云计算和SaaS安全需要一个综合方法

曾任美国国土安全部和美国国税局首席信息官，现任LearningTreeInternational首席执行官的RichardA.Spires分析和分析了云计算技术和SaaS安全性。精心制作的。他说，采用云计算有很多好处，从通过基础设施即服务(IaaS)和平台即服务(PaaS)交付模型的按需计算，到使用软件即服务-服务(SaaS)应用程序。特别是，基于SaaS的应用程序正日益成为企业快速轻松地采用新应用程序的一种方式。这推动了巨大的市场增长，现在有超过11,000家SaaS初创公司在美国上市。据研究机构IDC分析，到2019年，全球基于SaaS的市场规模将超过1120亿美元。IT组织需要开发一种全面的方法来解决因依赖第三方计算和应用程序而带来的安全挑战。虽然云计算和SaaS业务模型可以让IT组织降低基础架构成本并提高支持客户的敏捷性，但它也增加了解决IT安全的复杂性。IT组织不仅在某种程度上放弃了对IT基础设施的控制和可见性，在某种程度上使用基于SaaS的应用程序，而且他们还允许第三方存储和控制敏感数据。不久前，IT安全专业人员还在致力于保护组织的IT边界。随着新的计算和服务模式的出现，人们不得不承认传统的外围设备已不复存在。A.Spires认为SaaS安全是双重挑战。首先，对于第三方云计算服务提供商（包括更传统的外包数据中心服务）的使用，组织需要相信这些提供商正在实施适当的安全控制，这应该与他们相同（或至少相似）将匹配在其自己的数据中心和网络中实施的内容。这些控制范围从人员的物理访问到身份管理，包括系统管理访问和适当的网络加密。几个非营利组织一直在努力使这个行业的控制标准化。值得注意的是，云安全联盟（CSA）开发了云计算控制矩阵（CCM），这是一个专门为云计算设计的安全控制框架。使用云计算控制矩阵(CCM)，云安全联盟(CSA)为云计算服务提供商开发了一个审计、认证和注册程序，称为安全、信任和保证注册(STAR)。美国联邦政府也开发了一个类似的模型FedRAMP，这是一种云计算服务提供商满足NIST800-53安全控制套件定义的三个不同级别的最低安全控制的方法。但是，即使IT安全主管对底层云服务提供商的控制套件充满信心，使用SaaS应用程序的组织又如何呢？在这种情况下，敏感数据可能会由第三方存储和控制，并由组织的客户或合作伙伴使用，以便数据永远不会接触到组织的网络、防火墙或任何其他安全设备或过程控制。这种情况令首席信息官或首席信息安全官(CISO)感到担忧，因为SaaS应用程序对应用程序及其数据的安全性几乎没有可见性和控制力。因此，第二个挑战是如何将组织的安全策略和控制扩展到公共云和SaaS应用程序。这一挑战催生了所谓的云访问安全代理(CASB)，这些产品充当位于本地或云端的安全执行点，逻辑上存在于组织和云服务提供商之间以提供一系列服务包括身份验证和授权、设备配置文件、应用程序白名单、加密、警报、恶意软件检测等。CASB市场中一些行业领先的供应商包括Bitglass、Forcepoint、Cloudlock/Cisco和SkyhighNetworks。CASB解决方案的使用正在迅速增长。根据研究公司Gartner的调查报告，到2020年，85%的大型组织将使用CASB解决方案，而2015年这一比例还不到5%。从积极的方面来看，CASB供应商拥有强大的能力，正在填补市场空白.但A.Spiers表示，他对如何通过继续添加工具然后在内部集成来应对企业IT安全挑战感到困惑。他很少看到这种策略执行得很好。这支持这样一种观点，即应对企业IT安全挑战的最佳方法是使用IT安全平台，该平台提供一系列功能来帮助组织发现漏洞。在这个市场上，PaloAltoNetworks、Cisco和CheckPointSoftware提供集成平台解决方案。作为平台价值的一个例子，PaloAltoNetworks最近将其平台功能扩展到云计算解决方案和SaaS应用程序。特别有吸引力（和操作上有吸引力）的是，组织可以为一类数据设置安全控制（例如，根据数据的敏感性定制控制），PaloAltoNetworks的技术使用户能够跨平台实施这些策略。它的数据是驻留在用户自己的数据中心、外包的数据中心，还是公有云中的SaaS应用。这大大简化了组织中安全策略的管理，并提供了高级威胁防护。此外，网络攻击者使用的越来越多的漏洞之一旨在通过基于SaaS的应用程序用恶意软件感染用户，因为网络攻击者知道大多数组织无法像使用基于内部应用程序的方法那样监控这些。SaaS应用程序。这些平台的关键组件包括将威胁检测和预防功能引入IT基础架构和应用程序的各个方面的能力，包括驻留在云中的那些。使用基于SaaS的应用程序正在成为组织快速交付新功能的首选方法。它的需求来自业务用户，因此IT组织必须接受并计划SaaS的数量和使用量的持续扩展。因此，IT组织需要开发一种全面的方法来应对依赖第三方计算和应用程序的安全挑战，即使用户数据不会在组织的网络或数据中心进行处理或存储。