所有产品

从信息安全的视角选择Saas服务商

  我国云计算标准体系,保护个人隐私数据的法律法规、市场监管方式处于完善过程中,各公司的

  信息是企业的核心资产,如果发生数据泄露,公司可能遭受巨大损失、巨额罚款,还可能面临民事诉讼。SaaS软件中的数据会不会丢失、被窃,会不会发生泄露是企业主要关注的问题之一。

  企业将关键工作负载迁移到云中,云服务仅仅几分钟的宕机都可能会极大地损害企业与客户的关系,并导致信息管理部难堪。而停电、错误软件更新、服务器过载、数据库错误等都有可能导致云服务中断。

  企业投入了大量的资源去学习SaaS软件、开发接口以实现系统间的集成,一旦云服务商停止对外提供服务将导致之前的系统集成投入归零。

  职责可以转移,但责任不行。企业在选用SaaS服务并签署SaaS服务协议前应进行尽职调查,可以由IT部门对SaaS服务及提供商的安全管理能力进行评估。进行评估时,应以风险为导向,重点关注数据安全、应用安全,确保“数据不丢、应用不停、持续服务”。其中,“数据不丢”主要评估SaaS服务的租户身份识别和访问管理、数据加密管理、日志及审计管理;“应用不停”主要评估云服务数据中心安全、变更和配置管理、安全事件管理及供应链管理;“持续服务”主要评估业务连续性管理、公司的稳定性及增长性、可移植性和互操作性。最后,很重要的一点,将对SaaS服务商的服务水平要求、安全管控要求以及责任等落实到合同中。

  企业对SaaS服务及提供商的安全管理能力进行评估,可参照以下安全域检查清单进行:

  每种环境都具有某种程度的脆弱性,都面临一定的威胁。关键在于识别这些威胁,评估它们实际发生的可能性以及可能造成的破坏,并采取适当的措施将环境中的风险降低到可接受范围。企业可以通过查阅服务商的风险管理程序和风险评估报告,判断云服务商的风险管理能力:

  2) 如何识别、分析威胁和脆弱性对资产的潜在影响?影响分析标准是否可测量、可重复执行?

  3) 是否定期对SaaS服务运行的硬件和软件系统进行安全性检测,识别出系统的脆弱性,并制定风险处置计划?

  身份识别和访问控制作为信息安全管理过程中的关键环节,在云计算环境下,面临着恶意的内部人员、不安全的应用程序接口等更复杂的风险。

  企业可以通过检查身份认证及访问控制程序,判断云服务商的身份识别和访问控制管理水平:

  1)在SaaS系统创建租户初始密码时是否随机生成租户默认密码?租户首次登陆系统时是否强制要求修改默认密码?密码是否有复杂度要求?如,要求长度不少于8位、数字字母组合。

  2)能否支持双因子验证租户身份?如,登陆系统及进行重要操作时要求输入手机验证码。

  数据是租户的重要资产,云平台中的数据需要避免出现数据泄露、丢失、被窃等问题。通过加密来保证数据的机密性是云平台中数据保护的一项最佳实践,在某些情况下也是某些国家和地区的法律法规所强制要求的。

  企业可以通过检查密钥管理策略及加密管理程序,判断云服务商的数据保护水平:

  1) SaaS系统所使用的密钥能否进行生命周期(包括密钥的产生、更新、使用、备份、销毁)统一管理?

  2)通过浏览器访问SaaS系统时能否支持安全传输协议?如HTTPS协议。

  3) SaaS系统能否对租户数据加密?是否使用公开的标准加密算法?如AES-256、3DES等。

  审计工具会记录用户的登出登入时间、用户角色、用户行为等信息。通过全面的系统日志,能及时发现各种安全威胁、异常行为事件,提供事件追责依据。

  1) SaaS系统是否支持系统管理员、安全管理员、安全审计员三员分立,且系统中没有同时拥有三种权限的超级管理员?

  2)系统日志是否包括系统运行日志、系统管理员操作日志、租户登陆和使用云资源日志?如何确保日志的非授权删除、修改?

  3)能否支持实时监控收集到的各类日志?当检测到安全侵害事件时,自动进行审计响应。

  数据中心是组织信息系统的核心,通过网络系统向服务对象提供各种信息服务。与传统的数据中心相比,在云计算时代的数据中心的对安全的要求也在不断提高,包括高性能、弹性扩展、可靠性保障、虚拟化和可视化、立体安全防护等要求。

  3)计算、存储、内存等资源池有多大?如果租用IaaS服务(如阿里云、腾讯云),是否服务商的大客户?是否签署特定的SLA协议?

  云计算环境下计算资源被不同的组织共享,在带来便利的同时也增加资源分配的复杂度,如果未合理有序的处置变更请求,将对组织及云服务用户造成重大影响。

  云计算按需自服务、资源池化、多租户等特性将使信息安全事件管理活动更具有直接的挑战。企业可以通过检查信息安全事件管理程序,判断云服务商的信息安全事件管理水平:

  1)云服务商是否建立了事故响应团队?提供沟通渠道及联系人,明在合同明确下来。

  随着云计算这种服务模型的应用,IT供应链已逐步从产品供应链向服务化供应链转变,产品服务化供应链管理的核心和关键问题是能力管理。

  2)与重要供应商之间的供应链协议中是否涉及用户数据保密内容及合作到期后用户数据处理方式?

  3)是否有对与上下游供应链之间的服务协议(SLA)进行持续的评审,并形成评审报告?

  业务连续性目的是防止业务活动中断,保护关键业务过程免受信息系统重大失误或灾难的影响,并确保它们的及时恢复。目前,从相关事件的报道来看,业务连续性方面的问题频繁出现,云服务的业务连续性问题日益突出。

  1)查看业务影响分析表,企业的关键业务过程和支持性业务过程识别是否清晰?

  这几年,经常有企业级SaaS服务商倒闭或被收购,公司一旦倒闭停止运营,用户应用及数据只能迁移或者丢失。

  如果存在可移植性与互操作性问题,租户迁移到SaaS环境后,数据被锁定在云平台。如果问题得到解决,将增强用户使用云服务的信心,且可方便用户进行迁移,因而可移植性与互操作性安全非常重要。

  由于SaaS服务商提供了设施、IT系统及应用系统,SaaS服务商不仅负责物理和环境安全控制,还应解决基础设施、应用和数据相关的安全控制,租户应该在服务合同中将服务等级、隐私保护、合规性、安全控制等内容进行约定,以确保安全需求在合同层面上是可强制执行的。

  SaaS服务信息安全过程域涉及设计、开发、运维、供应链管理、人力资源等内容,上述安全域检查清单只是列举了部分重要且容易执行的,但实际进行安全评估时,服务商仍可能不配合、无法提供必须的资料给企业,导致对SaaS服务商的安全评估无法进行。企业可以选择通过建立了完整的信息安全管理体系的云服务商,尤其是通过了C-STAR、可信云、业务连续性等第三方安全认证的云服务商。第三方评估检查内容全面、深入,如国际云安全联盟提出的C-STAR评估采用国际上最先进的云安全管理标准和规范,对云服务商的云安全管理能力进行评价。评估内容包括治理、设计与开发、运营与维护、人力资源、供应链管理5大方面,涵盖16个控制域162个控制项,提供行业比对,利于提升云服务供应商云安全管理能力,增强用户云安全信心。可信云认证由数据中心联盟和云计算发展与政策论坛联合组织,采用YDB 144-2014《云计算服务协议参考框架》对云服务可信度进行评价。其中,安全专项评估是可信云认证的一个重要组成部分,评价内容包括两方面:一是从技术角度测试云服务本身的安全状况;二是从管理角度评估云服务运营组织的安全管理状况。