RichardA.Spiers是LearningTreeInternational的首席执行官,也是美国国土安全部和美国国税局的前首席信息官。作为前首席信息官,Spiers已经看到云计算的显着优势,通过基础设施即服务(IaaS)和平台即服务(PaaS)交付模型利用按需计算,以及通过使用软件即服务(SaaS)应用程序。特别是,基于SaaS的应用程序越来越成为组织快速轻松地利用新应用程序的方式。这正在推动巨大的增长,美国有超过11,000家SaaS初创公司,IDC预测到2019年基于SaaS的市场将超过1120亿美元。IT组织需要开发一种全面的方法来解决依赖第三方服务所带来的安全挑战。派对计算和应用程序。虽然云计算和SaaS业务模型可以使IT组织降低基础架构成本并提高支持客户的敏捷性,但它们也增加了处理IT安全的复杂性。IT组织不仅放弃了对某些IT基础设施的控制和可见性以利用基于SaaS的应用程序,而且他们还允许第三方存储和控制敏感数据。不久前,IT安全专业人员还致力于保护组织的IT边界;对于当今新的计算和服务模型,必须承认传统边界不再存在,或者如果边界确实存在,这可能包括保护许多第三方云服务和SaaS应用程序提供商。Spiers将SaaS安全视为双重挑战。首先,关于使用第三方IT云服务提供商(包括更传统的外包数据中心服务),组织需要确信这些提供商正在实施应匹配(或至少类似于)的适当安全控制).他们将在他们的数据中心和网络中实施什么。这些控制范围从人员的物理访问到包括身份管理和用于系统管理访问的适当网络加密。许多非营利组织一直致力于为行业标准化这些控制措施。值得注意的是,云安全联盟开发了云控制矩阵(CCM),这是一个专门为云计算设计的安全控制框架。利用云控制矩阵,云安全联盟为云计算服务提供商开发了一个审计、认证和注册程序,称为安全、信任和保证注册(STAR)。在类似的模型中,美国联邦政府开发了FedRAMP程序,云计算服务提供商可以通过这种方法满足NIST800-53安全控制套件定义的三个不同级别的最低安全控制。但是,即使IT安全经理信任底层云服务提供商的控制套件,组织使用SaaS应用程序的情况又如何呢?在这种情况下,敏感数据很可能会由第三方存储和控制,并由组织的客户或合作伙伴使用,以便数据永远不会接触到组织的网络、防火墙或任何其他安全设备或过程由组织控制。作为CIO和CISO,这种情况令人担忧,因为SaaS应用程序对应用程序及其数据的安全性几乎没有可见性和控制力。因此,第二个挑战是如何将组织的安全策略和控制扩展到公共云和SaaS应用程序。这一挑战引起了人们对所谓的云访问安全代理(CASB)的关注,这些产品充当位于本地或云端的安全执行点,逻辑上存在于组织和云服务提供商之间以提供一系列服务.其中包括身份验证和授权、设备配置文件、应用程序白名单、加密、警报、恶意软件检测等。云访问安全代理(CASB)市场中的一些领先供应商包括Bitglass、Forcepoint、Cloudlock/Cisco和SkyhighNetworks。云访问安全代理(CASB)解决方案的使用正在迅速增长。根据Gartner的调查报告,到2020年,85%的大型组织将使用云访问安全代理(CASB)解决方案。到5%。从积极的方面来看,云访问安全代理(CASB)供应商拥有强大的功能,可以填补市场空白。但作为前首席信息官的Spiers对于如何通过不断添加工具然后在内部集成来应对企业IT安全挑战一筹莫展。很少看到这种策略奏效。因此,Spiers支持这样一种观点,即解决企业IT安全挑战的绝佳方法是使用IT安全平台,该平台提供一系列功能以帮助防止(并在必要时)发现企业中的漏洞。在这个市场上,PaloAltoNetworks、Cisco和CheckPointSoftware提供集成平台解决方案。作为平台价值的一个例子,PaloAltoNetworks最近将其平台功能扩展到云计算解决方案和SaaS应用程序中。特别有趣(并且在操作上具有吸引力)的是,Spiers可以为某些类型的数据设置其安全控制(例如,根据数据的敏感性定制控制),而PaloAltoNetworks技术使其能够强制执行这些策略在其平台上,无论数据是驻留在自己的数据中心、外包数据中心还是公共云中的SaaS应用程序。这极大地简化了整个企业的安全策略管理,并提供了高级威胁防护。此外,网络攻击者使用的越来越多的攻击旨在通过基于SaaS的应用程序用恶意软件感染用户,因为攻击者知道大多数组织无法像使用基于内部应用程序的方法那样监控这些SaaS应用程序。.这些平台的一个关键组成部分是能够将威胁检测和预防功能引入IT基础架构和应用程序的各个方面,包括驻留在云中的那些。使用基于SaaS的应用程序正在成为向组织快速交付新功能的首选方法。需求来自业务用户,因此IT组织必须接受并计划持续扩展SaaS的数量和使用。因此,IT组织需要开发一种全面的方法来应对依赖第三方计算和应用程序的安全挑战,即使用户和数据可能永远不会穿越组织的网络或数据中心。
