国内最全IT社区平台 联系我们 | 收藏本站
华晨云阿里云优惠2
您当前位置:首页 > 互联网 > 首席信息安全官们的SaaS安全标准清单

首席信息安全官们的SaaS安全标准清单

来源:程序员人生   发布时间:2014-09-29 08:00:00 阅读次数:3299次

【编者按】企业将业务迁移到云端,不可避免的涉及到安全问题,尤其是斯诺登事件以及OpenSSL出现“Heartbleed”安全漏洞之后,SaaS供应商要赢取客户的信任,必须提高安全标准。作为企业的安全主管,首席信息安全官的责任更为重大,他除了管理企业的安全外,还要参与到企业业务的其他环节。作者列举了SaaS的一些安全标准和措施,包括数据安全、数据局部性、网络安全等多方面。本文来自DZone。


免费订阅“CSDN大数据”微信公众号,实时了解最新的大数据进展!

CSDN大数据,专注大数据资讯、技术和经验的分享和讨论,提供Hadoop、Spark、Imapala、Storm、HBase、MongoDB、Solr、机器学习、智能算法等相关大数据观点,大数据技术,大数据平台,大数据实践,大数据产业资讯等服务。


以下为译文:

在SaaS提供商提高安全标准(对客户可见并可控)之前,用户仍然需要控制潜在的合规风险。显然,将业务应用移出企业,安全是最大的问题。

看不到用户活动、没有监控和限制访问控制,SaaS对首席信息安全官(CISO)来说很严峻,特别是合规责任。为了减少安全问题,安全团队(特别是企业)必须做很多工作,包括:

  • 积极参与采购,采取积极主动的态度并审核所有SaaS关系。
  • 充分意识到数据合规问题,它围绕着每个SaaS应用。
  • 拒绝不能提供足够可见度、活动监控或访问控制的供应商。

SaaS安全标准清单

SaaS还在起步阶段且发展迅速,提供商各不相同。因此,如果用户想评估第三方SaaS提供商的安全漏洞或能力,必须问对问题。例如:

不同的访问控制是如何形成颗粒状的?

显然,针对数据泄露,IT当前最大的问题是恶意或无意的误用用户凭据,特别是登录信息。因此,有效的数据保护需要了解用户活动,同样包括管理的变化。

什么指标可用于报告?

考虑下是否可以创建同时让首席信息主管、审计师以及董事会满意的报告呢?企业数据安全能否满足监管要求呢?它应该可以。

  • 问问自己,这样获取的数据能否方便的集成到内部监控工具以防止数据竖井。为了确保万无一失,必须同时监控企业内部和SaaS应用(从一个集中的管理面板)。

最后,必须了解SaaS应用的业务,特别是涉及数据的。另外,必须知道应用是否处理客户的机密信息。这时就可以执行相关的合规清查。

SaaS安全问题

SaaS提供商需要保证用户不能查看彼此的数据。以下是SaaS的一些安全标准和措施:数据安全、数据局部性、网络安全、数据隔离、数据隐私、数据泄露、Web应用安全以及认证和授权。

客户安全顾虑

从行业角度来说,计算需要关注大量的属性,特别是安全方面的。起初,客户对安全期待非常高。他们不会允许数据被托管到共享环境。这意味着云提供商必须停止公有云方案,并专注于私有云。

另外,客户都很关心遵从性和提供商是否符合审计标准(SAS 70、 SOC 2、SOC 3 和SSAE 16)。有时,他们希望能够检查物理设施,一些SaaS供应商不允许这样做。这是一个大忌。长远来说,让SaaS供应商控制的越多,风险就越大。但是,一旦你了解了需求,就可以和某个云提供商合作,使安全水平让人满意。

SaaS安全维度

云计算的安全性或许是如今最热门的话题之一。考虑到SaaS安全是多维的且关系复杂。因此,要着眼于更大、全局的环境(物理、应用、网络安全)。但是IaaS/PaaS连同扩展性、可用性、性能以及集成也需要考虑到。

快速部署以及定制/回收/多租户是基于另一个维度,政策和程序则又是一个。因为基本上不可能在以上所有领域都做到最好,你可以根据用户的容忍程度来决定或定义安全。

事实上,用户通常在全面考虑之后,选择适当的安全技术或机制,再定义自己的安全指标。因此,建议尽力尝试以提供云计算安全保障的最佳实践。

云安全囊括了多个方面和工具。

一些涉及的问题包括:

  • 窃听设备(路由器、电脑、物联网设备等等);
  • 失败的变更管理;
  • 传输过程中的数据操纵和/或拦截;
  • 社会工程等
  • 内部人员的非法访问

以上是一些(不是全部)领域。不像内部部署的应用和云,公有云又加入了两个安全点,即因特网和内部的(但外部管理)云。

如今的第三方云供应商只向客户提供有限的信息。不幸的是,他们不能准确回答关于用户访问异常的问题。例如,SaaS供应商不能直接回答这个关键问题:“在组织里,谁可以修改权限?”然而,调查内部攻击时,这些信息很重要。

另外,对于正确引导SaaS供应商简化客户报告,还缺乏行业标准。即使有日志数据,如果在格式上未达成一致,企业客户也面临着挑战以及高昂的集成过程。

结论

SaaS提供商任务艰巨,他们必须提高安全的可见性和可控性,使用户相信他们有能力管理潜在的合规风险。将业务应用移出企业,通常要损失安全。

因此,首席信息安全官有责任减少安全问题。作为客户必须有一个安全清单,SaaS安全标准是如今的热门话题,SaaS供应商要赢得客户的信任必须解决这些问题。

原文链接:Security Standards to Be Aware of with SaaS(编译/ 海霞 责编/魏伟)

生活不易,码农辛苦
如果您觉得本网站对您的学习有所帮助,可以手机扫描二维码进行捐赠
程序员人生
------分隔线----------------------------
分享到:
------分隔线----------------------------
关闭
程序员人生