评估SaaS服务商安全性的几个重点
发布时间:2022-07-22 09:38:38 所属栏目:安全 来源:互联网
导读:根据Gartner2019年的报告,并非所有SaaS提供商的安全性都是透明的。报告说,企业必须对两种风险有充分认识:一种是将重要的用户数据放入云服务的风险,另一种是充分信任云服务商的风险。 与任何企业一样,SaaS提供商也容易遭受许多相同的恶意软件和黑客攻击
|
根据Gartner2019年的报告,并非所有SaaS提供商的安全性都是透明的。报告说,企业必须对两种风险有充分认识:一种是将重要的用户数据放入云服务的风险,另一种是充分信任云服务商的风险。 与任何企业一样,SaaS提供商也容易遭受许多相同的恶意软件和黑客攻击,一旦云服务遭受攻击,往往会城门失火殃及池鱼,云服务用户也会受到影响。因此,我们建议计划使用云服务的企业,对云服务商进行必要的安全评估,降低业务风险,以下是网络安全专业人士对于评估SaaS供应商的十个建议: 1. 查看SaaS的漏洞管理/修补策略 高管经常关注的一个问题是安全补丁。“通常,SaaS提供商会打补丁,尤其是多租户服务。”Asurion的安全高级经理Bernie Pinto说。一家云服务商的漏洞管理效率、成熟度模型、工具、落地措施以及与其他安全工具和流程,例如威胁情报和UEBA等的集成,都能体现一家云服务商的漏洞管理水平。企业也可以使用平衡记分卡给云服务商的漏洞管理服务打分。(参考:《2020高效漏洞管理现状与趋势报告》) 2. 检查SaaS与内部安全控制的一致性 通信设备公司西门子美国公司首席网络安全官库尔特·约翰(Kurt John)说,在评估SaaS提供商时,公司需要了解的主要概念是安全控制职责的转变。使用SaaS产品要求安全团队专注于其组织的安全环境与SaaS提供商的安全环境之间的接口。他说:“您将应当确保提供商的安全功能如何与您的公司信息安全策略保持一致。”“任何差距都应在此过程中尽早解决。”John认为“控制对齐”有三个关键领域: 身份和访问管理(IAM):问题可能包括无法将现有企业IAM平台与SaaS提供商的产品集成在一起;认证策略冲突,从可用性的角度来看,这可能导致混乱和技术难题;以及SaaS提供商缺乏对单点登录(SSO)的支持。 加密和密钥管理:这里的问题包括SaaS提供商坚持保持对加密的控制,使其可以随时访问客户的信息,以及将数据存储在公司安全范围之外,从而增加了对适当加密管理的依赖。 安全监控:这里的问题包括无法从SaaS环境提供对安全事件日志数据的访问,从而降低了潜在安全风险的透明性。John说:“要克服的挑战之一是确保服务商无法操纵日志。”约翰说:“首选的选择是与SaaS提供商建立适当的数字连接,以便将日志数据实时馈送到您现有的安全运营中心。”“这可以提升整体视野,并支持将本地安全运营功能扩展到云中。” 3. 确保您拥有数据 公司还应密切注意提供商的隐私政策或服务条款,以确保不会共享个人信息。IT咨询公司Ascent Solutions的网络安全策略师Kayne McGladrey说:“尽管这听起来理所当然,但现实中往往会被遗漏。” McGladrey说:如果SaaS供应商未承诺不会出售您的业务数据或以“市场研究”的名义出售您如何使用云服务的数据,这将是一个危险信号。如果云服务协议没有明确说明,请务必确认提供商不会转售您的数据。 4. 安全团队应当参与SaaS采购过程 Pinto说,在采购过程中,安全和风险团队的成员应始终与采购团队联系。“采购团队应与安全团队保持一致,并让他们量化流程中的风险。大多数采购团队仍然没有意识到身份和访问管理是一门专业。” John说,信息安全团队应出席所有关键讨论,以确保解决涵盖与数据安全有关的技术或非技术性问题。“对于我们来说,如果云服务商无法及时解决网络安全问题,将从我们的候选名单上消失。” (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号