安全风险。企业如何确定其SaaS提供商的安全性是否符合自身的需求和标准?“挑战在于了解SaaS提供商如何保护其基础架构、变更管理和事件响应流程。”根据2019年Gartner报告,并非所有SaaS提供商都对其安全性透明。报告认为,企业必须充分了解两种风险:一是将重要用户数据放入云服务的风险,二是完全不安全的风险。信任云服务提供商。SaaS提供商与任何企业一样容易受到许多相同的恶意软件和黑客攻击,而云服务一旦受到损害,往往会影响水中的鱼和云服务用户。因此,我们建议计划使用云服务的企业对云服务提供商进行必要的安全评估以降低业务风险以下是网络安全专业人士对评估SaaS提供商的十条建议:1.审查SaaS漏洞管理/修补战略主管经常关注的问题是安全性secu高级经理BerniePinto说:“通常情况下,SaaS提供商会打补丁,尤其是多租户服务。”亚胜的诚意。一个云服务商的漏洞管理效率、成熟度模型、工具、实施措施,以及与其他安全工具和流程的集成,如威胁情报、UEBA等,都可以反映一个云服务商的漏洞管理水平。企业还可以使用平衡计分卡对云服务提供商的漏洞管理服务进行评级。(参考:《2020高效漏洞管理现状与趋势报告》)2.检查SaaS与内部安全控制的一致性公司在评估SaaS供应商时需要了解的内容主要概念是安全控制责任的转变。使用SaaS产品需要安全团队关注其组织的安全环境与SaaS提供商的安全环境之间的接口。“你会想要确保供应商的安全能力如何与你的公司信息安全政策保持一致,”他说。“任何差距都应该在这个过程的早期解决。John看到了“控制对齐”的三个关键领域:身份和访问管理(IAM):问题可能包括无法将现有企业IAM平台与SaaS提供商产品集成;从可用性的角度来看,身份验证策略冲突可能导致混乱和技术困难;以及SaaS提供商缺乏对单点登录(SSO)的支持。加密和密钥管理:这里的问题包括SaaS提供商坚持保持对加密的控制,使他们能够随时访问客户信息,以及将数据存储在公司外部安全性,增加对适当加密管理的依赖。安全监控:这里的问题包括无法从SaaS环境提供对安全事件日志数据的访问,从而降低潜在的安全风险透明度。约翰说:“要克服的挑战之一是确保服务提供商无法操纵日志。”首选的选择是与SaaS提供商建立适当的数字连接,以将日志数据实时馈送到您现有的安全运营中心”John说。“这提高了整体可见性,并支持将本地安全操作功能扩展到云中。3.确保您拥有自己的数据公司还应密切关注提供商的隐私政策或服务条款,以确保不会共享任何个人信息。“虽然这听起来很容易,但在现实中却经常被忽略。”McGladrey说:如果SaaS提供商不承诺不出售你的业务数据或以“市场”的名义出售你如何使用云服务的数据research”,这将是一个危险信号。如果云服务协议没有明确说明,请务必确认提供商不会转售您的数据。4.确保SaaS提供商合规性McGladrey指出,另一个问题是隐私政策是否没有声明遵守特定法规,例如《通用数据保护法规》(GDPR)或?(CCPA),声明不符合要求。McGladrey补充说:“SaaS提供商应该在数据主权和可选本地化方面处于领先地位。”“虽然这对于选择SaaS解决方案的跨国企业尤其重要,但位于单一地理位置的组织也ly遇到类似的合规性问题。5.知道数据存储在哪里从安全、合规和隐私的角度来看,这最终都归结为数据,营销技术提供商Epsilon的首席信息官RobertWalden说。什么样的数据、谁有权访问数据、谁拥有数据、如何保护数据以及在发生安全漏洞时由谁负责都非常重要,”Walden说。解决方案中敏感数据的类型,或谁有权访问它。“此外,许多公司不明白,如果在SaaS解决方案的设置过程中执行标准点击协议,则提供商通常拥有数据的所有权。6.从数据保护的角度检查数据丢失或损坏条款,许多公司没有意识到虽然SaaS协议可能包含灾难恢复条款,但这些条款通常不包括数据丢失或损坏。7.安全团队应参与SaaS采购过程在采购过程中,安全和风险成员团队应该始终与采购团队保持联系,Pinto说。“采购团队应该与安全团队保持一致,并让他们量化流程中的风险。大多数采购团队仍然没有意识到身份和访问管理是一种职业。约翰表示,信息安全团队应出席所有关键讨论,以确保解决与数据安全相关的技术和非技术问题。从列表中消失。8.识别SaaS提供商使用的子服务SaaS提供商可能使用的子服务也是需要讨论的话题。John说:“这些问题需要在签署任何合同之前解决。”“这可能会影响您的组织对数据存储位置的要求。在评估SaaS的安全报告时,John说,”重要的是要确认报告包括合同中的位置和子服务。”“这需要交叉检查合同和适用的安全报告,以确保审计结果具有足够的覆盖范围和可靠性。讨论还应涵盖SaaS提供商确保合规性的方法。“在解决这个问题时,重要的是要了解云提供商的安全服务和功能,例如检测、数据隐私和事件响应报告,以及任何相关活动、合规性。9.SaaS免费试用期间的全面测试SaaS免费试用期间应进行无死角的IT和安全全面测试,包括容量和峰值的压力测试。应该有多个管理员和管理程序用户同时使用该工具并在同一窗口内评估性能。此外,还需要测试并发和多进程活动。“用户应该了解云服务程序在高负载(繁忙的计算或移动信息和创建报告)下的响应速度,”Pinto说。作为内部测试的一部分,John说,“还需要评估将关键安全流程与SaaS提供商的解决方案集成的能力。”成本。10、查看SaaS提供商的第三方安全审计报告John表示,一个非常重要的环节是查看云服务提供商最新的第三方审计报告,包括渗透测试结果,这将确认SaaS的适用性和有效性安全控制《申请国家或国际认可的证书,也可以帮助判断一个云服务商企业级安全控制的成熟度。》【本文为专栏作者“安全牛”原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)求授权】点此查看该作者更多好文
