对于越来越多的企业来说,软件即服务(SaaS)已经成为使用重要业务应用程序的主要手段。从业务的角度来看,这种策略是可行的,因为它有潜在的好处:节约成本、提高了灵活性和更容易扩展,等等。
然而,任何基于云的产品都有安全风险。一家企业怎样确定其SaaS提供商的安全条款是否达到了自己的标准呢?
Gartner的副总裁兼分析师Patrick Hevesi解释说:“我们面临的挑战是怎样才能全面了解SaaS供应商为保护其基础设施、变更管理程序和事件响应过程所做的工作。”
据Gartner 2019年的一份报告,并非所有SaaS提供商都对其安全能力保持透明。报告称,企业应清楚地知道将重要的用户数据放到云服务中所要承担的风险,而且他们还不得不信任云服务提供商。
SaaS提供商很容易受到同样困扰着所有其他企业的很多恶意软件和黑客的攻击。这些威胁会影响使用这些服务的企业。把对你的SaaS提供商的评估过程集中在以下几个方面能够最大程度地降低这种风险。
1. 检查SaaS补丁策略
高管们担心的一个问题是安全补丁。Asurion公司为智能手机、平板电脑和其他产品提供保险服务,该公司高级安全经理Bernie Pinto指出:“通常情况下,SaaS提供商在提供补丁方面会滞后,特别是如果他们是多租户的,而你的企业只是众多细分服务客户之一。”
2. 检查SaaS与内部安全控制的一致性
通信设备公司西门子美国(Siemens USA)的首席网络安全官Kurt John认为,在评估SaaS提供商时,企业应了解的主要概念是安全控制职责的转变。使用SaaS产品要求安全部门把重点放在企业安全环境和SaaS提供商安全环境之间的接口上。他说:“一定要牢牢把握住提供商的安全功能与企业的信息安全策略是否保持一致。务必在流程的早期就处理好任何差距问题。”
John认为有3个关键领域对控制的一致性非常重要:
(1) 身份和访问管理(IAM)
问题可能包括无法将现有的企业IAM平台与SaaS提供商的产品集成;相互冲突的身份验证策略,从可用性角度来看,可能会导致混淆和技术问题;SaaS提供商不支持单点登录(SSO)。
(2) 加密和密钥管理
这方面的问题包括SaaS提供商坚持要保持对加密的控制,允许它随时访问客户的信息,数据被存储在企业安全边界之外,这导致不得不采取相应的加密管理措施。
(3) 安全监视
这方面的问题包括不支持对SaaS环境下安全事件日志数据的访问,对可能出现的安全风险不够透明。John说:“要克服的挑战之一是确保日志不被操控。首选方案是与SaaS提供商建立足够的数字连接,以便将日志数据实时传送到企业现有的安全运营中心。这有利于从宏观上进行把握,允许企业将本地安全操作功能扩展到云中。”
3. 确保企业拥有自己的数据
企业还应详细查看提供商承诺的隐私政策或者服务条款,确保他们不会共享个人信息。IT咨询公司Ascent Solutions的网络安全策略师Kayne McGladrey说:“尽管这听起来是能做到的,但很容易被疏忽掉。”
McGradrey指出,如果SaaS供应商合同中“没有明确写明不会出售企业的业务数据,也不会出售将服务所得数据用于‘市场研究’或者类似目的的匿名汇总数据的条款”,那么这就是一个危险信号。如果合同中没有说明,请务必确认提供商不会转售你的企业数据。
4. 确保SaaS提供商遵守相关法规
McGladrey说,另一个令人担忧的问题是,隐私政策会不会没有包括遵守具体法规的声明,例如通用数据保护条例(GDPR)和加州消费者隐私法(CCPA)等。他说:“这些都是公认的,如果被遗漏了,可能表明SaaS提供商没有跟上法律和监管的趋势。”
McGladrey补充道:“SaaS供应商应该在数据主权和可选本地化方面持坦率态度。虽然这对于跨国公司选择SaaS解决方案特别重要,但那些受单一地理区域限制的企业则希望避免出现尴尬的情况,例如,美国人的个人信息被有意处理并存储在国外的数据中心。”
5. 知道数据存储在哪里
营销技术提供商Epsilon公司的首席信息官Robert Walden表示,从安全、合规和隐私的角度来看,归根结底一切都与数据有关。Walden说:“知晓通过SaaS解决方案存储和传输的数据类型、谁有权访问数据、谁拥有数据、怎样保护数据,以及在安全泄露事件发生时谁应承担责任等等,这些都非常重要。”
Walden说:“很多企业甚至都不知道无意中存储在SaaS解决方案中的敏感数据类型,也不知道谁有权访问这些数据。此外,企业通常不知道,如果在SaaS解决方案的建立过程中执行了标准的点击通过协议,则该提供商通常对数据拥有所有权。”
6. 检查数据丢失或者损坏条款
Walden说,从数据保护的角度来看,很多企业没有意识到,虽然SaaS协议可能有灾难恢复条款,但这些条款并未涵盖数据丢失或者损坏的问题。
7. 在SaaS采购过程中涉及的安全
Pinto说,在采购过程中,安全和风险部门的成员应该一直与采购部门保持联系。“采购部门应与安全部门步调一致,并让他们参与过程中的风险量化工作。大多数采购部门仍然没有意识到身份和访问管理是一个专业领域。”
John说,信息安全部门应参与所有关键讨论,以确保能够解决涉及数据安全的非技术性问题。“在我们的部门中,如果出现未解决的网络安全问题,那么提供商就会出局。”
8. 确定SaaS提供商使用的子服务
谈判的主题包括SaaS提供商可能使用的企业子服务。John说:“在签署任何合同之前,解决这一问题至关重要。这可能会影响企业提出的任何数据存储位置要求。”
John说,在评估SaaS安全报告时,“验证报告范围是否包括作为合同一部分的位置和子服务是很重要的。这需要对合同和适用的安全报告进行交叉检查,以确保审计结果的充分覆盖和可靠性。”
谈判还应涵盖SaaS提供商确保合规的方法。John说:“在解决这一问题时,应了解提供商的哪些功能支持合规和任何相关活动,例如电子发现、数据隐私和事件响应报告等,这一点很重要。”
9. 在免费SaaS试用期间进行彻底测试
IT和安全部门应在免费SaaS试用期间测试功能,包括最大容量和峰值使用量等。Pinto说:“应该有几个管理员和超级用户同时使用该工具,在同一窗口内评估性能。”
同时,测试并发和多进程活动。Pinto说:“当程序忙于计算、移动信息和创建报告时,用户应该知道程序的响应能力如何。”
作为内部测试的一部分,John说:“评估能否将企业的关键安全流程与SaaS提供商的解决方案集成在一起。这将有助于确定可能需要的工作量和成本预测,以确保解决方案实施后足够安全。”
10. 检查SaaS提供商的第三方审计
John说,要求提供商提供最新的第三方审计报告并进行检查,包括任何渗透测试结果,以确认安全控制的适用性和有效性,这是非常重要的。“要求提供国家或者国际认证的证据也有助于确定企业级控制措施的成熟度。”