文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

评估SaaS服务商安全性的十个要点

2024-12-11 21:29

关注

但是,任何基于云的产品都存在安全风险。企业如何才能确定其SaaS提供商的安全性是否符合其自身的需求和标准?

Gartner副总裁兼分析师Patrick Hevesi说:“我们面临的挑战是需要了解SaaS供应商是如何保护其基础架构、变更管理和事件响应流程的。”

[[330292]]

根据Gartner2019年的报告,并非所有SaaS提供商的安全性都是透明的。报告说,企业必须对两种风险有充分认识:一种是将重要的用户数据放入云服务的风险,另一种是充分信任云服务商的风险。

与任何企业一样,SaaS提供商也容易遭受许多相同的恶意软件和黑客攻击,一旦云服务遭受攻击,往往会城门失火殃及池鱼,云服务用户也会受到影响。因此,我们建议计划使用云服务的企业,对云服务商进行必要的安全评估,降低业务风险,以下是网络安全专业人士对于评估SaaS供应商的十个建议:

1. 查看SaaS的漏洞管理/修补策略

高管经常关注的一个问题是安全补丁。“通常,SaaS提供商会打补丁,尤其是多租户服务。”Asurion的安全高级经理Bernie Pinto说。一家云服务商的漏洞管理效率、成熟度模型、工具、落地措施以及与其他安全工具和流程,例如威胁情报和UEBA等的集成,都能体现一家云服务商的漏洞管理水平。企业也可以使用平衡记分卡给云服务商的漏洞管理服务打分。(参考:《2020高效漏洞管理现状与趋势报告》)

2. 检查SaaS与内部安全控制的一致性

通信设备公司西门子美国公司首席网络安全官库尔特·约翰(Kurt John)说,在评估SaaS提供商时,公司需要了解的主要概念是安全控制职责的转变。使用SaaS产品要求安全团队专注于其组织的安全环境与SaaS提供商的安全环境之间的接口。他说:“您将应当确保提供商的安全功能如何与您的公司信息安全策略保持一致。”“任何差距都应在此过程中尽早解决。”John认为“控制对齐”有三个关键领域:

3. 确保您拥有数据

公司还应密切注意提供商的隐私政策或服务条款,以确保不会共享个人信息。IT咨询公司Ascent Solutions的网络安全策略师Kayne McGladrey说:“尽管这听起来理所当然,但现实中往往会被遗漏。”

McGladrey说:如果SaaS供应商未承诺不会出售您的业务数据或以“市场研究”的名义出售您如何使用云服务的数据,这将是一个危险信号。如果云服务协议没有明确说明,请务必确认提供商不会转售您的数据。

4. 确保SaaS提供商的合规性

McGladrey指出,另一个令人担忧的问题是,如果隐私政策中没有声明遵守特定法规,例如《通用数据保护法规》(GDPR)或《加州消费者隐私法案》(CCPA),则该声明不符合要求。他说:“缺乏必要的合规性,可能表明SaaS提供商没有跟上法律和监管的步伐。”

McGladrey补充说:“ SaaS供应商应该在数据主权和可选本地化方面领先。”“尽管这对于选择SaaS解决方案的跨国企业特别重要,但是单一地理位置的组织也很有肯能会碰到类似的合规问题。”

5. 知道数据存储在哪里

营销技术提供商Epsilon的CIO Robert Walden表示,从安全性,合规性和隐私性的角度来看,这最终都取决于数据。“了解通过SaaS解决方案存储或传输什么样的数据,谁有权访问数据,谁拥有数据,如何保护数据以及在发生安全漏洞时谁应负责都非常重要”,Walden说道。

Walden说:“许多公司甚至都不知道无意中存储在SaaS解决方案中的敏感数据的类型,或者谁可以访问这些敏感数据。”“此外,很多公司不了解,如果在设置SaaS解决方案期间执行了标准的点击(click-through)协议,则该提供商通常对数据拥有所有权。”

6. 检查数据丢失或损坏的规定

从数据保护的角度来看,许多公司没有意识到,尽管SaaS协议可能包含灾难恢复条款,但这些条款往往并未涵盖数据丢失或损坏的问题。

7. 安全团队应当参与SaaS采购过程

Pinto说,在采购过程中,安全和风险团队的成员应始终与采购团队联系。“采购团队应与安全团队保持一致,并让他们量化流程中的风险。大多数采购团队仍然没有意识到身份和访问管理是一门专业。”

John说,信息安全团队应出席所有关键讨论,以确保解决涵盖与数据安全有关的技术或非技术性问题。“对于我们来说,如果云服务商无法及时解决网络安全问题,将从我们的候选名单上消失。”

8. 识别SaaS提供商使用的子服务

SaaS提供商可能使用的子服务也是需要讨论的话题。John说:“这些问题需要在签订任何合同之前解决。”“这可能会影响您的组织对数据存储位置的要求。”

约翰说,在评估SaaS的安全报告时,“重要的是确认报告范围包括合同中的位置和子服务。”“这需要对合同和适用的安全报告进行交叉检查,以确保审计结果具有足够的覆盖范围和可靠性。”

讨论还应涵盖SaaS提供商确保合规的方法。John说:“在解决这个问题时,重要的是要了解云服务商的安全服务和功能,例如检测、数据隐私和事件响应报告,以及任何相关活动,是否合规。”

9. 在SaaS免费试用期间进行彻底测试

应在免费的SaaS试用期间进行无死角的IT和安全性的全面测试,包括容量和峰值的压力测试。Pinto说:“应该有多个管理员和超级用户同时使用该工具,并在同一窗口内评估性能。”

另外,需要测试并发和多进程活动。Pinto说:“用户应该了解云服务程序在高负载(忙于计算或移动信息并创建报告)时的响应速度。”

John说,作为内部测试的一部分,“还需要评估关键安全流程与SaaS提供商的解决方案集成的能力”。“这将有助于确定在解决方案实施后,安全性方面需要投入的资源和成本。”

10. 审查SaaS提供商的第三方安全审计报告

John说,很重要的一个环节是查看云服务商的最新第三方审计报告,包括渗透测试结果,这些结果将确认安全控制的适用性和有效性。“索取国家或国际认证的证书也有助于确定云服务商的企业级安全控制的成熟度。”

【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文   

 

来源:51CTO专栏内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯