面向云客戶的SaaS治理最佳實(shí)踐

1、目錄序言 3致謝 4 HYPERLINK l _TOC_250042 引言 7 HYPERLINK l _TOC_250041 范圍 7 HYPERLINK l _TOC_250040 適宜讀者 8 HYPERLINK l _TOC_250039 概述 8 HYPERLINK l _TOC_250038 方法 8 HYPERLINK l _TOC_250037 結(jié)構(gòu) 9 HYPERLINK l _TOC_250036 SaaS 生命周期注意事項(xiàng) 9 HYPERLINK l _TOC_250035 信息安全政策 11 HYPERLINK l _TOC_250034 信息安全策略 11 HYPER

2、LINK l _TOC_250033 對信息安全政策的審查 30 HYPERLINK l _TOC_250032 信息安全組織 30 HYPERLINK l _TOC_250031 內(nèi)部組織 30 HYPERLINK l _TOC_250030 移動(dòng)設(shè)備和遠(yuǎn)程辦公 33 HYPERLINK l _TOC_250029 資產(chǎn)管理 34 HYPERLINK l _TOC_250028 資產(chǎn)責(zé)任 34 HYPERLINK l _TOC_250027 訪問控制 36 HYPERLINK l _TOC_250026 訪問控制的業(yè)務(wù)需求 36 HYPERLINK l _TOC_250025 用戶訪問管理

3、36 HYPERLINK l _TOC_250024 系統(tǒng)和應(yīng)用訪問控制 38 HYPERLINK l _TOC_250023 加密和密鑰管理 41 HYPERLINK l _TOC_250022 SaaS 環(huán)境中的數(shù)據(jù)安全 41 HYPERLINK l _TOC_250021 加密 SaaS 提供商共享的數(shù)據(jù) 42 HYPERLINK l _TOC_250020 客戶管理加密密鑰 vs 供應(yīng)商管理加密密鑰 45 HYPERLINK l _TOC_250019 加密和密鑰管理的未來狀態(tài) 45 HYPERLINK l _TOC_250018 操作安全 47 HYPERLINK l _TOC_25

4、0017 操作程序和職責(zé) 47 HYPERLINK l _TOC_250016 防止惡意軟件 48 HYPERLINK l _TOC_250015 備份和高可用 49 HYPERLINK l _TOC_250014 日志和監(jiān)控 50 HYPERLINK l _TOC_250013 技術(shù)漏洞管理 51 HYPERLINK l _TOC_250012 信息系統(tǒng)審計(jì)注意事項(xiàng) 52 HYPERLINK l _TOC_250011 網(wǎng)絡(luò)安全管理 53 HYPERLINK l _TOC_250010 SaaS 提供商網(wǎng)絡(luò)控制 53 HYPERLINK l _TOC_250009 SaaS 消費(fèi)者網(wǎng)絡(luò)控制

5、53 HYPERLINK l _TOC_250008 供應(yīng)商關(guān)系 54 HYPERLINK l _TOC_250007 供應(yīng)商關(guān)系中的信息安全 54 HYPERLINK l _TOC_250006 事件管理 58 HYPERLINK l _TOC_250005 云安全事件管理 58 HYPERLINK l _TOC_250004 SaaS 事件響應(yīng)責(zé)任和程序 58 HYPERLINK l _TOC_250003 11.3 階段 1: 準(zhǔn)備 59 HYPERLINK l _TOC_250002 階段 2: 檢測和分析 59 HYPERLINK l _TOC_250001 階段 3: 遏制、根除和

6、恢復(fù) 60 HYPERLINK l _TOC_250000 階段 4: 總結(jié)改進(jìn) 60合規(guī)性 61遵守安全策略和標(biāo)準(zhǔn) 61遵守法律和合同要求 62信息安全審查 62CASB 的功能和發(fā)展方向 6314.結(jié)論 6415.參考文獻(xiàn) 6516.定義 66縮略詞 67引言在云安全領(lǐng)域，一直以來關(guān)注的重點(diǎn)幾乎都是對基礎(chǔ)設(shè)施即服務(wù)（IaaS）和平臺即服務(wù)（PaaS）的保護(hù)。雖然組織一般只使用2-3個(gè)IaaS提供商，但通常會(huì)使用數(shù)十到數(shù)百個(gè)SaaS產(chǎn)品。云客戶的 SaaS治理最佳實(shí)踐，是SaaS治理實(shí)踐的基線集合,列舉并考慮了SaaS生命周期評估、采用、使用和終止等所有階段的風(fēng)險(xiǎn)以及處理。隨著SaaS的廣泛

7、應(yīng)用，組織為了應(yīng)對這種新情況，必須更新網(wǎng)絡(luò)安全覆蓋的領(lǐng)域。組織必須更新內(nèi)部策略，包括關(guān)鍵事項(xiàng)，如服務(wù)級別協(xié)議、安全和隱私要求以及運(yùn)營影響分析等。同時(shí)，應(yīng)考慮組織運(yùn)營安全活動(dòng)受到的影響，例如職責(zé)和任務(wù)分配，以及對移動(dòng)設(shè)備和遠(yuǎn)程辦公的影響。信息是一種資產(chǎn)，在SaaS模式下，涉及到外部服務(wù)提供商時(shí)，必須考慮信息的分類、標(biāo)記和存儲需求。雖然SaaS提供商在共享責(zé)任模型中承擔(dān)了大部分責(zé)任，但SaaS客戶仍然主要負(fù)責(zé)數(shù)據(jù)治理和訪問控制。這意味著需要明確誰在什么場景下，擁有什么級別的權(quán)限，訪問什么數(shù)據(jù)，尤其是在零信任架構(gòu)中。組織仍然涉及對加密密鑰管理和安全運(yùn)營活動(dòng)（如漏洞管理、備份和存儲）的關(guān)鍵決策。組織需

8、要確保將SaaS提供商視為第三方風(fēng)險(xiǎn)管理計(jì)劃的一部分，并相應(yīng)更新事件響應(yīng)和業(yè)務(wù)連續(xù)性計(jì)劃和流程。這一點(diǎn)越來越重要，因?yàn)閺臉I(yè)務(wù)連續(xù)性的角度，SaaS通?；谶h(yuǎn)程環(huán)境提供關(guān)鍵功能。 SaaS工作模式下，即使責(zé)任共擔(dān)，組織仍然必須滿足法規(guī)合規(guī)遵從性和監(jiān)管要求，以保護(hù)其利益相關(guān)者及其聲譽(yù)，并避免潛在的法律后果。SaaS模式改變了組織處理網(wǎng)絡(luò)安全問題的方式，在云廠商和云客戶之間引入了共同責(zé)任模型。如果不進(jìn)行相應(yīng)調(diào)整，可能會(huì)造成嚴(yán)重后果，如泄露敏感數(shù)據(jù)、收入損失、失去客戶信任和違反監(jiān)管要求等。范圍本文件:提供一套用于保護(hù)SaaS環(huán)境數(shù)據(jù)的SaaS治理最佳實(shí)踐基線根據(jù)SaaS采用和使用的生命周期列舉并考慮風(fēng)

9、險(xiǎn)從SaaS客戶的角度提供潛在的緩解措施適宜讀者SaaS客戶SaaS云服務(wù)提供商SaaS安全解決方案提供商云安全專業(yè)人員法務(wù)網(wǎng)絡(luò)安全主管IT主管風(fēng)險(xiǎn)經(jīng)理IT審計(jì)員和合規(guī)人員第三方風(fēng)險(xiǎn)經(jīng)理概述軟件即服務(wù)（SaaS）用戶和客戶應(yīng)評估并減輕使用SaaS服務(wù)所帶來的信息安全風(fēng)險(xiǎn)。本文檔參考NIST 800-145，將SaaS定義為“通過使用供應(yīng)商在云基礎(chǔ)設(shè)施上運(yùn)行的應(yīng)用程序向消費(fèi)者提供的能力”。在這種情況下，消費(fèi)者不會(huì)管理或控制云基礎(chǔ)設(shè)施、操作系統(tǒng)、關(guān)聯(lián)的存儲，甚至單個(gè)應(yīng)用程序，特定配置或設(shè)置除外。雖然組織選擇的云計(jì)算服務(wù)和安全領(lǐng)域在不斷發(fā)展，但有關(guān)SaaS治理和安全的指導(dǎo)并不多。同時(shí)，組織中的不同部

10、門偶爾還會(huì)更多地利用SaaS服務(wù)（也稱影子IT）為其關(guān)鍵業(yè)務(wù)流程和功能提供支持，并經(jīng)常在SaaS環(huán)境中存儲敏感數(shù)據(jù)。方法SaaS需要不同的安全治理思維。雖然與其他共享責(zé)任框架（即IaaS）的治理有一些相似之處， 但SaaS部署和管理需要獨(dú)特的方法。對SaaS進(jìn)行適當(dāng)?shù)陌踩椭卫?，盡職調(diào)查必須從較高的層次開 始，即了解SaaS應(yīng)用程序的使用和功能，并深入到細(xì)節(jié)，如系統(tǒng)中存儲的數(shù)據(jù)類型以及誰有權(quán)訪問?？紤]到適當(dāng)管理SaaS應(yīng)用程序的使用以及可能部署的無數(shù)SaaS應(yīng)用程序的獨(dú)特復(fù)雜性，組織應(yīng)首先尋求一個(gè)適合組織安全、業(yè)務(wù)和監(jiān)管需求的框架（如NIST CSF）。該框架將幫助組織塑造安全架構(gòu)所需的人員、

11、流程和技術(shù)。遵循廣泛采用的安全框架（如NIST CSF）以及本文檔中的最佳實(shí)踐和建議，將有助于組織建立 SaaS治理和安全流程，以降低與SaaS使用相關(guān)的風(fēng)險(xiǎn)。結(jié)構(gòu)本文檔定義了SaaS安全性的三個(gè)必要組件：流程、平臺和應(yīng)用程序。通過將流程安全性、平臺安全性和應(yīng)用程序安全性結(jié)合到一個(gè)內(nèi)聚的策略中，可以實(shí)現(xiàn)SaaS的集成安全性。流程安全保護(hù)程序活動(dòng)的完整性，確保流程的輸入和輸出不容易受到損害。主要涉及管理方面，包括政策和程序，以確保與組織的流程保持一致。平臺安全性涉及平臺的安全強(qiáng)度，即SaaS服務(wù)的基礎(chǔ)依賴性。其中包括SaaS基礎(chǔ)設(shè)施、操作系統(tǒng)及潛在供應(yīng)商安全。應(yīng)用程序安全性處理SaaS應(yīng)用程序本

12、身的安全性。只有當(dāng)SaaS應(yīng)用程序不包含可利用的漏洞，并且實(shí)現(xiàn)了符合組織和供應(yīng)商安全最佳實(shí)踐以及法規(guī)遵從性要求的強(qiáng)化要求時(shí)，才能保持安全。在SaaS模型中，有限的控制措施和可見性主要局限于流程和應(yīng)用程序安全組件。SaaS消費(fèi)者無法控制SaaS應(yīng)用程序的平臺安全組件或底層供應(yīng)鏈。這些情況導(dǎo)致SaaS用戶需要在其組織內(nèi)擁有良好的流程安全性，并確保實(shí)現(xiàn)應(yīng)用程序級的安全控制措施。某些部門特定的安全控制措施通常用于滿足隱私、政府或財(cái)務(wù)合規(guī)性。例如FedRAMP、NIST 800-53、HIPAA和PCI-DSS。這些需求通常屬于垂直領(lǐng)域，適用于三個(gè)SaaS安全領(lǐng)域。SaaS生命周期注意事項(xiàng)如果管理得當(dāng)，

13、企業(yè)環(huán)境中SaaS應(yīng)用程序的采用和使用通常遵循三個(gè)關(guān)鍵生命周期：評估、采用和使用。這些生命周期的常見模式如下。很多組織對SaaS的使用快速有序增長，然而在SaaS應(yīng)用程序監(jiān)控方面卻是落后的。這樣的組織在廣泛采用SaaS的同時(shí)，實(shí)施SaaS安全和治理計(jì)劃，使用生命周期將是至關(guān)重要的。評估評估生命周期發(fā)生在采購之前，首先確定可由SaaS應(yīng)用程序解決的業(yè)務(wù)需求。在許多組織中，這是在業(yè)務(wù)范圍內(nèi)的，可能涉及也可能不涉及集中采購的組織。評估生命周期通常由4個(gè)步驟組成：了解用戶計(jì)劃使用的服務(wù)市場研究試點(diǎn)工作采購決策如果組織做出了購買決策，那么將開始生命周期中的采用階段，部署SaaS應(yīng)用程序。雖然理想情況下，

14、相關(guān)安全和合規(guī)組織的代表會(huì)在評估階段出席，但這些代表必須參與到采用階段。當(dāng)組織構(gòu)建SaaS安全和治理計(jì)劃時(shí)，這些組織“檢查點(diǎn)”是安全團(tuán)隊(duì)在SaaS生命周期中的關(guān)鍵集成點(diǎn)。采用幾乎所有組織的SaaS生命周期采用階段都是一致的。它跨越了SaaS應(yīng)用程序以初始形式（有時(shí)可能是一個(gè)擴(kuò)展的試點(diǎn)項(xiàng)目）采購到全面部署和使用增長，一直到潛在的終止和退役的整個(gè)過程。采用生命周期的長短各不相同，對于大型業(yè)務(wù)關(guān)鍵型SaaS應(yīng)用程序，實(shí)際上可能是一個(gè)穩(wěn)定的狀態(tài)，但通常由四個(gè)步驟組成：評估：在評估階段，云消費(fèi)者評估SaaS應(yīng)用程序與需求的匹配度。這通常涉及一個(gè)試點(diǎn)或概念驗(yàn)證活動(dòng)，探索特性、功能和滿足業(yè)務(wù)需求的能力。采用

15、：生命周期的采用階段是云消費(fèi)者開始正式采用SaaS產(chǎn)品并超越試點(diǎn)或概念驗(yàn)證的階段。這可能涉及將更敏感的數(shù)據(jù)遷移到SaaS應(yīng)用程序中，以及將SaaS應(yīng)用程序推廣給其他業(yè)務(wù)部門使用。常規(guī)使用和擴(kuò)展：可將常規(guī)使用和擴(kuò)展視為維持階段。此時(shí)，消費(fèi)者通常將SaaS應(yīng)用程序用于各種業(yè)務(wù)功能，并有標(biāo)準(zhǔn)的操作程序供其使用。終止：生命周期的終止階段表示云消費(fèi)者決定不再使用SaaS產(chǎn)品。這可能是由于各種原因，如成本、安全性或可能不再滿足業(yè)務(wù)需求。消費(fèi)者開始關(guān)閉SaaS應(yīng)用程序的 使用，減少敏感數(shù)據(jù)、賬戶等。使用SaaS使用生命周期有助于防范日常運(yùn)營風(fēng)險(xiǎn)和安全問題，如最小權(quán)限、身份和訪問管理。 SaaS使用生命周期由

16、四個(gè)步驟組成：資格：該個(gè)人或非個(gè)人實(shí)體是否應(yīng)該成為服務(wù)的用戶？服務(wù)開通：需要做什么才能將此人添加到服務(wù)中，以及他們的權(quán)限是什么？監(jiān)控：此人對SaaS的使用是否符合組織的預(yù)期，有無異常使用？服務(wù)撤銷：如何將此人從服務(wù)中刪除？SaaS使用生命周期描述了組織如何使用CSP和SaaS服務(wù)。了解和監(jiān)控SaaS的整個(gè)使用生命周期非常重要。否則很容易將所有精力都集中在優(yōu)化生命周期的一個(gè)階段，如初始化階段，而對企業(yè)更輕松或更迅速地實(shí)現(xiàn)預(yù)期結(jié)果卻沒有幫助。信息安全政策SaaS客戶應(yīng)制定SaaS安全戰(zhàn)略，并構(gòu)建反映該戰(zhàn)略的安全架構(gòu)。一個(gè)強(qiáng)大的安全架構(gòu)應(yīng)該包括指導(dǎo)SaaS應(yīng)用程序部署和維護(hù)的安全策略。信息安全策略應(yīng)

17、制定有關(guān)管理SaaS服務(wù)的評估、采用、使用和終止的政策。請參閱上述常見SaaS生命周期的描述，并確保組織為每個(gè)生命周期階段制定了全面的策略并評估控制措施。評估任何決策都應(yīng)該以企業(yè)架構(gòu)（architecture）的需求和流程為指導(dǎo)，應(yīng)符合適宜環(huán)境的總體企業(yè)架構(gòu)（評估產(chǎn)品、服務(wù)和工具及其解決的需求）。這可以防止不必要的產(chǎn)品、服務(wù)和工具重復(fù)。如果確定了需求，則可以開始評估產(chǎn)品、服務(wù)和工具。SaaS服務(wù)的初始評估通常會(huì)讓業(yè)務(wù)、法律和安全利益相關(guān)者了解交易的風(fēng)險(xiǎn)并進(jìn)行相應(yīng)的處理。關(guān)鍵問題是“這是否與我們的風(fēng)險(xiǎn)狀況和企業(yè)架構(gòu)匹配？”確定可接受風(fēng)險(xiǎn)評估SaaS服務(wù)時(shí)，第一步是確定哪些風(fēng)險(xiǎn)與客戶的風(fēng)險(xiǎn)偏好一致

18、。SaaS應(yīng)用程序可以托管在私 有、混合或公有云環(huán)境中，應(yīng)用程序運(yùn)行在應(yīng)用程序級別的專用或共享資源上（單實(shí)例、多租戶）。與任何云產(chǎn)品、服務(wù)或工具一樣，必須理解共享責(zé)任模型。根據(jù)ISO/IEC 27001，應(yīng)使用風(fēng)險(xiǎn)管理方法管理信息安全。SaaS客戶應(yīng)首先確定SaaS服務(wù)給組織帶來的可接受風(fēng)險(xiǎn)，這構(gòu)成了評估階段的基線?？梢允褂貌煌姆椒ü芾盹L(fēng)險(xiǎn)，包括國際風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)ISO 31000。圖1：ISO風(fēng)險(xiǎn)管理流程，第5條：流程如果了解組織的風(fēng)險(xiǎn)狀況，SaaS客戶應(yīng)該能夠確定SaaS服務(wù)與組織風(fēng)險(xiǎn)管理要求的符合度?？梢酝ㄟ^了解SaaS服務(wù)的使用情境，并考慮以下因素確定SaaS服務(wù)的風(fēng)險(xiǎn)狀況：數(shù)據(jù)：業(yè)務(wù)

19、流程將存儲哪些數(shù)據(jù)或需要將哪些數(shù)據(jù)提供給SaaS應(yīng)用程序？直接成本（通知受影響個(gè)人的成本、股票下跌時(shí)股東的損失、競爭對手的大量涌入導(dǎo)致的客戶流失、利潤損失）和間接成本（聲譽(yù)損害和錯(cuò)過的期貨銷售、網(wǎng)絡(luò)保險(xiǎn)成本增加、關(guān)鍵員工的解雇）是什么，如果存儲在此SaaS應(yīng)用程序中的數(shù)據(jù)的機(jī)密性或完整性受到損害，則會(huì)給業(yè)務(wù)帶來隱形成本（引導(dǎo)員工做出響應(yīng)的成本，違規(guī)整改的成本）？流程：此服務(wù)是否會(huì)影響核心或關(guān)鍵業(yè)務(wù)流程？如果使用SaaS服務(wù)，需要修改哪些組織策略和流程？需求：哪些業(yè)務(wù)需求、法律和法規(guī)與此服務(wù)相關(guān)？ 在此階段，應(yīng)評估以下方面對SaaS客戶風(fēng)險(xiǎn)狀況的影響：SaaS提供商SaaS服務(wù)SaaS提供商的供

20、應(yīng)商SaaS服務(wù)的使用SaaS客戶對相關(guān)SaaS提供商應(yīng)用持續(xù)監(jiān)控和態(tài)勢管理以緩解風(fēng)險(xiǎn)的能力最常見的風(fēng)險(xiǎn)分析方法是經(jīng)典的CIA分類：保密性完整性可用性有了CIA，應(yīng)用程序和數(shù)據(jù)庫將根據(jù)您的要求進(jìn)行風(fēng)險(xiǎn)評分。一旦建立了風(fēng)險(xiǎn)足跡，您就可以開始計(jì)算SaaS應(yīng)用程序帶來的風(fēng)險(xiǎn)。計(jì)算風(fēng)險(xiǎn)的方法有很多，開發(fā)風(fēng)險(xiǎn)分析框架取決于組織需要和行業(yè)類型。雖然可以將風(fēng)險(xiǎn)管理相關(guān)的活動(dòng)轉(zhuǎn)移到CSP（云服務(wù)提供商），但是SaaS客戶本身并不能將其責(zé)任外包給CSP。SaaS客戶必須始終記住，風(fēng)險(xiǎn)所有者有責(zé)任承擔(dān)使用SaaS服務(wù)的風(fēng)險(xiǎn)。雖然服務(wù)提供商和消費(fèi)者之間有責(zé)任分擔(dān)，并且存在服務(wù)級別協(xié)議（SLA）之類的協(xié)議，但消費(fèi)者最

21、終仍然擁有風(fēng)險(xiǎn)。安全和隱私要求一旦確定了風(fēng)險(xiǎn)水平基線，許多云服務(wù)客戶就會(huì)參與安全和隱私盡職調(diào)查。云服務(wù)客戶通常會(huì)向云提供商發(fā)送評估問卷或信息請求（RFI）以供填寫。這些調(diào)查問卷詢問客戶希望看到的CSP實(shí)施的內(nèi)部安全控制措施，通常解決有關(guān)安全和隱私的監(jiān)管要求問題。CSA STAR共識評估調(diào)查問卷等自我評估計(jì)劃或第三方評估（如SOC2或FedRAMP），有助于CSP向潛在客戶告知SaaS提供商的安全能力和現(xiàn)有做法。自我評估或第三方報(bào)告還詢問云提供商使用和披露個(gè)人信息的情況，或個(gè)人信息將在何處處理。這些項(xiàng)目還詢問云提供商是否將信息用于自己的目的或?qū)⑵渑督o第三方（例如，向第三方廣告商 披露)。注意數(shù)

22、據(jù)的位置也很重要，因?yàn)榭赡艽嬖跀?shù)據(jù)主權(quán)要求。第三方評估的一些關(guān)鍵領(lǐng)域包括：認(rèn)證和標(biāo)準(zhǔn)數(shù)據(jù)保護(hù)訪問控制可審計(jì)性災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性法律和隱私漏洞和漏洞利用溝通要求這些問卷或報(bào)告中的應(yīng)答允許客戶進(jìn)一步完善其風(fēng)險(xiǎn)評估，并反饋到云交易的簽約階段。許多云客戶為了加強(qiáng)其風(fēng)險(xiǎn)評估和盡職調(diào)查流程，并作為供應(yīng)商管理的一部分，創(chuàng)建了標(biāo)準(zhǔn)的數(shù)據(jù)安全和隱私計(jì)劃或條款，并包含在云合同中。這些附表或條款的目的是多方面的，可能會(huì)產(chǎn)生嚴(yán)重后果。一個(gè)目的是解決監(jiān)管問題，例如保證數(shù)據(jù)滿足特定地區(qū)的監(jiān)管要求。另一個(gè)是創(chuàng)建使云供應(yīng)商遵守合理的安全標(biāo)準(zhǔn)的機(jī)制。這些附表或條款還可以約定事件響應(yīng)義務(wù)，并轉(zhuǎn)移因云供應(yīng)商造成的數(shù)據(jù)泄露或隱私侵

23、犯的損失風(fēng)險(xiǎn)。還可以要求在特定時(shí)間以特定方式響應(yīng)數(shù)據(jù)泄露等問題，包括審計(jì)權(quán)，以及執(zhí)行定期監(jiān)測和控制活動(dòng)的權(quán)利。此外，必須了解CSP和消費(fèi)者之間執(zhí)行或管理合同的相關(guān)司法管轄區(qū)和監(jiān)管框架。例如：如果 您正在尋找一個(gè)SaaS平臺存儲或處理員工或客戶PII（個(gè)人可識別信息），并且在GDPR的適用范圍，那么需要查看CSP是否存儲歐盟/歐洲經(jīng)濟(jì)區(qū)或提供充分保護(hù)的國家的數(shù)據(jù)。如果沒有，您需要了解適用的法律框架，并根據(jù)歐盟法院（CJEU）發(fā)布的Schrems II判決，確保客戶服務(wù)提供商有足夠的保護(hù)和補(bǔ)充技術(shù)控制保護(hù)數(shù)據(jù)?？傮w目標(biāo)是通過合同與云服務(wù)提供商無縫銜接，并盡可能降低客戶的風(fēng)險(xiǎn)。供應(yīng)商管理計(jì)劃中的簽約

24、流程有時(shí)會(huì)進(jìn)一步細(xì)化，允許客戶在與云服務(wù)提供商談判期間針對某些條款預(yù)先建立“后備”措施。這可能包括在終止合同時(shí)如何傳輸數(shù)據(jù)和其他事項(xiàng)（例如，防止供應(yīng)商鎖定）。客戶的法務(wù)團(tuán)隊(duì)和安全團(tuán)隊(duì)通常都會(huì)參與這些條款的談判。內(nèi)審客戶應(yīng)制定SaaS安全戰(zhàn)略，并構(gòu)建反映該戰(zhàn)略的安全架構(gòu)。SaaS客戶應(yīng)該記住他們負(fù)責(zé)的云共享責(zé)任模型的部分。也就是說，SaaS客戶最終負(fù)責(zé)SaaS平臺在設(shè)計(jì)限制內(nèi)（即客戶權(quán)限和責(zé)任范圍內(nèi)）的安全配置、管理和使用。威脅建模和威脅分析是開發(fā)SaaS安全策略的關(guān)鍵。云安全聯(lián)盟發(fā)布了云威脅建模，“提供關(guān)鍵指導(dǎo)，幫助確定威脅建模安全目標(biāo)，設(shè)定評估范圍，分解系統(tǒng)，識別威脅，識別設(shè)計(jì)漏洞，制定緩解

25、和控制措施，以及措施的實(shí)施和溝通”。SaaS客戶為了應(yīng)對使用SaaS平臺的有效風(fēng)險(xiǎn)管理和安全控制要求，應(yīng)制定一個(gè)多管齊下的安全戰(zhàn)略，該戰(zhàn)略適用于在此過程早期確定的SaaS應(yīng)用程序的風(fēng)險(xiǎn)級別和分類。該策略可能包括以下要素：了解可應(yīng)用于SaaS平臺的云客戶適用的安全控制措施和配置（SSO、MFA、角色分配、團(tuán)隊(duì)/組隔離、導(dǎo)出日志或與安全監(jiān)控解決方案集成、IP限制等），并加以應(yīng)用定期審查SaaS的使用情況和適用性針對在SaaS應(yīng)用程序或平臺之外管理或部署的業(yè)務(wù)邏輯或流程進(jìn)行滲透測試對SaaS應(yīng)用程序的配置進(jìn)行持續(xù)的安全態(tài)勢監(jiān)控，并與組織特定的已批準(zhǔn)/預(yù)期配置比較持續(xù)監(jiān)控SaaS應(yīng)用程序生成的審計(jì)、事

26、件或其他更改/活動(dòng)日志，理想的情況是能夠?qū)⑦@些日志與其他SaaS和非SaaS應(yīng)用程序關(guān)聯(lián)持續(xù)監(jiān)控對SaaS應(yīng)用程序中關(guān)鍵數(shù)據(jù)和/或流程的訪問服務(wù)條款未能就事件響應(yīng)以及安全和法律評估權(quán)進(jìn)行強(qiáng)有力的談判也可能帶來風(fēng)險(xiǎn)。如果SaaS提供商違約并且影響到客戶，但沒有履行合同約定的違約通知和補(bǔ)救義務(wù)，則SaaS客戶可能無法降低其法律風(fēng)險(xiǎn)并遵守監(jiān)管義務(wù)。不同區(qū)域的法律和通知義務(wù)可能也有所不同；因此，在采購和合同階段聘請專業(yè)的網(wǎng)絡(luò)律師非常重要。要考慮的合同控制：服務(wù)級別管理服務(wù)提供商SLA與組織的SLA要求（應(yīng)解決資源和支持方面的問題）業(yè)務(wù)連續(xù)性承諾：組織的RPO、RTO與MTPD事件處理和升級備份的可用性

27、法律問題法律和監(jiān)管要求CSP和SaaS服務(wù)的管轄權(quán)、法律要求賠償：管轄權(quán)遷移、并購?fù)ㄖ喊踩㈦[私、法規(guī)遵從性變更和事件終止權(quán)利和流程數(shù)據(jù)可移植性（如果要遷移到其他平臺，則需要考慮數(shù)據(jù)導(dǎo)出問題）數(shù)據(jù)刪除、時(shí)間表和成功刪除的書面通知外包協(xié)議終止時(shí)的退出策略受影響的數(shù)據(jù)使用云的一個(gè)重大風(fēng)險(xiǎn)是，失去對已傳輸?shù)皆频臄?shù)據(jù)的絕對控制，以及外包給云的網(wǎng)絡(luò)可用性。例如，在更傳統(tǒng)的IT環(huán)境中，組織有能力評估和調(diào)整其系統(tǒng)，使其符合適用的法規(guī)和標(biāo)準(zhǔn)。這可能包括基于組織或其客戶所在地的數(shù)據(jù)駐留要求。由于許多SaaS提供商使用位于多個(gè)司法管轄區(qū)的基礎(chǔ)設(shè)施服務(wù)，因此在不考慮這些要求的情況下使用SaaS服務(wù)可能會(huì)增加法規(guī)遵

28、從性風(fēng)險(xiǎn)。SaaS客戶應(yīng)該能夠回答以下問題：SaaS提供商在哪些司法管轄區(qū)運(yùn)營？適用哪些監(jiān)管要求？哪些數(shù)據(jù)將傳輸?shù)絊aaS服務(wù)？SaaS服務(wù)可以訪問哪些數(shù)據(jù)？對SaaS服務(wù)的數(shù)據(jù)依賴程度如何？服務(wù)提供商的法律義務(wù)是什么？例如，支付提供商為了遵守反洗錢（AML）要求需要根據(jù)法律義務(wù)保留一些數(shù)據(jù)。如果政府或軍事實(shí)體請求訪問數(shù)據(jù)，SaaS提供商會(huì)怎么做？例如，如果SaaS應(yīng)用程序中只存儲非敏感數(shù)據(jù)，而不是敏感數(shù)據(jù)（例如社會(huì)保障號碼或金融賬戶數(shù)據(jù)），則可能需要較少的供應(yīng)商審查。控制措施：保密要求取決于數(shù)據(jù)價(jià)值數(shù)據(jù)分類要求（如HIPAA、PCI）數(shù)據(jù)和元數(shù)據(jù)控制：所有權(quán)、處理、許可數(shù)據(jù)位置和主權(quán)可用性要

29、求和數(shù)據(jù)遷移隱私在使用SaaS提供商時(shí)，客戶必須確保他們了解在該提供商中存儲的數(shù)據(jù)對隱私合規(guī)的影響。 SaaS客戶應(yīng)該了解供應(yīng)商是否允許使用他們存儲在SaaS應(yīng)用程序中的數(shù)據(jù)（例如機(jī)器學(xué)習(xí)、匿名數(shù)據(jù)集評估等）。如果允許使用，則需要滿足SaaS客戶的監(jiān)管和審計(jì)要求。不斷變化的監(jiān)管環(huán)境本身增加了與隱私相關(guān)的法規(guī)遵從性或數(shù)據(jù)駐留違規(guī)的風(fēng)險(xiǎn)，使一些客戶和某些類型數(shù)據(jù)的SaaS應(yīng)用程序的部署變得復(fù)雜。國外對美國SaaS提供商存儲歐洲公民數(shù)據(jù)的擔(dān)憂增加了這種潛在風(fēng)險(xiǎn)?？刂疲篠aaS客戶的角色與SaaS服務(wù)的角色？控制者（客戶或員工的PII）處理者（控制者提供的PII）隱私政策：SaaS提供商對其服務(wù)數(shù)據(jù)的

30、權(quán)利違約義務(wù)和責(zé)任PII數(shù)據(jù)清單、可見性數(shù)據(jù)主體的“同意”管理進(jìn)行詳細(xì)風(fēng)險(xiǎn)評估的步驟識別資產(chǎn)識別威脅識別脆弱性制定衡量標(biāo)準(zhǔn)考慮歷史漏洞數(shù)據(jù)計(jì)算成本執(zhí)行風(fēng)險(xiǎn)到資產(chǎn)的動(dòng)態(tài)跟蹤圖2.風(fēng)險(xiǎn)評估周期識別風(fēng)險(xiǎn)識別可能阻礙業(yè)務(wù)目標(biāo)的風(fēng)險(xiǎn)領(lǐng)域:數(shù)據(jù)、財(cái)務(wù)信息、知識產(chǎn)權(quán)/競爭優(yōu)勢的丟失監(jiān)管和法律規(guī)定企業(yè)聲譽(yù)威脅、漏洞、攻擊事件管理技術(shù)復(fù)雜性：人員專業(yè)知識財(cái)務(wù)承諾第三方供應(yīng)商第三方審計(jì)、SOC2報(bào)告、STAR注冊表等人為失誤評估風(fēng)險(xiǎn)定性/定量風(fēng)險(xiǎn)評估治理風(fēng)險(xiǎn)合規(guī)性(GRC)風(fēng)險(xiǎn)容忍度/偏好管理風(fēng)險(xiǎn)根據(jù)風(fēng)險(xiǎn)容忍度實(shí)施物理、技術(shù)、管理控制措施將風(fēng)險(xiǎn)轉(zhuǎn)移給第三方接受風(fēng)險(xiǎn)檢查監(jiān)管內(nèi)部、外部審計(jì)風(fēng)險(xiǎn)分析要識別風(fēng)險(xiǎn)，必須對S

31、aaS服務(wù)和CSP進(jìn)行詳細(xì)的風(fēng)險(xiǎn)評估公司資產(chǎn)在上云之前，應(yīng)進(jìn)行風(fēng)險(xiǎn)評估。風(fēng)險(xiǎn)評估的詳細(xì)程度將因環(huán)境而異。例如，客戶可能會(huì)決定在一個(gè)有限的用例(即沙箱、開發(fā)軟件、測試CSP功能、控制等)下開始使用CSP。在這種情況下，可以進(jìn)行“最小風(fēng)險(xiǎn)評估”。如果CSP的工具和特性滿足CSC的業(yè)務(wù)目標(biāo)，那么應(yīng)該在應(yīng)用正式上線之前進(jìn)行更詳細(xì)的風(fēng)險(xiǎn)評估。在決定進(jìn)行SaaS風(fēng)險(xiǎn)評估時(shí)，應(yīng)該仔細(xì)檢查三個(gè)方面：a)SaaS提供商；b)SaaS提供商的管理實(shí)踐； c)SaaS應(yīng)用程序的技術(shù)安全考慮事項(xiàng)。此表列出了需要考慮的值得關(guān)注的問題。供應(yīng)商實(shí)踐應(yīng)用程序CSP擁有哪些認(rèn)證文件？CSP采用哪些控制措施從邏輯上限制進(jìn)出不同區(qū)

32、域的數(shù)據(jù)？應(yīng)用程序/特權(quán)賬戶是否被集中管理（例如，通過IAM、RBAC或賬戶管理工具CSP是否經(jīng)過第三方評估或?qū)?計(jì)？CSP是否可以提供SOC II類（時(shí)間段）報(bào)告（或同等類型的報(bào)告）？CSP提供了哪些備份/恢復(fù)服務(wù)（例如，應(yīng)用程序、數(shù)據(jù)、虛擬機(jī)）？是否存在安全通道（例如，用于口令、證書、數(shù)據(jù)的安全傳輸）？CSC數(shù)據(jù)是否與CSP一起存儲在本地，或者CSP是否與第三方供應(yīng)商簽訂了合同(用于基礎(chǔ)設(shè)施托管服務(wù))？CSP的突發(fā)事件管理流程是什么？事件如何分類?是否使用SSO/SAML/MFA進(jìn)行安全認(rèn)證?供應(yīng)商實(shí)踐應(yīng)用程序在故障排除、維護(hù)等方面， CSC可獲得何種程度的支援?虛擬機(jī)鏡像、服務(wù)器和數(shù)據(jù)庫

33、是否定期打補(bǔ)丁?CSP的防病毒管理流程是什么?應(yīng)用程序/存儲賬戶是否面向公眾（開放權(quán)限）?CSP的SLA/OLA是什么?如何管理、存儲加密密鑰等?誰有訪問權(quán)限？應(yīng)用程序/軟件是否獲得了云許可？CSP是否提供了支持SaaS的所有第三方供應(yīng)商列表?如果是，CSP是否進(jìn)行背景調(diào)查并簽署保密協(xié)議?為客戶提供了哪些日志記錄工具？SIEM事件威脅檢測工具?軟件/數(shù)據(jù)是否符合任何監(jiān)管/隱私要求？CSP能夠遵守哪些標(biāo)準(zhǔn)和監(jiān)管要求?CSP基于什么標(biāo)準(zhǔn)(即ISO、 NIST、CIS、PCI、HIPAA、GDPR)進(jìn)行基線控制？CSP提供了哪些IDS/IPS工具？應(yīng)用程序的開發(fā)/維護(hù)需要哪些軟件開發(fā)過程/工具(如

34、DevSecOps、GitHub.、 SDLC)？CSP使用了哪些工具/應(yīng)用程序來支持此項(xiàng)工作？CSP的底層架構(gòu)是利用行業(yè)最佳實(shí)踐或標(biāo)準(zhǔn)來設(shè)計(jì)或開發(fā)的嗎？CSP是否提供虛擬機(jī)加固后的鏡像?它們是如何管理/執(zhí)行的?支持此應(yīng)用程序需要哪些 API ?CSP能提供哪些幫助?CSP是否利用/提供云資源的自動(dòng)化工具、腳本(如vm、 IaC、自動(dòng)修復(fù))?CSP是否提供控制措施以防止未經(jīng)授權(quán)的數(shù)據(jù)泄露?CSP是否支持應(yīng)用程序的脆弱性/滲透測試（如有必 要）？需要說明的是，上述風(fēng)險(xiǎn)評估具體針對的是SaaS提供商及其SaaS應(yīng)用程序的底層架構(gòu)和實(shí)現(xiàn)的安全性。它不能替代對SaaS客戶實(shí)施和使用SaaS應(yīng)用程序的持

35、續(xù)安全監(jiān)控和風(fēng)險(xiǎn)審查。為了正確地管理SaaS風(fēng)險(xiǎn)，必須通過不同的視角來理解和看待。只有這樣，才能在一定程度上保證SaaS風(fēng)險(xiǎn)已經(jīng)得到適當(dāng)?shù)淖R別、評估和緩解。風(fēng)險(xiǎn)評估不應(yīng)被視為“一次性完成”的工作。云風(fēng)險(xiǎn)不是固定的，因此應(yīng)該定期評估，并且當(dāng)有重大變化時(shí)也要評估。SaaS客戶需要了解他們的解決方案的需求，然后確保SaaS提供商能夠理解并滿足這些需求。假設(shè)SaaS提供商無法滿足客戶的需求，SaaS客戶有責(zé)任采取補(bǔ)償措施縮小差距或選擇不使用相關(guān)提供商的服務(wù)。云提供商審查最佳實(shí)踐將第三方技術(shù)服務(wù)視為組織中的一種資產(chǎn)建立一種基于風(fēng)險(xiǎn)的第三方評估方法根據(jù)整個(gè)組織的關(guān)鍵利益相關(guān)者的要求制定第三方評估確保業(yè)務(wù)負(fù)

36、責(zé)人參與定期審查風(fēng)險(xiǎn)最高的供應(yīng)商發(fā)布授權(quán)供應(yīng)商/應(yīng)用程序列表在沒有商業(yè)理由和批準(zhǔn)的情況下，要求僅使用認(rèn)可的供應(yīng)商/應(yīng)用程序考慮在整個(gè)組織中使用預(yù)先批準(zhǔn)的供應(yīng)商鼓勵(lì)或強(qiáng)制使用合規(guī)的供應(yīng)商制定政策和程序?yàn)榱税踩夭渴鸷褪褂肧aaS應(yīng)用程序，SaaS客戶必須制定內(nèi)部策略和流程，以持續(xù)評估和監(jiān)控其SaaS應(yīng)用程序的實(shí)施和使用情況。如本節(jié)前面所述，定期對SaaS提供商的技術(shù)、實(shí)踐和認(rèn)證進(jìn)行風(fēng)險(xiǎn)審查和評估；對于SaaS客戶來說，針對配置和SaaS應(yīng)用程序的實(shí)際使用情況制定監(jiān)控和評估方法同樣重要，甚至更為重要。這些政策至少應(yīng)包括：賬戶管理程序集中式身份管理程序數(shù)據(jù)和系統(tǒng)訪問要求，例如：批準(zhǔn)重要訪問的授權(quán)，并

37、要求對這些賬戶進(jìn)行進(jìn)一步的身份驗(yàn)證針對服務(wù)濫用的可接受使用政策在業(yè)務(wù)流程上下文中集成用戶生命周期數(shù)據(jù)分類和標(biāo)簽集成到現(xiàn)有的服務(wù)水平、事件管理和漏洞管理流程中與現(xiàn)有的管理機(jī)制集成、按要求創(chuàng)建和提升，即變更控制與其他安全計(jì)劃一樣，不能把對SaaS應(yīng)用配置、數(shù)據(jù)分類和數(shù)據(jù)訪問的監(jiān)控看作一次性的事情。 SaaS比其他云技術(shù)的迭代更新更加快速，并且可以快速重新配置。SaaS客戶管理員只需一個(gè)不經(jīng)意 的命令或按鈕點(diǎn)擊，就可以大大改變SaaS應(yīng)用的安全態(tài)勢，這進(jìn)一步強(qiáng)調(diào)了對持續(xù)監(jiān)控計(jì)劃的需求。配置和安全態(tài)勢管理必須對關(guān)鍵SaaS應(yīng)用程序(根據(jù)系統(tǒng)中存儲的數(shù)據(jù)的敏感性，或如果受到損害，可能造成的業(yè)務(wù)中斷)進(jìn)行

38、持續(xù)監(jiān)控。這種監(jiān)控能力，最好是自動(dòng)化的，應(yīng)該經(jīng)常運(yùn)行，并能夠在重大變更后臨時(shí)運(yùn)行;理想情況下，它們還應(yīng)該能夠在沙箱或預(yù)生產(chǎn)環(huán)境中運(yùn)行，以便在生產(chǎn)SaaS環(huán)境中運(yùn)行之前驗(yàn)證配置更改。SaaS客戶對關(guān)鍵SaaS應(yīng)用程序的態(tài)勢管理至少應(yīng)該考慮：系統(tǒng)設(shè)置的配置基線，特別是與以下內(nèi)容相關(guān)的設(shè)置：身份身份驗(yàn)證和系統(tǒng)訪問，包括MFA、SSO和地理位置或IP限制密碼策略會(huì)話控制平臺提供的數(shù)據(jù)防泄露和審計(jì)功能平臺提供的加密和自帶密鑰功能已安裝和批準(zhǔn)的第三方插件、集成以及OAuth或與其他云之間的連接將用戶分配給SaaS應(yīng)用程序中的角色、配置文件、組、團(tuán)隊(duì)和SaaS應(yīng)用程序中可以授予額外訪問權(quán)限或功能的任何實(shí)體配

39、置訪問授權(quán)元素和對用戶的有效訪問可能顯示敏感或特權(quán)操作的管理操作和授權(quán)日志跨關(guān)鍵SaaS應(yīng)用程序或環(huán)境的操作相關(guān)性用戶對關(guān)鍵類型的數(shù)據(jù)或記錄的訪問，以及確定讀?。C(jī)密性）和寫入（完整性）離職程序本節(jié)中的配置管理指的是配置控制。在NIST 800-53,CM-2中規(guī)定，“基線配置作為未來構(gòu)建、發(fā)布或系統(tǒng)變更的基礎(chǔ)，包括安全和隱私控制實(shí)現(xiàn)、操作過程、關(guān)于系統(tǒng)組件的信息、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和組件在系統(tǒng)架構(gòu)中的邏輯位置。”維護(hù)基線配置需要在組織系統(tǒng)變化時(shí)創(chuàng)建新的基線。系統(tǒng)的基線配置反映了當(dāng)前的企業(yè)架構(gòu)。”云的好處之一是促進(jìn)了軟件開發(fā)人員快速開發(fā)新功能、應(yīng)用程序和服務(wù)。在目前主要SaaS應(yīng)用程序中，通常包括創(chuàng)

40、建和部署控制關(guān)鍵業(yè)務(wù)流程的少量或無代碼應(yīng)用程序。具有權(quán)限的用戶可以快速部署和調(diào)整這些集成、工作流和應(yīng)用程序。因此，這些權(quán)限對業(yè)務(wù)的潛在影響甚至更大，能夠監(jiān)控和提醒這些功能的錯(cuò)誤配置或使用是很重要的。此外，SaaS應(yīng)用程序的快速配置能力和許多SaaS平臺上云應(yīng)用程序市場的普及，可以允許用戶使用第三方(不是由SaaS客戶或SaaS提供商開發(fā)的)應(yīng)用程序快速擴(kuò)展SaaS平臺。雖然SaaS應(yīng)用程序功能強(qiáng)大，但也會(huì)引入供應(yīng)商風(fēng)險(xiǎn)評估和采購程序中的漏洞。因此，安全組織必須具備監(jiān)控和告警功能，用于檢測第三方應(yīng)用程序與已批準(zhǔn)的SaaS平臺的未經(jīng)授權(quán)的連接，這一點(diǎn)至關(guān)重要。舉一個(gè)例子，需要將營銷自動(dòng)化平臺(MA

41、P)與客戶關(guān)系管理平臺(CRM)集成，從而將MAP數(shù)據(jù)提供給CRM。在此場景中，需要考慮并跟蹤數(shù)據(jù)流動(dòng)的位置，是從MAP到CRM？還是從CRM到MAP？在這種情況下，數(shù)據(jù)流將是從MAP到CRM。然后需要檢查CRM是否有預(yù)先審核過的市場集成。通常情況下，市場集成更安全。在此之后，將檢查最佳實(shí)踐指南，或者聯(lián)系支持人員以獲得那些最佳實(shí)踐(如果無法自助獲取的話)。最后，需要分析如何確保最少特權(quán)并遵守?cái)?shù)據(jù)最小化原則。此外，理解如何刪除連接也是必要的。再看另一個(gè)示例，用戶將其谷歌賬戶與第三方應(yīng)用程序集成。用戶主要查看第三方應(yīng)用程序?qū)@得哪些權(quán)限和范圍，以及應(yīng)用程序能夠代表用戶執(zhí)行哪些操作，然后根據(jù)組織的風(fēng)

42、險(xiǎn)偏好做出判斷，用戶可能需要在這方面獲得安全專家的支持，還可能想知道如何撤銷第三方訪問權(quán)限。在開發(fā)安全態(tài)勢管理策略和規(guī)則時(shí)，SaaS客戶可以利用行業(yè)最佳實(shí)踐(例如:微軟365的CIS基準(zhǔn))，與制定了基線安全策略的SaaS安全態(tài)勢管理供應(yīng)商合作，或者在內(nèi)部努力確定適合組織的最佳實(shí)踐和需求。通常，可以將這些方式結(jié)合起來制定最全面的政策。數(shù)據(jù)安全SaaS客戶應(yīng)該監(jiān)控存儲在SaaS應(yīng)用程序中的敏感數(shù)據(jù)的訪問，其方式與監(jiān)控系統(tǒng)配置和安全狀況類似。同樣，由于SaaS應(yīng)用程序固有的靈活性和可配置性，用戶對數(shù)據(jù)的訪問可能會(huì)快速變化。因此，與SaaS安全監(jiān)控的其他部分一樣，關(guān)鍵是將對數(shù)據(jù)的監(jiān)控訪問視為一個(gè)連續(xù)的

43、過程，而不是一個(gè)時(shí)間點(diǎn)的操作。作為任一數(shù)據(jù)安全和訪問監(jiān)控解決方案的一部分，SaaS客戶都應(yīng)該定期(或使用自動(dòng)化平臺特性)對數(shù)據(jù)按敏感級別、數(shù)據(jù)類型等進(jìn)行分類。這種分類，無論是在外部系統(tǒng)中維護(hù)還是在SaaS平臺本身上維護(hù)，對于設(shè)計(jì)數(shù)據(jù)安全策略并根據(jù)該策略監(jiān)控實(shí)際狀態(tài)至關(guān)重要。關(guān)于數(shù)據(jù)安全的其他注意事項(xiàng)，可能可以作為安全態(tài)勢監(jiān)測的一部分進(jìn)行監(jiān)測，但仍應(yīng)明確定義，包括:配置(和用戶訪問)數(shù)據(jù)導(dǎo)出功能和數(shù)據(jù)備份功能資產(chǎn)、所有權(quán)和責(zé)任清單限制內(nèi)部和外部共享和監(jiān)控系統(tǒng)配置以匹配安全策略密碼控制和要求，并對系統(tǒng)進(jìn)行監(jiān)控，以確保其配置符合預(yù)期另一類可以應(yīng)用于SaaS應(yīng)用程序的安全解決方案是數(shù)據(jù)防泄露(DLP)

44、解決方案。DLP解決方案通常與數(shù)據(jù)的訪問路徑一致，或者作為內(nèi)置的SaaS應(yīng)用程序功能，DLP提供更高級別的信息保護(hù)。DLP可以防止某些類型的文件的轉(zhuǎn)移或泄露。DLP解決方案也與數(shù)據(jù)分類有關(guān)系。首先，需要對數(shù)據(jù)和文檔進(jìn)行分類，以便DLP解決方案能夠理解分類并進(jìn)行相應(yīng)的監(jiān)控(例如，PII、PCI)。DLP運(yùn)行主要基于關(guān)鍵字、短語和元數(shù)據(jù)。在DLP邏輯匹配時(shí)，它可以執(zhí)行一個(gè)或多個(gè)操作，如通知用戶、提醒管理員、阻止傳輸、刪除附件和文檔、編輯敏感數(shù)據(jù)，并保留數(shù)據(jù)副本以供檢查/取證目的。SaaS提供商通常為其客戶提供自動(dòng)化處理的機(jī)制或API。當(dāng)使用大量SaaS系統(tǒng)時(shí)，客戶將選擇與SaaS平臺集成的DLP解

45、決方案，以實(shí)現(xiàn)無縫管理。用戶意識和培訓(xùn)為安全使用此服務(wù)制定最佳實(shí)踐指南強(qiáng)制執(zhí)行數(shù)據(jù)分類和標(biāo)記用戶了解此服務(wù)的安全事件并知道如何報(bào)告它們在可行的情況下添加指導(dǎo)策略（例如，用戶得到訪問某個(gè)類別的授權(quán)服務(wù)的提示，或者記錄使用替代選項(xiàng)的理由)為坦誠的報(bào)告事件營造良好氛圍內(nèi)部威脅離職員工可以將SaaS數(shù)據(jù)分享給他們的個(gè)人賬戶，導(dǎo)致公司數(shù)據(jù)的泄露員工在內(nèi)部過度暴露敏感數(shù)據(jù)（財(cái)務(wù)和工程可以相互使用彼此的信息）敏感數(shù)據(jù)分享給錯(cuò)誤的第三方未落實(shí)職責(zé)分離平臺配置不當(dāng)導(dǎo)致數(shù)據(jù)泄露(例如，包含敏感數(shù)據(jù)的S3存儲桶被公開暴露)員工允許從系統(tǒng)中獲取大量數(shù)據(jù)，這可能會(huì)導(dǎo)致他們在辭職時(shí)泄露或帶走這些數(shù)據(jù)外部威脅第三方合作者可

46、以永遠(yuǎn)訪問你的公司數(shù)據(jù)您的供應(yīng)商與他們的供應(yīng)商共享公司數(shù)據(jù)，這些供應(yīng)商從未通過第三方風(fēng)險(xiǎn)評估使用公司數(shù)據(jù)的第三方合作者使用個(gè)人賬戶，而且通常沒有設(shè)置多因素身份驗(yàn)證第三方供應(yīng)商或其分包商/供應(yīng)商不受監(jiān)管實(shí)體保護(hù)數(shù)據(jù)的約束用法可接受使用政策管理治理定期檢查服務(wù)/供應(yīng)商監(jiān)控存檔版本發(fā)生變更的服務(wù)條款和條件安全保證的有效性持續(xù)的安全性能CSP供應(yīng)商管理具有挑戰(zhàn)性告警監(jiān)控可疑的登錄和數(shù)據(jù)訪問監(jiān)控服務(wù)的使用情況和濫用情況監(jiān)控SLA符合性監(jiān)控登錄和訪問中的任何異常監(jiān)控任何有風(fēng)險(xiǎn)的組織范圍內(nèi)的設(shè)置變化監(jiān)控異常數(shù)據(jù)訪問服務(wù)條款和條件可能會(huì)隨時(shí)發(fā)生變化，導(dǎo)致失去控制。因此，需要使用自動(dòng)化工具持續(xù)監(jiān)控服務(wù)的屬性。很

47、有必要監(jiān)控配置更改并告警。使用情況可見性帶有登錄用戶名和用戶位置的身份驗(yàn)證日志訪問日志審計(jì)日志賬戶配置和撤消配置日志持續(xù)評估并減少攻擊面監(jiān)控服務(wù)的基本屬性，進(jìn)行完整性檢查審查控制以減少攻擊向量監(jiān)控潛在的內(nèi)部故障點(diǎn)配置管理監(jiān)控配置更改，并在必要時(shí)發(fā)出告警數(shù)據(jù)監(jiān)控對敏感數(shù)據(jù)、系統(tǒng)和字段的訪問監(jiān)控管理行為啟用審計(jì)監(jiān)控備份的有效性確保執(zhí)行數(shù)據(jù)備份，更重要的是，通過備份還原來測試備份數(shù)據(jù)的可用性。終止SaaS使用的終止需要統(tǒng)籌和有計(jì)劃的執(zhí)行SaaS服務(wù)最重要但經(jīng)常被忽視的風(fēng)險(xiǎn)之一在于CSP提供的合同傳統(tǒng)上，組織與法律部門合作，協(xié)商服務(wù)提供商的合同條款，使其不那么“對供應(yīng)商友好”，并通過讓服務(wù)提供商承擔(dān)財(cái)

48、務(wù)責(zé)任減輕由服務(wù)提供商造成的任何損失。但云提供商不愿意提供通常的賠償、責(zé)任限制或其他條款，尤其是與隱私和數(shù)據(jù)安全有關(guān)的條款。CSP提出的最普遍的理由是，這些額外的責(zé)任和義務(wù)會(huì)威脅到價(jià)格較低的云計(jì)算模式，而且， 由于CSP不知道他們的客戶在云上存儲了什么，他們不需要承擔(dān)隔離和保護(hù)客戶數(shù)據(jù)的責(zé)任。然而， CSP必須為客戶提供實(shí)現(xiàn)這一目標(biāo)的方法。云協(xié)議中的不利條款可能會(huì)增加云客戶的風(fēng)險(xiǎn)。云客戶還可能希望通過合同來限制CSP用于存儲或處理客戶數(shù)據(jù)的分包商。如果沒有這些限制，客戶可能會(huì)發(fā)現(xiàn)它的數(shù)據(jù)實(shí)際上是從主CSP中流轉(zhuǎn)到了多個(gè)分包商。內(nèi)部流程通知所有用戶服務(wù)終止關(guān)閉所有API訪問供應(yīng)商替換或數(shù)據(jù)提取的

49、指南提取數(shù)據(jù)供未來使用或遷移到新的服務(wù)存儲在哪里，誰應(yīng)該負(fù)責(zé)？確保了解與所有其他系統(tǒng)的集成/數(shù)據(jù)流數(shù)據(jù)保留銷毀備份和剩余數(shù)據(jù)/元數(shù)據(jù)(例如,系統(tǒng)日志、審計(jì)日志、訪問日志,索引)數(shù)據(jù)保留時(shí)間應(yīng)滿足數(shù)據(jù)分類要求導(dǎo)出和刪除財(cái)務(wù)信息導(dǎo)出使用情況和其他報(bào)告資產(chǎn)收益數(shù)據(jù)/元數(shù)據(jù)的導(dǎo)出(例如，審計(jì)日志，訪問日志，備份)符合數(shù)據(jù)位置要求可接受的數(shù)據(jù)格式交付期、方法及訪問時(shí)長解除特定于服務(wù)的附件特定服務(wù)監(jiān)控服務(wù)的安全監(jiān)控服務(wù)管理刪除所有與服務(wù)的集成確保服務(wù)退役確保合同結(jié)束3.2 對信息安全政策的審查由于技術(shù)變化頻繁，因此有必要定期對政策進(jìn)行審查。自上一個(gè)版本以來，可能需要增加額外的可接受的控制。這還要求SaaS

50、操作仍然滿足組織設(shè)定的最低標(biāo)準(zhǔn)。一些解決方案提供商（如CASB）對SaaS服務(wù)提供持續(xù)的評估和評分，并提供基于這些動(dòng)態(tài)分?jǐn)?shù)設(shè)置告警和訪問策略的功能。信息安全組織內(nèi)部組織信息安全角色與責(zé)任雖然很多人將SaaS視為外包責(zé)任，但是清晰地理解云服務(wù)客戶（CSC）和云服務(wù)商（CSP）之間的角色與責(zé)任是很有必要的。當(dāng)客戶選擇潛在云服務(wù)商，執(zhí)行盡職調(diào)查時(shí)，會(huì)有助于減少想當(dāng)然和誤解，并且還將有助于區(qū)分云服務(wù)商和客戶之間的責(zé)任?？梢哉f，了解云服務(wù)商不負(fù)責(zé)什么比了解他們負(fù)責(zé)什么更為重要。充分理解云服務(wù)商和客戶之間的角色與責(zé)任劃分（參見“共享責(zé)任模型”介紹），將會(huì)暴露出很多云客戶無法控制的控制項(xiàng)。一般認(rèn)為，對于大多

51、數(shù)SaaS應(yīng)用場景，客戶負(fù)責(zé)如何授予應(yīng)用和數(shù)據(jù)的訪問權(quán)限。與此同時(shí)，云服務(wù)商負(fù)責(zé)其它事項(xiàng)（例如，SaaS客戶無法控制的已知VM漏洞修復(fù)問題）。因此，云服務(wù)客戶將絕大多數(shù)的安全與維護(hù)活動(dòng)委托給云服務(wù)商。SaaS解決方案的一些功能需要由客戶負(fù)責(zé)?？蛻舯仨殤?yīng)對挑戰(zhàn)，投入時(shí)間了解風(fēng)險(xiǎn)，并將風(fēng)險(xiǎn)減少到可接受的水平。考慮到SaaS應(yīng)用接受低版本TLS協(xié)議（例如TLS1.2）的情形，客戶可能禁止使用老舊版本并強(qiáng)制應(yīng)用程序僅接受TLS1.3協(xié)議。另一個(gè)例子是可能要求使用活動(dòng)目錄對用戶進(jìn)行身份認(rèn)證。盡管如此，SaaS客戶依舊需要管理與技術(shù)控制措施的組合，以保護(hù)資產(chǎn)和資源免受因?qū)aaS平臺依賴而產(chǎn)生的安全和操作

52、風(fēng)險(xiǎn)。下表列出云服務(wù)客戶需要掌握的控制措施，請記住，實(shí)際的技術(shù)控制措施會(huì)因云服務(wù)商而異。技術(shù)控制措施管理控制措施用于安全審計(jì)/日志的系統(tǒng)應(yīng)用賬號用戶/系統(tǒng)授權(quán)特權(quán)賬號多因素認(rèn)證用戶/系統(tǒng)授權(quán)特權(quán)賬號的系統(tǒng)監(jiān)控所有特權(quán)賬號擁有者的年度認(rèn)證所有賬號的身份與訪問管理（IAM）經(jīng)鑒別的加密密鑰的所有權(quán)加密密鑰、數(shù)字證書的安全存儲庫所有云計(jì)算資源/資產(chǎn)的庫存管理安全通訊通道（如HTTPS，SSH，SFTP）獲得網(wǎng)絡(luò)/架構(gòu)團(tuán)隊(duì)的批準(zhǔn)統(tǒng)一儀表盤（管理平面）管理所有云資源/資產(chǎn)（如SIEM，日志集成）用戶授權(quán)指標(biāo)度量合規(guī)性報(bào)告漏洞管理補(bǔ)丁管理修復(fù)加固漏洞的分類漏洞的通知事件管理工具CSP和CSC關(guān)于事件如何定

53、義，溝通和管理達(dá)成一致性風(fēng)險(xiǎn)管理評估工具（包括）：漏洞掃描威脅建模滲透測試風(fēng)險(xiǎn)管理批準(zhǔn)/評審關(guān)鍵風(fēng)險(xiǎn)指標(biāo)與利益相關(guān)方溝通檢查結(jié)果知識轉(zhuǎn)移備注：請參考CSA企業(yè)架構(gòu)CCM共享責(zé)任模型，了解云客戶與云服務(wù)商之間共享責(zé)任的詳細(xì)清單。職責(zé)分離要落實(shí)職責(zé)分離的安全原則，控制措施必須到位。簡言之，職責(zé)分離確保那些關(guān)鍵任務(wù)要求兩個(gè)或更多的人員/實(shí)體才能完成，其目的是防止欺詐或串通。NIST 800-145所定義的“云計(jì)算”，將“按需自助服務(wù)”列為云計(jì)算的基本特征?！鞍葱枳灾?服務(wù)”意味著“消費(fèi)者可以單方面提供計(jì)算能力，如服務(wù)器時(shí)間和網(wǎng)絡(luò)存儲，根據(jù)需要自動(dòng)實(shí)現(xiàn)而 不需要人工交互”。換言之，“按需自服務(wù)”的特性

54、允許云計(jì)算非?？焖俦憬莸貑?dòng)云資源和資產(chǎn)，而不需要最終用戶具備太多專業(yè)知識。這也意味著職責(zé)分離的實(shí)施會(huì)變得非常復(fù)雜，且易于失控。用戶或應(yīng)用創(chuàng)建/啟動(dòng)的云資源可能是各種形式（如用戶/系統(tǒng)/應(yīng)用的賬號ID，角色和賬戶組）?？蛻舯仨毭靼走@些資源可以訪問云內(nèi)/云外的什么資源，以及與這些 ID關(guān)聯(lián)的特權(quán)，然后采取適當(dāng)措施，確保這些賬號執(zhí)行特定任務(wù)時(shí)僅擁有最小權(quán)限。否則，可能導(dǎo)致某個(gè)賬號具有超出預(yù)期的資源訪問權(quán)限。未能實(shí)現(xiàn)職責(zé)分離控制的安全風(fēng)險(xiǎn)，包括未經(jīng)授權(quán)披露機(jī)密/隱私信息、數(shù)據(jù)丟失、完整性受損等等。與監(jiān)管機(jī)構(gòu)的溝通盡管云服務(wù)商需要負(fù)責(zé)大多數(shù)維護(hù)云解決方案的任務(wù)，客戶依舊對云上發(fā)生的一切負(fù)有責(zé)任。這是因

55、為客戶在簽署合同時(shí)，同意“條款細(xì)則”中云服務(wù)商所提供的服務(wù)和限制?？蛻魬?yīng)當(dāng)有書面過程記錄，用以標(biāo)識關(guān)鍵利益相關(guān)方，在事故發(fā)生時(shí)或SLA/OLA（服務(wù)級別協(xié)議/運(yùn)行級別協(xié)議）改變時(shí)，及時(shí)發(fā)出通知。共享這些記錄給云服務(wù)商，以便他們知道發(fā)生事故時(shí)該通知誰。這些利益相關(guān)方應(yīng)當(dāng)清晰了解他們業(yè)務(wù)目標(biāo)/成果和法律合規(guī)/監(jiān)管要求。與特殊利益群體的聯(lián)系云安全面臨的風(fēng)險(xiǎn)每天都在變化，幾乎不可能保持密切跟蹤。因此強(qiáng)烈建議組織指定專門的人 員/團(tuán)隊(duì)與這些特別利益群體建立/維護(hù)關(guān)系。這些群體通常跟蹤最新的，或“0Day”漏洞，同樣地，他們可能分享部分漏洞的可行修復(fù)方案。與特殊利益群體建立關(guān)系能節(jié)省公司的時(shí)間（比如尋找一

56、 個(gè)修復(fù)方案時(shí)）。另一個(gè)好處是，公司可以根據(jù)自身需要，選擇特定利益群體（例如按行業(yè)、技術(shù)、法規(guī)）。最終，這些特殊利益群體可以提供各種最新資訊，包括新趨勢、隱私、威脅、漏洞和修復(fù) 方案。移動(dòng)設(shè)備和遠(yuǎn)程辦公移動(dòng)設(shè)備策略COVID-19（新冠疫情）產(chǎn)生了任何人都無法預(yù)測的影響。許多公司不得不匆忙提供居家辦公方案以確保正常運(yùn)轉(zhuǎn)。通過適配移動(dòng)設(shè)備的Web前端，或安裝在移動(dòng)設(shè)備上的特定SaaS服務(wù)應(yīng)用，提供基于移動(dòng)設(shè)備的SaaS服務(wù)訪問。這些設(shè)備形態(tài)各異，有個(gè)人/企業(yè)分派筆記本電腦，個(gè)人/企業(yè)分派移動(dòng)電話，或平板電腦。沒有人能確信是否會(huì)恢復(fù)到新冠之前的正常狀態(tài)。因此，必須考慮開發(fā)出策略，流程以及指南，支撐

57、安全的持續(xù)運(yùn)營。云客戶必須識別出允許移動(dòng)設(shè)備訪問企業(yè)資源的安全風(fēng)險(xiǎn)，以下是需要考慮領(lǐng)域的樣例：誰能訪問公司資源？這些訪問是僅限于內(nèi)部員工，還是承包商和第三方供應(yīng)商也能訪問？哪些公司資源是每個(gè)人都能訪問的？哪些公司資源應(yīng)限制承包商/第三方提供商訪問？訪問如何被授權(quán)- VPN，軟令牌，多因素認(rèn)證？個(gè)人設(shè)備是否被允許訪問公司資源？如果允許個(gè)人設(shè)備訪問公司資源，我們?nèi)绾伪Ｗo(hù)資源免遭勒索軟件，釣魚，欺騙等攻擊行為？一旦員工/承包商被授權(quán)訪問，我們?nèi)绾未_保他們僅能訪問有明確訪問權(quán)限的資源？訪問行為如何被監(jiān)控或記錄？我們?nèi)绾未_保公司的機(jī)密/秘密信息不被盜，或被轉(zhuǎn)移到異地（或者給了非授權(quán)的個(gè)人或競爭對手）？如

58、果一名員工決定離開公司，應(yīng)該采取哪些措施，以確保公司數(shù)據(jù)不會(huì)被離職員工帶走？除了技術(shù)控制措施，下面是一些同樣需要考慮的管理控制措施（未詳盡列舉）：安全意識培訓(xùn)可接受使用政策數(shù)據(jù)分類標(biāo)準(zhǔn)/策略機(jī)密/秘密數(shù)據(jù)的處理介質(zhì)的管理使用移動(dòng)介質(zhì)加密（針對公司分派設(shè)備）物理管控（針對公司分派設(shè)備）數(shù)據(jù)保留/銷毀資產(chǎn)管理要從SaaS服務(wù)中獲益，SaaS客戶需要提供特定數(shù)據(jù)交由SaaS服務(wù)處理。因此，對于SaaS客戶來說，數(shù)據(jù)的管理顯得尤為重要。資產(chǎn)責(zé)任資產(chǎn)臺賬SaaS客戶應(yīng)當(dāng)能回答以下問題：哪些數(shù)據(jù)會(huì)被轉(zhuǎn)移給SaaS服務(wù)？這些數(shù)據(jù)是如何轉(zhuǎn)移的？SaaS服務(wù)會(huì)訪問哪些數(shù)據(jù)？我們依賴于SaaS服務(wù)的數(shù)據(jù)是哪些？對

59、數(shù)據(jù)是否有地理位置的要求，例如監(jiān)管或客戶服務(wù)要求？在全組織范圍內(nèi)，有多少SaaS應(yīng)用在使用，是否有“影子SaaS”存在？客戶是否能識別出不再使用的資源？那些不使用（但存活）的資源會(huì)迅速增加運(yùn)行開支。客戶是否能便捷地識別所有云托管資源？應(yīng)當(dāng)具備一個(gè)公司級，集中化的資產(chǎn)數(shù)據(jù)庫，以記錄資產(chǎn)的所有權(quán)和管理責(zé)任。此外，還應(yīng)制定一個(gè)企業(yè)范圍內(nèi)的標(biāo)記策略和架構(gòu)。資產(chǎn)標(biāo)記使得客戶方便地精確追蹤云托管資源，能支持企業(yè)安全治理措施，因?yàn)樗沟迷瀑Y源可以按照地理位置，敏感度，法律規(guī)定，成本優(yōu)化以及其它許多屬性進(jìn)行分類。資產(chǎn)識別應(yīng)采取相應(yīng)的流程和解決方案以持續(xù)發(fā)現(xiàn)和識別組織內(nèi)SaaS的使用情況?？梢酝ㄟ^以下4種方式中

60、的一種來實(shí)現(xiàn)。通過流程控制的方法，確保IT和安全在所有SaaS服務(wù)采購和使用之前都能了解通過分析與評估來自防火墻、Web網(wǎng)關(guān)和云訪問安全代理（CASB）的日志通過使用SaaS安全態(tài)勢管理解決方案通過分析SaaS相關(guān)的支出報(bào)告和財(cái)務(wù)記錄資產(chǎn)歸屬SaaS客戶應(yīng)當(dāng)能回答以下問題：誰為存儲在SaaS服務(wù)中的數(shù)據(jù)負(fù)責(zé)？誰是 SaaS的管理員？可接受的資產(chǎn)使用方式包括兩個(gè)部分：允許SaaS提供商對我們的數(shù)據(jù)做哪些處理？元數(shù)據(jù)？我們的SaaS服務(wù)用戶可以對數(shù)據(jù)做哪些處理？數(shù)據(jù)與元數(shù)據(jù)的控制：所有權(quán)，處理，許可。訪問控制訪問控制的業(yè)務(wù)需求訪問控制策略評估一個(gè)人是否需要訪問資源識別業(yè)務(wù)需求和角色基于數(shù)據(jù)分類的信