对于越来越多的企业来说, SaaS已经成为访问重要业务应用程序的主要手段了。从业务的角度来看,这个策略是有意义的,因为它有一些潜在的好处:节省成本、提高敏捷性和更容易的可伸缩性等等。
然而,任何基于云的产品都会有安全风险。一个组织该如何确定其SaaS提供商的安全规定是否符合自己的标准?
“我们面临的挑战是该如何了解SaaS供应商正在采取哪些措施来保护其基础设施、变更管理程序和事件响应流程。”研究公司Gartner的副总裁兼分析师Patrick Hevesi说。
根据Gartner 2019年的一份报告,并非所有SaaS提供商都对其安全性保持透明。报告称,企业需要了解将重要用户数据放到云服务中所承担的风险,以及它们必须对云服务提供商所拥有的信任。
SaaS提供商也很容易受到困扰其他组织的许多相同的恶意软件和黑客攻击。这些威胁可能会影响到使用这些服务的公司。你可以将你的SaaS提供商评估过程集中在以下几个方面以最小化可能面临的风险。
1. 检查SaaS补丁策略
高管们担心的一个问题就是安全补丁。“通常情况下,SaaS提供商在修补方面经常会滞后,特别是如果他们是多租户的,而你的组织正好是众多细分服务客户之一时。”Asurion公司的高级安全经理Bernie Pinto说。Asurion是一家为智能手机、平板电脑和其他产品提供保险的公司。
2. 检查SaaS和内部安全控制的一致性
通信设备公司美国西门子的首席网络安全官Kurt John说,在评估SaaS提供商时,企业需要了解的主要概念是安全控制责任的转变。使用SaaS产品要求安全团队关注其组织的安全环境与SaaS提供者的安全环境之间的接口。“你会希望牢牢掌握供应商的安全特性将如何与你的企业信息安全政策保持一致,”他表示。“任何差距都应该在进程的早期解决。”
John看到了非常重要的三个关键领域:
- 身份和访问管理(IAM):可能存在无法将现有企业IAM平台与SaaS提供商提供的产品集成的问题;身份验证策略冲突,从可用性的角度来看,这可能导致混乱和技术问题;SaaS提供商缺乏对单点登录(SSO)的支持。
- 加密和密钥管理:SaaS提供商会坚持对加密进行控制,允许其随时访问客户信息,并将数据存储在公司安全范围之外,这增加了对充分加密管理的依赖。
- 安全监控:这里的关注点包括无法从SaaS环境中访问安全事件日志数据,这限制了潜在安全风险的透明度。“需要克服的挑战之一是确保日志不会被操纵。”John说。“最好的选择是与SaaS提供商有足够的数字连接,可以将日志数据实时传输到现有的安全运营中心。”John说。“这提升了整体的视角,并允许你将本地的安全运营能力扩展到云端。”
3. 确保拥有你的数据
公司还应密切注意隐私政策或服务承诺条款,供应商需要承诺不共享个人信息。“虽然这听起来很有希望,但也会是一个明显的疏漏。”IT咨询公司Ascent Solutions的网络安全策略师Kayne说。
McGladrey说,如果供应商“没有声明不会出售你的业务数据,或者出售关于你的组织为‘市场研究’或类似目的使用该服务的假名汇总数据”,这就是一个危险信号。如果没有说明,请确认提供商不会转售你的数据。
4. 确保SaaS提供商遵守相关法规
另一个令人担忧的问题是,隐私政策是否没有包含遵守特定法规的声明,如《一般数据保护条例》(GDPR)或是《加州消费者隐私法》(CCPA),McGladrey说。“这些都是公认的,但如果遗漏了则可能表明SaaS提供商没有跟上法律和监管的趋势。”他说。
“SaaS供应商应该在数据主权和可选本地化方面保持领先,”McGladrey补充道。“尽管这对于选择SaaS解决方案的跨国组织来说尤为重要,但那些局限于单一地理区域的组织也可能希望避免尴尬的情况,比如美国人的个人信息被有意地处理和存储在外国数据中心。”
5. 知道数据存储在哪里
营销技术提供商Epsilon的首席信息官Robert Walden表示,从安全、合规和隐私的角度来看,归根结底一切都是与数据有关。Walden说:“了解通过SaaS解决方案存储或传输的数据类型、谁有权访问数据、谁拥有数据、如何保护数据、以及在发生安全漏洞时谁应该负责”,这些都是很重要的。
“许多公司甚至不知道那些不经意间被存储在SaaS解决方案中的敏感数据,也不知道谁有权访问这些数据,”Walden说。“此外,公司往往会不明白,如果在SaaS解决方案的建立过程中执行了标准的点击式协议,那么供应商往往就会拥有数据的所有权。”
6. 检查数据丢失或损坏条款
从数据保护的角度来看,许多公司没有意识到,虽然SaaS协议可能有灾难恢复条款,但这些条款并不包括数据丢失或损坏的情况,Walden说。
7. 在SaaS采购过程中涉及安全性
在采购过程中,安全和风险团队的一名成员应该始终与采购团队保持联系,Pinto说。“采购团队应该与安全团队步调一致,让他们在过程中量化风险。大多数采购团队仍然没有意识到身份和访问管理是一个专业领域。”
信息安全团队应该出席所有关键的讨论,以确保涉及数据安全的非技术主题能够得到解决,John说。“在我们公司,未解决的网络安全问题可能会把供应商排除在外。”
8. 确定SaaS提供商所使用的子服务
要讨论的主题还需要包括SaaS提供者可能使用的子服务组织。“在签订任何合同之前,解决这个问题是至关重要的,”John说。“这可能会对组织的任何数据存储位置要求都产生影响。”
在评估SaaS安全报告时,“务必验证报告范围是否包括了作为合同一部分的位置和子服务,”John说。这需要对合同和适用的安全报告进行交叉检查,以确保审计结果的覆盖范围和可靠性。
讨论还应该涵盖SaaS提供商所提供的确保法规遵从性的方法。“在解决这个问题时,重要的是要了解供应商的哪些特性能够支持法规遵从性和任何的相关活动,比如电子发现、数据隐私和事件响应报告,”John说。
9. 在免费SaaS试用期间进行彻底测试
IT和安全应该在免费SaaS试用期间测试功能,包括最大容量和峰值的使用率。“应该有几个管理员和超级用户同时使用这个工具,并且在同一个窗口中评估性能,”Pinto说。
同时,测试并发和多进程活动。“用户应该认识到程序在忙于计算、移动信息和创建报告时的响应能力,”Pinto说。
作为内部测试的一部分,“还需要评估关键安全流程与SaaS提供商的解决方案集成的能力,”John说。“这将有助于确定可能需要的努力程度和成本预测,以确保解决方案实施后的安全性。”
10. 审核SaaS提供商的第三方审计
重要的是要求和审查供应商最近的第三方审计报告,包括任何可以确认安全控制的适用性和有效性的渗透测试结果,John说。“要求提供国家或国际认证的证据也有助于确定组织企业级控制措施的成熟度。”