對(duì)于越來(lái)越多的企業(yè)來(lái)說(shuō)，軟件即服務(wù)(SaaS)已經(jīng)成為使用重要業(yè)務(wù)應(yīng)用程序的主要手段。從業(yè)務(wù)的角度來(lái)看，這種策略是可行的，因?yàn)樗袧撛诘暮锰帲汗?jié)約成本、提高了靈活性和更容易擴(kuò)展，等等。

然而，任何基于云的產(chǎn)品都有安全風(fēng)險(xiǎn)。一家企業(yè)怎樣確定其SaaS提供商的安全條款是否達(dá)到了自己的標(biāo)準(zhǔn)呢?

[[339219]]

Gartner的副總裁兼分析師Patrick Hevesi解釋說(shuō)：“我們面臨的挑戰(zhàn)是怎樣才能全面了解SaaS供應(yīng)商為保護(hù)其基礎(chǔ)設(shè)施、變更管理程序和事件響應(yīng)過(guò)程所做的工作。”

據(jù)Gartner 2019年的一份報(bào)告，并非所有SaaS提供商都對(duì)其安全能力保持透明。報(bào)告稱，企業(yè)應(yīng)清楚地知道將重要的用戶數(shù)據(jù)放到云服務(wù)中所要承擔(dān)的風(fēng)險(xiǎn)，而且他們還不得不信任云服務(wù)提供商。

SaaS提供商很容易受到同樣困擾著所有其他企業(yè)的很多惡意軟件和黑客的攻擊。這些威脅會(huì)影響使用這些服務(wù)的企業(yè)。把對(duì)你的SaaS提供商的評(píng)估過(guò)程集中在以下幾個(gè)方面能夠最大程度地降低這種風(fēng)險(xiǎn)。

1. 檢查SaaS補(bǔ)丁策略

高管們擔(dān)心的一個(gè)問(wèn)題是安全補(bǔ)丁。Asurion公司為智能手機(jī)、平板電腦和其他產(chǎn)品提供保險(xiǎn)服務(wù)，該公司高級(jí)安全經(jīng)理Bernie Pinto指出：“通常情況下，SaaS提供商在提供補(bǔ)丁方面會(huì)滯后，特別是如果他們是多租戶的，而你的企業(yè)只是眾多細(xì)分服務(wù)客戶之一。”

2. 檢查SaaS與內(nèi)部安全控制的一致性

通信設(shè)備公司西門子美國(guó)(Siemens USA)的首席網(wǎng)絡(luò)安全官Kurt John認(rèn)為，在評(píng)估SaaS提供商時(shí)，企業(yè)應(yīng)了解的主要概念是安全控制職責(zé)的轉(zhuǎn)變。使用SaaS產(chǎn)品要求安全部門把重點(diǎn)放在企業(yè)安全環(huán)境和SaaS提供商安全環(huán)境之間的接口上。他說(shuō)：“一定要牢牢把握住提供商的安全功能與企業(yè)的信息安全策略是否保持一致。務(wù)必在流程的早期就處理好任何差距問(wèn)題。”

John認(rèn)為有3個(gè)關(guān)鍵領(lǐng)域?qū)刂频囊恢滦苑浅Ｖ匾?/p>

(1) 身份和訪問(wèn)管理(IAM)

問(wèn)題可能包括無(wú)法將現(xiàn)有的企業(yè)IAM平臺(tái)與SaaS提供商的產(chǎn)品集成;相互沖突的身份驗(yàn)證策略，從可用性角度來(lái)看，可能會(huì)導(dǎo)致混淆和技術(shù)問(wèn)題;SaaS提供商不支持單點(diǎn)登錄(SSO)。

(2) 加密和密鑰管理

這方面的問(wèn)題包括SaaS提供商堅(jiān)持要保持對(duì)加密的控制，允許它隨時(shí)訪問(wèn)客戶的信息，數(shù)據(jù)被存儲(chǔ)在企業(yè)安全邊界之外，這導(dǎo)致不得不采取相應(yīng)的加密管理措施。

(3) 安全監(jiān)視

這方面的問(wèn)題包括不支持對(duì)SaaS環(huán)境下安全事件日志數(shù)據(jù)的訪問(wèn)，對(duì)可能出現(xiàn)的安全風(fēng)險(xiǎn)不夠透明。John說(shuō)：“要克服的挑戰(zhàn)之一是確保日志不被操控。首選方案是與SaaS提供商建立足夠的數(shù)字連接，以便將日志數(shù)據(jù)實(shí)時(shí)傳送到企業(yè)現(xiàn)有的安全運(yùn)營(yíng)中心。這有利于從宏觀上進(jìn)行把握，允許企業(yè)將本地安全操作功能擴(kuò)展到云中。”

3. 確保企業(yè)擁有自己的數(shù)據(jù)

企業(yè)還應(yīng)詳細(xì)查看提供商承諾的隱私政策或者服務(wù)條款，確保他們不會(huì)共享個(gè)人信息。IT咨詢公司Ascent Solutions的網(wǎng)絡(luò)安全策略師Kayne McGladrey說(shuō)：“盡管這聽(tīng)起來(lái)是能做到的，但很容易被疏忽掉。”

McGradrey指出，如果SaaS供應(yīng)商合同中“沒(méi)有明確寫明不會(huì)出售企業(yè)的業(yè)務(wù)數(shù)據(jù)，也不會(huì)出售將服務(wù)所得數(shù)據(jù)用于‘市場(chǎng)研究’或者類似目的的匿名匯總數(shù)據(jù)的條款”，那么這就是一個(gè)危險(xiǎn)信號(hào)。如果合同中沒(méi)有說(shuō)明，請(qǐng)務(wù)必確認(rèn)提供商不會(huì)轉(zhuǎn)售你的企業(yè)數(shù)據(jù)。

4. 確保SaaS提供商遵守相關(guān)法規(guī)

McGladrey說(shuō)，另一個(gè)令人擔(dān)憂的問(wèn)題是，隱私政策會(huì)不會(huì)沒(méi)有包括遵守具體法規(guī)的聲明，例如通用數(shù)據(jù)保護(hù)條例(GDPR)和加州消費(fèi)者隱私法(CCPA)等。他說(shuō)：“這些都是公認(rèn)的，如果被遺漏了，可能表明SaaS提供商沒(méi)有跟上法律和監(jiān)管的趨勢(shì)。”

McGladrey補(bǔ)充道：“SaaS供應(yīng)商應(yīng)該在數(shù)據(jù)主權(quán)和可選本地化方面持坦率態(tài)度。雖然這對(duì)于跨國(guó)公司選擇SaaS解決方案特別重要，但那些受單一地理區(qū)域限制的企業(yè)則希望避免出現(xiàn)尷尬的情況，例如，美國(guó)人的個(gè)人信息被有意處理并存儲(chǔ)在國(guó)外的數(shù)據(jù)中心。”

5. 知道數(shù)據(jù)存儲(chǔ)在哪里

營(yíng)銷技術(shù)提供商Epsilon公司的首席信息官Robert Walden表示，從安全、合規(guī)和隱私的角度來(lái)看，歸根結(jié)底一切都與數(shù)據(jù)有關(guān)。Walden說(shuō)：“知曉通過(guò)SaaS解決方案存儲(chǔ)和傳輸?shù)臄?shù)據(jù)類型、誰(shuí)有權(quán)訪問(wèn)數(shù)據(jù)、誰(shuí)擁有數(shù)據(jù)、怎樣保護(hù)數(shù)據(jù)，以及在安全泄露事件發(fā)生時(shí)誰(shuí)應(yīng)承擔(dān)責(zé)任等等，這些都非常重要。”

Walden說(shuō)：“很多企業(yè)甚至都不知道無(wú)意中存儲(chǔ)在SaaS解決方案中的敏感數(shù)據(jù)類型，也不知道誰(shuí)有權(quán)訪問(wèn)這些數(shù)據(jù)。此外，企業(yè)通常不知道，如果在SaaS解決方案的建立過(guò)程中執(zhí)行了標(biāo)準(zhǔn)的點(diǎn)擊通過(guò)協(xié)議，則該提供商通常對(duì)數(shù)據(jù)擁有所有權(quán)。”

6. 檢查數(shù)據(jù)丟失或者損壞條款

Walden說(shuō)，從數(shù)據(jù)保護(hù)的角度來(lái)看，很多企業(yè)沒(méi)有意識(shí)到，雖然SaaS協(xié)議可能有災(zāi)難恢復(fù)條款，但這些條款并未涵蓋數(shù)據(jù)丟失或者損壞的問(wèn)題。

7. 在SaaS采購(gòu)過(guò)程中涉及的安全

Pinto說(shuō)，在采購(gòu)過(guò)程中，安全和風(fēng)險(xiǎn)部門的成員應(yīng)該一直與采購(gòu)部門保持聯(lián)系。“采購(gòu)部門應(yīng)與安全部門步調(diào)一致，并讓他們參與過(guò)程中的風(fēng)險(xiǎn)量化工作。大多數(shù)采購(gòu)部門仍然沒(méi)有意識(shí)到身份和訪問(wèn)管理是一個(gè)專業(yè)領(lǐng)域。”

John說(shuō)，信息安全部門應(yīng)參與所有關(guān)鍵討論，以確保能夠解決涉及數(shù)據(jù)安全的非技術(shù)性問(wèn)題。“在我們的部門中，如果出現(xiàn)未解決的網(wǎng)絡(luò)安全問(wèn)題，那么提供商就會(huì)出局。”

8. 確定SaaS提供商使用的子服務(wù)

談判的主題包括SaaS提供商可能使用的企業(yè)子服務(wù)。John說(shuō)：“在簽署任何合同之前，解決這一問(wèn)題至關(guān)重要。這可能會(huì)影響企業(yè)提出的任何數(shù)據(jù)存儲(chǔ)位置要求。”

John說(shuō)，在評(píng)估SaaS安全報(bào)告時(shí)，“驗(yàn)證報(bào)告范圍是否包括作為合同一部分的位置和子服務(wù)是很重要的。這需要對(duì)合同和適用的安全報(bào)告進(jìn)行交叉檢查，以確保審計(jì)結(jié)果的充分覆蓋和可靠性。”

談判還應(yīng)涵蓋SaaS提供商確保合規(guī)的方法。John說(shuō)：“在解決這一問(wèn)題時(shí)，應(yīng)了解提供商的哪些功能支持合規(guī)和任何相關(guān)活動(dòng)，例如電子發(fā)現(xiàn)、數(shù)據(jù)隱私和事件響應(yīng)報(bào)告等，這一點(diǎn)很重要。”

9. 在免費(fèi)SaaS試用期間進(jìn)行徹底測(cè)試

IT和安全部門應(yīng)在免費(fèi)SaaS試用期間測(cè)試功能，包括最大容量和峰值使用量等。Pinto說(shuō)：“應(yīng)該有幾個(gè)管理員和超級(jí)用戶同時(shí)使用該工具，在同一窗口內(nèi)評(píng)估性能。”

同時(shí)，測(cè)試并發(fā)和多進(jìn)程活動(dòng)。Pinto說(shuō)：“當(dāng)程序忙于計(jì)算、移動(dòng)信息和創(chuàng)建報(bào)告時(shí)，用戶應(yīng)該知道程序的響應(yīng)能力如何。”

作為內(nèi)部測(cè)試的一部分，John說(shuō)：“評(píng)估能否將企業(yè)的關(guān)鍵安全流程與SaaS提供商的解決方案集成在一起。這將有助于確定可能需要的工作量和成本預(yù)測(cè)，以確保解決方案實(shí)施后足夠安全。”

10. 檢查SaaS提供商的第三方審計(jì)

John說(shuō)，要求提供商提供最新的第三方審計(jì)報(bào)告并進(jìn)行檢查，包括任何滲透測(cè)試結(jié)果，以確認(rèn)安全控制的適用性和有效性，這是非常重要的。“要求提供國(guó)家或者國(guó)際認(rèn)證的證據(jù)也有助于確定企業(yè)級(jí)控制措施的成熟度。”