国际云安全联盟CSA发布《面向云客户的SaaS治理最佳实践》(以下称“报告”),报告围绕SaaS治理中最核心的问题“确保谁在什么场景下、拥有什么样的权限、可以访问什么数据”,列出评估、采用、使用和终止四个阶段存在的风险并给出了具体解决措施,提供一套基于保护SaaS环境数据的SaaS治理最佳实践基线,同时针对日常应用场景进行了延伸的安全考量。
SaaS 的定义和发展
SaaS即软件即服务Software as a Service,CSA本次发布的报告参考NIST 800-145,将SaaS定义为“通过使用供应商在云基础设施上运行的应用程序向消费者提供的能力”。相对于传统软件而言,SaaS采用的是在线订阅的服务交付模式。在SaaS模式下,消费者不会管理或控制云基础设施、操作系统、关联的存储,甚至单个应用程序,特定配置设置除外。
在云安全领域,一直以来重点几乎总是在对基础设施即服务(IaaS)和平台即服务(PaaS)的保护, 对于SaaS安全一致的共识在于 SaaS提供商在责任共担模型中承担大部分责任,SaaS客户仅负责数据治理和访问控制。随着企业数字化转型的快速发展,管理更简单、成本更低的SaaS获得更多企业的青睐。
根据福布斯的报告,2022年全球SaaS的营收将达到2330亿美元,年复合增长率将接近17%。随着广泛采用基于SaaS的应用程序和解决方案,组织必须更新或扩展传统的网络安全防护领域,以对应这种新运营模式带来的安全挑战。
SaaS客户面临的难题和风险
随着数据作为资产被认识,各国/地区也出台了越来越多的面向数据的法律法规。SaaS模式下,即使遵循责任共担模型,组织仍然必须满足法规合规遵从性和监管要求,以保护其利益相关者及其声誉,并避免潜在的法律后果。组织在采用SaaS服务后,失去了大部分管理和控制权, 如何确保将SaaS提供商视为其第三方风险管理计划的一部分,在SaaS从采用到退役的整个生命周期中管理SaaS的安全成为一个关键课题。
SaaS模式改变了组织处理网络安全的方式,组织需要根据采用SaaS的新情况进行相应的安全管理策略的调整,否则可能会造成严重后果,如泄露敏感数据、收入损失、失去客户信任和违反监管要求等。SaaS用户和客户应评估并减轻使用SaaS服务所带来的信息安全风险。
SaaS方法论和结构
SaaS安全治理需要不同的治理原则和一种独特的方法。组织应首先寻求一个适合组织安全、业务和监管需求的框架(如NIST CSF)。遵循广泛采用的安全框架以及本报告中的最佳实践和建议,将有助于组织建立SaaS治理和安全流程,以降低与SaaS使用相关的风险。
本报告定义了SaaS安全性的三个必要组件:流程、平台和应用程序。通过将流程安全性、平台安全性和应用程序安全性结合到一个内聚的策略中,可以实现SaaS的集成安全性。
流程安全保护程序活动的完整性,以确保流程的输入和输出不容易受到损害。主要涉及管理方面,包括政策和程序,以确保与组织的流程保持一致。
平台安全性涉及平台的安全强度,即SaaS服务的基础依赖性。其中包括SaaS基础设施、操作系统及其潜在供应商安全。
应用程序安全性处理SaaS应用程序本身的安全性。只有当SaaS应用程序不包含可利用的漏洞,并且实现了符合组织和供应商安全最佳实践以及法规遵从性要求的强化要求时,它才能保持安全。
某些部门特定的安全控制通常用于满足隐私、政府或财务合规性。例如FedRAMP、NIST 800-53、HIPAA和PCI-DSS。
SaaS生命周期
结合SaaS模型对于云客户的局限性,企业环境中SaaS应用程序的采用和使用通常遵循三个关键生命周期:评估、采用和使用。
评估生命周期发生在采购之前,首先确定可由SaaS应用程序解决的业务需求。评估生命周期通常由4个步骤组成:
• 了解用户,包括已经在用的服务
• 市场研究
• 试点工作
• 采购决策
相关安全和合规组织的代表会需要在评估阶段出席,提出组织评估SaaS的“检查点”,并纳入系统评估打分表。
采用生命周期对于大型业务关键型SaaS应用程序来说通常由四个步骤组成:
• 评估:在评估阶段,云消费者评估潜在的SaaS应用程序与需求的匹配。这通常涉及一个试点或概念验证活动,以探索特性、功能和满足业务需求的能力。
• 采用:生命周期的采用阶段是云消费者开始正式采用SaaS产品并超越试点或概念验证的阶段。这可能涉及将更敏感的数据移动到SaaS应用程序中,以及将其推出给其他业务部门使用。
• 常规使用和扩展:可将常规使用和扩展视为维持阶段。此时,消费者通常将SaaS应用程序用于各种业务功能,并有标准的操作程序供其使用。
• 终止:生命周期的终止阶段表示云消费者决定不再使用SaaS产品。这可能是由于各种原因,如成本、安全性或可能不再满足业务需求。消费者开始关闭其SaaS应用程序的使用,减少敏感数据、帐户等。
使用生命周期有助于防范日常运营风险和安全问题,如最低权限、身份和访问管理。使用生命周期由四个步骤组成:
• 资格:该个人或非个人实体是否应为该服务的用户?
• 服务开通:需要做什么才能将此人添加到服务中,以及他们的适当权限是什么?
• 监控:此人是否使用与消费组织预期使用一致的文档化模式?
• 取消服务:如何将此人从服务中删除?
了解和监控SaaS的整个使用生命周期非常重要,以便企业全面且长期的管理SaaS系统的安全使用和其中的数据安全。
SaaS 安全治理措施
SaaS治理的控制措施,包括:
• 信息安全策略:制定有关管理SaaS服务的评估、采用、使用和终止的政策,指导SaaS应用程序部署和维护的安全策略;
• 信息安全组织: SaaS客户除了承担负责如何授予访问SaaS应用和数据的责任并明确执行任务的角色和职责外,还需明确在发生安全事件时如何和监管机构沟通,以及定期向利益相关者汇报的职责;
• 资产管理: SaaS账号和数据是组织的资产,本身应该得到识别和管理;
• 访问控制: SaaS订阅的管理者和SaaS用户的访问控制,包括授权,变更和取消,以及定期审计都需要进行管理,特权账号也需要进行最小特权和日志记录和审计等措施进行管理;
• 加密和密钥的管理:SaaS服务时需要考虑的最关键的方面之一是存储在该服务中的数据的安全性,客户在与这些供应商接洽时应考虑数据的加密以及其中加密密钥的管理;
• 操作安全:SaaS系统的变更管理,容量管理,环境隔离和终端管理都需要在采用SaaS时向供应商进行了解,并识别可能的风险。在使用时,对于SaaS的运行进行监控,监控SaaS产品的可用性和数据安全性;
• 网络安全管理:关键网络控制可以概括为传输中的数据加密、对指定资源的授权和数据传输控制,并适当考虑零信任网络的采用。对于SaaS客户还可以根据实际SaaS中数据类型,考虑部署CASB和DLP。
• 供应商关系:在采用早期,客户也应该了解SaaS系统的供应商依赖关系,比如Hosting环境等,以便更好的理解和判断面临的风险。
• 事件管理: 由于客户最终承担法律责任,对于安全事件在各国法律中有明确的报告机制和时间要求, 明确SaaS供应商如何通报事件需要在采用阶段明确,并以SLA形式记录,在日常运营中进行监控。
• 合规性:确保使用SaaS应用程序存储和处理敏感数据必须按照所有相关的内部和外部适用合规标准和安全政策进行评估,评估方式和严格程度与所有其他公司系统相同。
伴随SaaS发展的新技术
云访问安全代理CASB是随着SaaS服务的发展而出现的一类服务,其功能聚焦影子IT的可见性、监控和控制。
SaaS安全态势管理(SSPM),它通过根据预先构建的符合行业标准(如CIS或NIST)的策略配置文件持续监控SaaS应用程序,从而简化和自动化SaaS应用程序的配置管理。
结论
随着SaaS的广泛应用,企业运营和使用云产品的方式受到了广泛的影响。也就是说,与传统的云安全不同,SaaS的细微差别需要更多的关注和解决,这包括组织如何处理信息安全策略、访问管理和访问控制。由于数据不再由消费者控制,因此围绕加密和密钥管理的考虑变得至关重要。网络安全决策可能会对消费者访问SaaS服务的方式以及从提供商到SaaS消费者的潜在连接产生影响。
虽然SaaS为企业提供了巨大的机会来改变其运营方式、使用创新能力并减轻与创建和维护应用程序相关的运营负担,但它并非没有安全隐患。未能解决使用SaaS带来的问题可能会增加与SaaS消费相关的安全事件的潜在风险和后果。
关注“国际云安全联盟CSA”公众号,回复“SaaS”下载本报告。