首席信息安全官們的SaaS安全標準清單

【編者按】企業(yè)將業(yè)務遷移到云端，不可避免的涉及到安全問題，尤其是斯諾登事件以及OpenSSL出現(xiàn)“Heartbleed”安全漏洞之后，SaaS供應商要贏取客戶的信任，必須提高安全標準。作為企業(yè)的安全主管，首席信息安全官的責任更為重大，他除了管理企業(yè)的安全外，還要參與到企業(yè)業(yè)務的其他環(huán)節(jié)。作者列舉了SaaS的一些安全標準和措施，包括數(shù)據(jù)安全、數(shù)據(jù)局部性、網(wǎng)絡安全等多方面。本文來自DZone。

免費訂閱“CSDN大數(shù)據(jù)”微信公眾號，實時了解最新的大數(shù)據(jù)進展！

CSDN大數(shù)據(jù)，專注大數(shù)據(jù)資訊、技術(shù)和經(jīng)驗的分享和討論，提供Hadoop、Spark、Imapala、Storm、HBase、MongoDB、Solr、機器學習、智能算法等相關(guān)大數(shù)據(jù)觀點，大數(shù)據(jù)技術(shù)，大數(shù)據(jù)平臺，大數(shù)據(jù)實踐，大數(shù)據(jù)產(chǎn)業(yè)資訊等服務。

在SaaS提供商提高安全標準（對客戶可見并可控）之前，用戶仍然需要控制潛在的合規(guī)風險。顯然，將業(yè)務應用移出企業(yè)，安全是最大的問題。

看不到用戶活動、沒有監(jiān)控和限制訪問控制，SaaS對首席信息安全官（CISO）來說很嚴峻，特別是合規(guī)責任。為了減少安全問題，安全團隊（特別是企業(yè)）必須做很多工作，包括：

• 積極參與采購，采取積極主動的態(tài)度并審核所有SaaS關(guān)系。
• 充分意識到數(shù)據(jù)合規(guī)問題，它圍繞著每個SaaS應用。
• 拒絕不能提供足夠可見度、活動監(jiān)控或訪問控制的供應商。

SaaS安全標準清單

SaaS還在起步階段且發(fā)展迅速，提供商各不相同。因此，如果用戶想評估第三方SaaS提供商的安全漏洞或能力，必須問對問題。例如：

不同的訪問控制是如何形成顆粒狀的？

顯然，針對數(shù)據(jù)泄露，IT當前最大的問題是惡意或無意的誤用用戶憑據(jù)，特別是登錄信息。因此，有效的數(shù)據(jù)保護需要了解用戶活動，同樣包括管理的變化。

什么指標可用于報告？

考慮下是否可以創(chuàng)建同時讓首席信息主管、審計師以及董事會滿意的報告呢？企業(yè)數(shù)據(jù)安全能否滿足監(jiān)管要求呢？它應該可以。

• 問問自己，這樣獲取的數(shù)據(jù)能否方便的集成到內(nèi)部監(jiān)控工具以防止數(shù)據(jù)豎井。為了確保萬無一失，必須同時監(jiān)控企業(yè)內(nèi)部和SaaS應用（從一個集中的管理面板）。

最后，必須了解SaaS應用的業(yè)務，特別是涉及數(shù)據(jù)的。另外，必須知道應用是否處理客戶的機密信息。這時就可以執(zhí)行相關(guān)的合規(guī)清查。

SaaS安全問題

SaaS提供商需要保證用戶不能查看彼此的數(shù)據(jù)。以下是SaaS的一些安全標準和措施：數(shù)據(jù)安全、數(shù)據(jù)局部性、網(wǎng)絡安全、數(shù)據(jù)隔離、數(shù)據(jù)隱私、數(shù)據(jù)泄露、Web應用安全以及認證和授權(quán)。

客戶安全顧慮

從行業(yè)角度來說，計算需要關(guān)注大量的屬性，特別是安全方面的。起初，客戶對安全期待非常高。他們不會允許數(shù)據(jù)被托管到共享環(huán)境。這意味著云提供商必須停止公有云方案，并專注于私有云。

另外，客戶都很關(guān)心遵從性和提供商是否符合審計標準（SAS 70、 SOC 2、SOC 3 和SSAE 16）。有時，他們希望能夠檢查物理設施，一些SaaS供應商不允許這樣做。這是一個大忌。長遠來說，讓SaaS供應商控制的越多，風險就越大。但是，一旦你了解了需求，就可以和某個云提供商合作，使安全水平讓人滿意。

SaaS安全維度

云計算的安全性或許是如今最熱門的話題之一?？紤]到SaaS安全是多維的且關(guān)系復雜。因此，要著眼于更大、全局的環(huán)境（物理、應用、網(wǎng)絡安全）。但是IaaS/PaaS連同擴展性、可用性、性能以及集成也需要考慮到。

快速部署以及定制/回收/多租戶是基于另一個維度，政策和程序則又是一個。因為基本上不可能在以上所有領(lǐng)域都做到最好，你可以根據(jù)用戶的容忍程度來決定或定義安全。

事實上，用戶通常在全面考慮之后，選擇適當?shù)陌踩夹g(shù)或機制，再定義自己的安全指標。因此，建議盡力嘗試以提供云計算安全保障的最佳實踐。

云安全囊括了多個方面和工具。

一些涉及的問題包括：

• 竊聽設備（路由器、電腦、物聯(lián)網(wǎng)設備等等）；
• 失敗的變更管理；
• 傳輸過程中的數(shù)據(jù)操縱和/或攔截；
• 社會工程等
• 內(nèi)部人員的非法訪問

以上是一些（不是全部）領(lǐng)域。不像內(nèi)部部署的應用和云，公有云又加入了兩個安全點，即因特網(wǎng)和內(nèi)部的（但外部管理）云。

如今的第三方云供應商只向客戶提供有限的信息。不幸的是，他們不能準確回答關(guān)于用戶訪問異常的問題。例如，SaaS供應商不能直接回答這個關(guān)鍵問題：“在組織里，誰可以修改權(quán)限？”然而，調(diào)查內(nèi)部攻擊時，這些信息很重要。

另外，對于正確引導SaaS供應商簡化客戶報告，還缺乏行業(yè)標準。即使有日志數(shù)據(jù)，如果在格式上未達成一致，企業(yè)客戶也面臨著挑戰(zhàn)以及高昂的集成過程。

結(jié)論

SaaS提供商任務艱巨，他們必須提高安全的可見性和可控性，使用戶相信他們有能力管理潛在的合規(guī)風險。將業(yè)務應用移出企業(yè)，通常要損失安全。

因此，首席信息安全官有責任減少安全問題。作為客戶必須有一個安全清單，SaaS安全標準是如今的熱門話題，SaaS供應商要贏得客戶的信任必須解決這些問題。

原文鏈接：Security Standards to Be Aware of with SaaS（編譯/ 海霞 責編/魏偉）

生活不易，碼農(nóng)辛苦
如果您覺得本網(wǎng)站對您的學習有所幫助,可以手機掃描二維碼進行捐贈