[[134628]]

在2014年11月，應(yīng)用安全服務(wù)供應(yīng)商Adallom發(fā)布了一份名為“云使用風(fēng)險報告”的研究報告，文中列舉了在過去幾年中Adallom從其用戶那里收集到的云特有風(fēng)險和安全性問題。大量有趣的統(tǒng)計數(shù)據(jù)表明有很多企業(yè)未能正確實施和管理云供應(yīng)商的安全控制措施，其中重災(zāi)區(qū)在軟件即服務(wù)(SaaS)。在該報告中還有一些更為有趣的數(shù)據(jù)：

• 大部分企業(yè)并沒有妥善管理SaaS應(yīng)用的用戶賬戶。在2013年至2014年之間，11%的企業(yè)SaaS賬戶都是“僵尸賬戶”——也就是說這些賬戶目前都沒有與之相關(guān)的正常用戶。此外，Adallom發(fā)現(xiàn)80%的企業(yè)都至少有一個僵尸賬戶未被禁用——通常這個賬戶屬于一個前員工。
• 最小權(quán)限的概念在云中并不適用。Adallom表示在很多賬戶中有很多的管理員，大約一百個賬戶中有7個是管理員。
• 19%的云應(yīng)用用戶在可能的情況下都繞過了身份驗證和訪問管理的控制措施。
• 企業(yè)私有文件中的5%實際上都可以從不同云應(yīng)用環(huán)境公開訪問，這表明企業(yè)缺少在云中實施訪問控制。
• 29%的員工使用他們的個人電子郵件賬戶來分享云應(yīng)用文件。
• 公司的平均共享信息為393個外部域。

這些統(tǒng)計數(shù)據(jù)反映出了很多的問題。首先，這些數(shù)字意味著安全團隊可能在SaaS環(huán)境中并沒有花很大精力用于配置、監(jiān)控和管理數(shù)據(jù)與用戶賬戶的信息。很多安全專家都把精力集中在關(guān)注云供應(yīng)商整體控制能力上，以及那些可以被移植到PaaS和IaaS環(huán)境中的第三方或內(nèi)部工具。他們很多人都在一個或多個方面忽視了SaaS安全性問題。其次，這些數(shù)據(jù)有力地表明，云中亞健康IT的規(guī)模和嚴(yán)重程度都在不斷增加，即在較長時間內(nèi)數(shù)據(jù)與用戶賬戶無人問津或無人管理。

制定一個云應(yīng)用安全性策略

那么，企業(yè)應(yīng)當(dāng)采取哪些措施來應(yīng)對這些SaaS環(huán)境中的安全性問題呢?在開始著手之前，安全團隊需要確定云應(yīng)用安全策略到位，它為特定數(shù)據(jù)類型和敏感層次明確了控制要求。這應(yīng)當(dāng)與云風(fēng)險評估過程緊密結(jié)合起來，后者主要對所提議的項目進行安全控制狀態(tài)評估和候選供應(yīng)商能力評估。除了供應(yīng)商的一般安全狀況以外，對于SaaS環(huán)境還需特別注意其他幾個關(guān)鍵點。

首先，企業(yè)應(yīng)找出供應(yīng)商提供了哪些類型的身份驗證和訪問管理集成方法。例如一家與內(nèi)部LDAP存儲(如Active Directory)進行本地集成、支持針對身份數(shù)據(jù)交換和更新的SAML、以及為身份管理提供大量API的供應(yīng)商將有可能更多地為安全團隊提供更多功能，因為后者隨著時間的推移希望能夠提高對用戶身份的管理能力。

然后，企業(yè)必須確定供應(yīng)商是否支持數(shù)據(jù)生命周期控制，即非活躍用戶賬戶將自動暫?；蛘叨唐谟脩艨梢該碛幸粋€來自于實例的生命周期。

安全團隊還必須找出可用于保護對保存在SaaS環(huán)境中數(shù)據(jù)訪問的加密類型和訪問控制選項。對于加密產(chǎn)品，他們應(yīng)確定密鑰的保存位置及其控制密鑰的責(zé)任人。

此外，對管理控制臺和參數(shù)顯示面板的管理控制也是很關(guān)鍵的。在理想情況下，SaaS供應(yīng)商對控制臺及其功能提供了基于角色的訪問，另外還包括證書、令牌以及集成現(xiàn)有企業(yè)控制與工具的其他方法在內(nèi)的多重訪問控制方法。

***，企業(yè)需要確定是否能夠得到SaaS環(huán)境中所有的活動日志，獲得的頻率以及日志的格式。是否有直接日志可用?如果沒有，是否可以使用API來訪問日志數(shù)據(jù)，或者腳本程序和自動化工具呢?一家企業(yè)獲得的日志和事件數(shù)據(jù)越多，它就能把數(shù)據(jù)與SIEM結(jié)合得越好，日志管理平臺也就能夠分析在SaaS環(huán)境中的用戶行為。

SaaS安全控制的重要性

在過去幾年中，SaaS安全性并沒有像PaaS和IaaS安全性那樣表現(xiàn)得那么重要。但是，隨著越來越多的敏感數(shù)據(jù)被保存在眾多SaaS環(huán)境中，我們無法再容忍開放權(quán)限模式、亞健康賬戶或僵尸賬戶，或者將導(dǎo)致重大安全問題的過度權(quán)限分配。企業(yè)應(yīng)當(dāng)對他們目前正在使用的SaaS環(huán)境重視起來，評估其安全控制措施、用戶當(dāng)前狀態(tài)、以及在SaaS中所保存的數(shù)據(jù)，并為在未來的任何SaaS實施計劃做好準(zhǔn)備。

原文鏈接：http://www.searchcloudcomputing.com.cn/showcontent_89066.htm