面向云客户的SaaS治理最佳实践.pdf
《面向云客户的SaaS治理最佳实践.pdf》由会员分享,可在线阅读,更多相关《面向云客户的SaaS治理最佳实践.pdf(67页珍藏版)》请在咨信网上搜索。
面向云客户的SaaS治理最佳实践 2022 云安全联盟大中华区版权所有3序序言言据 Statista 预测,到 2022 年全球企业服务 SaaS 市场规模将超 1700 亿美元,SaaS 成了真正的“软件终结者”。国内 SaaS 虽然起步较晚但也已经在 2019 年进入了旺盛期,CRM、ERP、HCM、OA、财务、客服、电子签等垂直领域的 SaaS 蓬勃发展。传统软件厂商也纷纷向 SaaS 转型。尤其是新冠疫情爆发以来,很多企业不得不选择远程办公和使用线上 SaaS 应用,疫情成为 SaaS 发展强有力的助推剂。随着 SaaS 的普及,企业软件的安全风险从传统软件转移到了 SaaS 应用。企业的云安全治理范围也从原来的 IaaS 基础设施层和 PaaS 平台层延伸到了 SaaS 应用层。因此,CSA 在发布 CAST 云应用安全可信标准与认证之后,又发布了面向云客户的 SaaS 治理最佳实践(以下简称实践)白皮书,供 SaaS 从业人员及相关的 IT 或安全从业人员参考。实践充分关注到了 SaaS 环境中的数据保护、SaaS 生命周期的风险以及处置等内容。而且基于安全策略、安全组织、资产管理、访问控制、加密和密钥管理、安全运维、网络安全、供应商管理、事件管理、合规等多个安全控制域为业界提供一整套用于 SaaS 治理的指南。实践围绕 SaaS 治理中最核心的问题“确保谁在什么场景下、拥有什么样的权限、可以访问什么数据”,并从评估、采用、使用和终止四个阶段给出了具体措施和建设,同时针对日常应用场景进行了延伸的安全考量。随着数字化转型和数字经济发展浪潮的强势来袭,企业级 SaaS 的需求量也在与日俱增。各行业也正在大力构建新的数字生产力,发挥数字协同效应,为企业发展提供新的动力。相信通过实践中提出的详尽而实用的治理指引,组织及相关从业人员能够掌握 SaaS 治理的最佳方法和路线,提高 SaaS 安全治理水平,合理管控 SaaS 安全风险,切实保护 SaaS 中的数据安全。李雨航 Yale LiCSA 大中华区主席兼研究院院长 2022 云安全联盟大中华区版权所有4致致谢谢面向云客户的SaaS治理最佳实践(SaaS Governance Best Practices for Cloud Customers)由CSA软件SaaS工作组专家编写,CSA大中华区秘书处组织翻译并审校。中中文文版版翻翻译译专专家家(排名不分先后):组组 长长:郭鹏程翻翻译译组组:陈 强侯 俊茆正华 王永霞 薛 琨杨天识审审校校组组:陈 皓郭鹏程姚凯研研究究协协调调员员:江瞿天感感谢谢以以下下单单位位对对本本文文档档的的支支持持与与贡贡献献:北京北森云计算股份有限公司北京启明星辰信息安全技术有限公司上海派拉软件股份有限公司深圳市魔方安全科技有限公司神州数码集团股份有限公司腾讯云计算(北京)有限责任公司英英文文版版本本编编写写专专家家完完成成项项目目领领导导:Chris HughesTim BachMichael RozaAnthony SmithWalter HaydockAndreas PeterAndrew LuhrmannJames UnderwoodAlistair CockeramSaan Vandendriessche完完成成贡贡献献者者:Bryan SolariSai HonigAmit KandpalJessica ShouseAbhishek Vyas审审核核:Jerich BeasonKapil BarejaOr EmanuelUdith WickramasuriyaPriya Pandey最最初初的的领领导导和和贡贡献献者者:Akin AkinbosoyeYao Sing TaoJ.R.SantosMickey LawVani MurthyZeal SomaniPaul LanoisMichael RozaCSA 全全球球员员工工:Shamun Mahmud在此感谢以上专家。如译文有不妥当之处,敬请读者联系CSA GCR秘书处给与雅正!联系邮箱:researchc-;国际云安全联盟CSA公众号。2022 云安全联盟大中华区版权所有5目录序序言言.3致致谢谢.41 1.引引言言.71.1 范围.71.2 适宜读者.82.概概述述.82.1 方法.82.2 结构.92.3 SaaS 生命周期注意事项.93.信信息息安安全全政政策策.113.1 信息安全策略.113.2 对信息安全政策的审查.304.信信息息安安全全组组织织.304.1 内部组织.304.2 移动设备和远程办公.335 5.资资产产管管理理.345.1 资产责任.346 6.访访问问控控制制.366.1 访问控制的业务需求.366.2 用户访问管理.366.3 系统和应用访问控制.387 7.加加密密和和密密钥钥管管理理.417.1 SaaS 环境中的数据安全.417.2 加密 SaaS 提供商共享的数据.427.3客户管理加密密钥 vs 供应商管理加密密钥.457.4 加密和密钥管理的未来状态.458 8.操操作作安安全全.478.1 操作程序和职责.478.2 防止恶意软件.488.3 备份和高可用.498.4 日志和监控.508.5 技术漏洞管理.518.6 信息系统审计注意事项.529 9.网网络络安安全全管管理理.539.1 SaaS 提供商网络控制.539.2 SaaS 消费者网络控制.531 10 0.供供应应商商关关系系.5410.1 供应商关系中的信息安全.541 11 1.事事件件管管理理.5811.1 云安全事件管理.5811.2 SaaS 事件响应责任和程序.5811.3 阶段 1:准备.5911.4 阶段 2:检测和分析.5911.5 阶段 3:遏制、根除和恢复.6011.6 阶段 4:总结改进.60 2022 云安全联盟大中华区版权所有61 12 2.合合规规性性.6112.1 遵守安全策略和标准.6112.2 遵守法律和合同要求.6212.3 信息安全审查.621 13 3.C CA AS SB B 的的功功能能和和发发展展方方向向.631 14 4.结结论论.641 15 5.参参考考文文献献.651 16 6.定定义义.661 17 7.缩缩略略词词.67 2022 云安全联盟大中华区版权所有71 1.引引言言在云安全领域,一直以来关注的重点几乎都是对基础设施即服务(IaaS)和平台即服务(PaaS)的保护。虽然组织一般只使用2-3个IaaS提供商,但通常会使用数十到数百个SaaS产品。云客户的SaaS治理最佳实践,是SaaS治理实践的基线集合,列举并考虑了SaaS生命周期评估、采用、使用和终止等所有阶段的风险以及处理。随着SaaS的广泛应用,组织为了应对这种新情况,必须更新网络安全覆盖的领域。组织必须更新内部策略,包括关键事项,如服务级别协议、安全和隐私要求以及运营影响分析等。同时,应考虑组织运营安全活动受到的影响,例如职责和任务分配,以及对移动设备和远程办公的影响。信息是一种资产,在SaaS模式下,涉及到外部服务提供商时,必须考虑信息的分类、标记和存储需求。虽然SaaS提供商在共享责任模型中承担了大部分责任,但SaaS客户仍然主要负责数据治理和访问控制。这意味着需要明确谁在什么场景下,拥有什么级别的权限,访问什么数据,尤其是在零信任架构中。组织仍然涉及对加密密钥管理和安全运营活动(如漏洞管理、备份和存储)的关键决策。组织需要确保将SaaS提供商视为第三方风险管理计划的一部分,并相应更新事件响应和业务连续性计划和流程。这一点越来越重要,因为从业务连续性的角度,SaaS通常基于远程环境提供关键功能。SaaS工作模式下,即使责任共担,组织仍然必须满足法规合规遵从性和监管要求,以保护其利益相关者及其声誉,并避免潜在的法律后果。SaaS模式改变了组织处理网络安全问题的方式,在云厂商和云客户之间引入了共同责任模型。如果不进行相应调整,可能会造成严重后果,如泄露敏感数据、收入损失、失去客户信任和违反监管要求等。1 1.1 1 范范围围本文件:提供一套用于保护SaaS环境数据的SaaS治理最佳实践基线根据SaaS采用和使用的生命周期列举并考虑风险从SaaS客户的角度提供潜在的缓解措施 2022 云安全联盟大中华区版权所有81 1.2 2 适适宜宜读读者者SaaS客户SaaS云服务提供商SaaS安全解决方案提供商云安全专业人员法务网络安全主管IT主管风险经理IT审计员和合规人员第三方风险经理2.概概述述软件即服务(SaaS)用户和客户应评估并减轻使用SaaS服务所带来的信息安全风险。本文档参考NIST 800-145,将SaaS定义为“通过使用供应商在云基础设施上运行的应用程序向消费者提供的能力”。在这种情况下,消费者不会管理或控制云基础设施、操作系统、关联的存储,甚至单个应用程序,特定配置或设置除外。虽然组织选择的云计算服务和安全领域在不断发展,但有关SaaS治理和安全的指导并不多。同时,组织中的不同部门偶尔还会更多地利用SaaS服务(也称影子IT)为其关键业务流程和功能提供支持,并经常在SaaS环境中存储敏感数据。2 2.1 1 方方法法SaaS需要不同的安全治理思维。虽然与其他共享责任框架(即IaaS)的治理有一些相似之处,但SaaS部署和管理需要独特的方法。对SaaS进行适当的安全和治理,尽职调查必须从较高的层次开始,即了解SaaS应用程序的使用和功能,并深入到细节,如系统中存储的数据类型以及谁有权访问。考虑到适当管理SaaS应用程序的使用以及可能部署的无数SaaS应用程序的独特复杂性,组织应首先寻求一个适合组织安全、业务和监管需求的框架(如NIST CSF)。该框架将帮助组织塑造安全架构所需的人员、流程和技术。2022 云安全联盟大中华区版权所有9遵循广泛采用的安全框架(如NIST CSF)以及本文档中的最佳实践和建议,将有助于组织建立SaaS治理和安全流程,以降低与SaaS使用相关的风险。2 2.2 2 结结构构本文档定义了SaaS安全性的三个必要组件:流程、平台和应用程序。通过将流程安全性、平台安全性和应用程序安全性结合到一个内聚的策略中,可以实现SaaS的集成安全性。流程安全保护程序活动的完整性,确保流程的输入和输出不容易受到损害。主要涉及管理方面,包括政策和程序,以确保与组织的流程保持一致。平台安全性涉及平台的安全强度,即SaaS服务的基础依赖性。其中包括SaaS基础设施、操作系统及潜在供应商安全。应用程序安全性处理SaaS应用程序本身的安全性。只有当SaaS应用程序不包含可利用的漏洞,并且实现了符合组织和供应商安全最佳实践以及法规遵从性要求的强化要求时,才能保持安全。在SaaS模型中,有限的控制措施和可见性主要局限于流程和应用程序安全组件。SaaS消费者无法控制SaaS应用程序的平台安全组件或底层供应链。这些情况导致SaaS用户需要在其组织内拥有良好的流程安全性,并确保实现应用程序级的安全控制措施。某些部门特定的安全控制措施通常用于满足隐私、政府或财务合规性。例如FedRAMP、NIST800-53、HIPAA和PCI-DSS。这些需求通常属于垂直领域,适用于三个SaaS安全领域。2 2.3 3 S Sa aa aS S生生命命周周期期注注意意事事项项如果管理得当,企业环境中SaaS应用程序的采用和使用通常遵循三个关键生命周期:评估、采用和使用。这些生命周期的常见模式如下。很多组织对SaaS的使用快速有序增长,然而在SaaS应用程序监控方面却是落后的。这样的组织在广泛采用SaaS的同时,实施SaaS安全和治理计划,使用生命周期将是至关重要的。2 2.3 3.1 1 评评估估评估生命周期发生在采购之前,首先确定可由SaaS应用程序解决的业务需求。在许多组织中,这是在业务范围内的,可能涉及也可能不涉及集中采购的组织。评估生命周期通常由4个步骤组成:2022 云安全联盟大中华区版权所有10了解用户计划使用的服务市场研究试点工作采购决策如果组织做出了购买决策,那么将开始生命周期中的采用阶段,部署SaaS应用程序。虽然理想情况下,相关安全和合规组织的代表会在评估阶段出席,但这些代表必须参与到采用阶段。当组织构建SaaS安全和治理计划时,这些组织“检查点”是安全团队在SaaS生命周期中的关键集成点。2 2.3 3.2 2 采采用用几乎所有组织的SaaS生命周期采用阶段都是一致的。它跨越了SaaS应用程序以初始形式(有时可能是一个扩展的试点项目)采购到全面部署和使用增长,一直到潜在的终止和退役的整个过程。采用生命周期的长短各不相同,对于大型业务关键型SaaS应用程序,实际上可能是一个稳定的状态,但通常由四个步骤组成:评评估估:在评估阶段,云消费者评估SaaS应用程序与需求的匹配度。这通常涉及一个试点或概念验证活动,探索特性、功能和满足业务需求的能力。采采用用:生命周期的采用阶段是云消费者开始正式采用SaaS产品并超越试点或概念验证的阶段。这可能涉及将更敏感的数据迁移到SaaS应用程序中,以及将SaaS应用程序推广给其他业务部门使用。常常规规使使用用和和扩扩展展:可将常规使用和扩展视为维持阶段。此时,消费者通常将SaaS应用程序用于各种业务功能,并有标准的操作程序供其使用。终终止止:生命周期的终止阶段表示云消费者决定不再使用SaaS产品。这可能是由于各种原因,如成本、安全性或可能不再满足业务需求。消费者开始关闭SaaS应用程序的使用,减少敏感数据、账户等。2 2.3 3.3 3 使使用用SaaS使用生命周期有助于防范日常运营风险和安全问题,如最小权限、身份和访问管理。SaaS使用生命周期由四个步骤组成:2022 云安全联盟大中华区版权所有11资资格格:该个人或非个人实体是否应该成为服务的用户?服服务务开开通通:需要做什么才能将此人添加到服务中,以及他们的权限是什么?监监控控:此人对SaaS的使用是否符合组织的预期,有无异常使用?服服务务撤撤销销:如何将此人从服务中删除?SaaS使用生命周期描述了组织如何使用CSP和SaaS服务。了解和监控SaaS的整个使用生命周期非常重要。否则很容易将所有精力都集中在优化生命周期的一个阶段,如初始化阶段,而对企业更轻松或更迅速地实现预期结果却没有帮助。3.信信息息安安全全政政策策SaaS客户应制定SaaS安全战略,并构建反映该战略的安全架构。一个强大的安全架构应该包括指导SaaS应用程序部署和维护的安全策略。3 3.1 1信信息息安安全全策策略略应制定有关管理SaaS服务的评估、采用、使用和终止的政策。请参阅上述常见SaaS生命周期的描述,并确保组织为每个生命周期阶段制定了全面的策略并评估控制措施。3 3.1 1.1 1 评评估估任何决策都应该以企业架构(architecture)的需求和流程为指导,应符合适宜环境的总体企业架构(评估产品、服务和工具及其解决的需求)。这可以防止不必要的产品、服务和工具重复。如果确定了需求,则可以开始评估产品、服务和工具。SaaS服务的初始评估通常会让业务、法律和安全利益相关者了解交易的风险并进行相应的处理。关键问题是“这是否与我们的风险状况和企业架构匹配?”3 3.1 1.1 1.1 1 确确定定可可接接受受风风险险评估SaaS服务时,第一步是确定哪些风险与客户的风险偏好一致。SaaS应用程序可以托管在私有、混合或公有云环境中,应用程序运行在应用程序级别的专用或共享资源上(单实例、多租户)。与任何云产品、服务或工具一样,必须理解共享责任模型。根据ISO/IEC 27001,应使用风险管理方法管理信息安全。SaaS客户应首先确定SaaS服务给组 2022 云安全联盟大中华区版权所有12织带来的可接受风险,这构成了评估阶段的基线。可以使用不同的方法管理风险,包括国际风险管理标准ISO 31000。图1:ISO风险管理流程,第5条:流程如果了解组织的风险状况,SaaS客户应该能够确定SaaS服务与组织风险管理要求的符合度。可以通过了解SaaS服务的使用情境,并考虑以下因素确定SaaS服务的风险状况:数据:业务流程将存储哪些数据或需要将哪些数据提供给SaaS应用程序?直接成本(通知受影响个人的成本、股票下跌时股东的损失、竞争对手的大量涌入导致的客户流失、利润损失)和间接成本(声誉损害和错过的期货销售、网络保险成本增加、关键员工的解雇)是什么,如果存储在此SaaS应用程序中的数据的机密性或完整性受到损害,则会给业务带来隐形成本(引导员工做出 2022 云安全联盟大中华区版权所有13响应的成本,违规整改的成本)?流程:此服务是否会影响核心或关键业务流程?如果使用SaaS服务,需要修改哪些组织策略和流程?需求:哪些业务需求、法律和法规与此服务相关?在此阶段,应评估以下方面对SaaS客户风险状况的影响:SaaS提供商SaaS服务SaaS提供商的供应商SaaS服务的使用SaaS客户对相关SaaS提供商应用持续监控和态势管理以缓解风险的能力最常见的风险分析方法是经典的CIA分类:保密性完整性可用性有了CIA,应用程序和数据库将根据您的要求进行风险评分。一旦建立了风险足迹,您就可以开始计算SaaS应用程序带来的风险。计算风险的方法有很多,开发风险分析框架取决于组织需要和行业类型。虽然可以将风险管理相关的活动转移到CSP(云服务提供商),但是S Sa aa aS S客客户户本本身身并并不不能能将将其其责责任任外外包包给CSP。SaaS客户必须始终记住,风险所有者有责任承担使用SaaS服务的风险。虽然服务提供商和消费者之间有责任分担,并且存在服务级别协议(SLA)之类的协议,但消费者最终仍然拥有风险。3 3.1 1.1 1.2 2 安安全全和和隐隐私私要要求求一旦确定了风险水平基线,许多云服务客户就会参与安全和隐私尽职调查。云服务客户通常会向云提供商发送评估问卷或信息请求(RFI)以供填写。2022 云安全联盟大中华区版权所有14这些调查问卷询问客户希望看到的CSP实施的内部安全控制措施,通常解决有关安全和隐私的监管要求问题。CSA STAR共识评估调查问卷等自我评估计划或第三方评估(如SOC2或FedRAMP),有助于CSP向潜在客户告知SaaS提供商的安全能力和现有做法。自我评估或第三方报告还询问云提供商使用和披露个人信息的情况,或个人信息将在何处处理。这些项目还询问云提供商是否将信息用于自己的目的或将其披露给第三方(例如,向第三方广告商披露)。注意数据的位置也很重要,因为可能存在数据主权要求。第三方评估的一些关键领域包括:认证和标准数据保护访问控制可审计性灾难恢复和业务连续性法律和隐私漏洞和漏洞利用3 3.1 1.1 1.3 3 沟沟通通要要求求这些问卷或报告中的应答允许客户进一步完善其风险评估,并反馈到云交易的签约阶段。许多云客户为了加强其风险评估和尽职调查流程,并作为供应商管理的一部分,创建了标准的数据安全和隐私计划或条款,并包含在云合同中。这些附表或条款的目的是多方面的,可能会产生严重后果。一个目的是解决监管问题,例如保证数据满足特定地区的监管要求。另一个是创建使云供应商遵守合理的安全标准的机制。这些附表或条款还可以约定事件响应义务,并转移因云供应商造成的数据泄露或隐私侵犯的损失风险。还可以要求在特定时间以特定方式响应数据泄露等问题,包括审计权,以及执行定期监测和控制活动的权利。此外,必须了解CSP和消费者之间执行或管理合同的相关司法管辖区和监管框架。例如:如果您正在寻找一个SaaS平台存储或处理员工或客户PII(个人可识别信息),并且在GDPR的适用范围,2022 云安全联盟大中华区版权所有15那么需要查看CSP是否存储欧盟/欧洲经济区或提供充分保护的国家的数据。如果没有,您需要了解适用的法律框架,并根据欧盟法院(CJEU)发布的Schrems II判决,确保客户服务提供商有足够的保护和补充技术控制保护数据。总体目标是通过合同与云服务提供商无缝衔接,并尽可能降低客户的风险。供应商管理计划中的签约流程有时会进一步细化,允许客户在与云服务提供商谈判期间针对某些条款预先建立“后备”措施。这可能包括在终止合同时如何传输数据和其他事项(例如,防止供应商锁定)。客户的法务团队和安全团队通常都会参与这些条款的谈判。3 3.1 1.1 1.4 4 内内审审客户应制定SaaS安全战略,并构建反映该战略的安全架构。SaaS客户应该记住他们负责的云共享责任模型的部分。也就是说,SaaS客户最终负责SaaS平台在设计限制内(即客户权限和责任范围内)的安全配置、管理和使用。威胁建模和威胁分析是开发SaaS安全策略的关键。云安全联盟发布了云威胁建模,“提供关键指导,帮助确定威胁建模安全目标,设定评估范围,分解系统,识别威胁,识别设计漏洞,制定缓解和控制措施,以及措施的实施和沟通”。SaaS客户为了应对使用SaaS平台的有效风险管理和安全控制要求,应制定一个多管齐下的安全战略,该战略适用于在此过程早期确定的SaaS应用程序的风险级别和分类。该策略可能包括以下要素:了解可应用于SaaS平台的云客户适用的安全控制措施和配置(SSO、MFA、角色分配、团队/组隔离、导出日志或与安全监控解决方案集成、IP限制等),并加以应用定期审查SaaS的使用情况和适用性针对在SaaS应用程序或平台之外管理或部署的业务逻辑或流程进行渗透测试对SaaS应用程序的配置进行持续的安全态势监控,并与组织特定的已批准/预期配置比较持续监控SaaS应用程序生成的审计、事件或其他更改/活动日志,理想的情况是能够将这些日志与其他SaaS和非SaaS应用程序关联持续监控对SaaS应用程序中关键数据和/或流程的访问3 3.1 1.1 1.5 5 服服务务条条款款未能就事件响应以及安全和法律评估权进行强有力的谈判也可能带来风险。2022 云安全联盟大中华区版权所有16如果SaaS提供商违约并且影响到客户,但没有履行合同约定的违约通知和补救义务,则SaaS客户可能无法降低其法律风险并遵守监管义务。不同区域的法律和通知义务可能也有所不同;因此,在采购和合同阶段聘请专业的网络律师非常重要。要考虑的合同控制:服务级别管理服务提供商SLA与组织的SLA要求(应解决资源和支持方面的问题)业务连续性承诺:组织的RPO、RTO与MTPD事件处理和升级备份的可用性法律问题法律和监管要求CSP和SaaS服务的管辖权、法律要求赔偿:管辖权迁移、并购通知:安全、隐私、法规遵从性变更和事件终止权利和流程数据可移植性(如果要迁移到其他平台,则需要考虑数据导出问题)数据删除、时间表和成功删除的书面通知外包协议终止时的退出策略3 3.1 1.1 1.6 6 受受影影响响的的数数据据使用云的一个重大风险是,失去对已传输到云的数据的绝对控制,以及外包给云的网络可用性。例如,在更传统的IT环境中,组织有能力评估和调整其系统,使其符合适用的法规和标准。这可能包括基于组织或其客户所在地的数据驻留要求。由于许多SaaS提供商使用位于多个司法管辖区的基础设施服务,因此在不考虑这些要求的情况下使用SaaS服务可能会增加法规遵从性风险。SaaS客户应该能够回答以下问题:2022 云安全联盟大中华区版权所有17SaaS提供商在哪些司法管辖区运营?适用哪些监管要求?哪些数据将传输到SaaS服务?SaaS服务可以访问哪些数据?对SaaS服务的数据依赖程度如何?服务提供商的法律义务是什么?例如,支付提供商为了遵守反洗钱(AML)要求需要根据法律义务保留一些数据。如果政府或军事实体请求访问数据,SaaS提供商会怎么做?例如,如果SaaS应用程序中只存储非敏感数据,而不是敏感数据(例如社会保障号码或金融账户数据),则可能需要较少的供应商审查。控制措施:保密要求取决于数据价值数据分类要求(如HIPAA、PCI)数据和元数据控制:所有权、处理、许可数据位置和主权可用性要求和数据迁移3 3.1 1.1 1.7 7 隐隐私私在使用SaaS提供商时,客户必须确保他们了解在该提供商中存储的数据对隐私合规的影响。SaaS客户应该了解供应商是否允许使用他们存储在SaaS应用程序中的数据(例如机器学习、匿名数据集评估等)。如果允许使用,则需要满足SaaS客户的监管和审计要求。不断变化的监管环境本身增加了与隐私相关的法规遵从性或数据驻留违规的风险,使一些客户和某些类型数据的SaaS应用程序的部署变得复杂。国外对美国SaaS提供商存储欧洲公民数据的担忧增加了这种潜在风险。控制:2022 云安全联盟大中华区版权所有18SaaS客户的角色与SaaS服务的角色?控制者(客户或员工的PII)处理者(控制者提供的PII)隐私政策:SaaS提供商对其服务数据的权利违约义务和责任PII数据清单、可见性数据主体的“同意”管理3 3.1 1.1 1.8 8 进进行行详详细细风风险险评评估估的的步步骤骤1.识别资产2.识别威胁3.识别脆弱性4.制定衡量标准5.考虑历史漏洞数据6.计算成本7.执行风险到资产的动态跟踪图2.风险评估周期 2022 云安全联盟大中华区版权所有193 3.1 1.1 1.9 9 识识别别风风险险识别可能阻碍业务目标的风险领域:数据、财务信息、知识产权/竞争优势的丢失监管和法律规定企业声誉威胁、漏洞、攻击事件管理技术复杂性:人员专业知识财务承诺第三方供应商第三方审计、SOC2报告、STAR注册表等人为失误3 3.1 1.1 1.1 10 0 评评估估风风险险定性/定量风险评估治理风险合规性(GRC)风险容忍度/偏好3 3.1 1.1 1.1 11 1 管管理理风风险险根据风险容忍度实施物理、技术、管理控制措施将风险转移给第三方接受风险3 3.1 1.1 1.1 12 2 检检查查监监管管内部、外部审计风险分析 2022 云安全联盟大中华区版权所有20要识别风险,必须对SaaS服务和CSP进行详细的风险评估公司资产在上云之前,应进行风险评估。风险评估的详细程度将因环境而异。例如,客户可能会决定在一个有限的用例(即沙箱、开发软件、测试CSP功能、控制等)下开始使用CSP。在这种情况下,可以进行“最小风险评估”。如果CSP的工具和特性满足CSC的业务目标,那么应该在应用正式上线之前进行更详细的风险评估。在决定进行SaaS风险评估时,应该仔细检查三个方面:a)SaaS提供商;b)SaaS提供商的管理实践;c)SaaS应用程序的技术安全考虑事项。此表列出了需要考虑的值得关注的问题。供供应应商商实实践践应应用用程程序序CSP拥有哪些认证文件?CSP采用哪些控制措施从逻辑上限制进出不同区域的数据?应用程序/特权账户是否被集中管理(例如,通过IAM、RBAC或账户管理工具CSP是否经过第三方评估或审计?CSP是否可以提供SOC II类(时间段)报告(或同等类型的报告)?CSP提供了哪些备份/恢复服务(例如,应用程序、数据、虚拟机)?是否存在安全通道(例如,用于口令、证书、数据的安全传输)?CSC数据是否与CSP一起存储在本地,或者CSP是否与第三方供应商签订了合同(用于基础设施托管服务)?CSP的突发事件管理流程是什么?事件如何分类?是否使用SSO/SAML/MFA进行安全认证?2022 云安全联盟大中华区版权所有21供供应应商商实实践践应应用用程程序序在故障排除、维护等方面,CSC可获得何种程度的支援?虚拟机镜像、服务器和数据库是否定期打补丁?CSP的防病毒管理流程是什么?应用程序/存储账户是否面向公众(开放权限)?CSP的SLA/OLA是什么?如何管理、存储加密密钥等?谁有访问权限?应用程序/软件是否获得了云许可?CSP是否提供了支持SaaS的所有第三方供应商列表?如果是,CSP是否进行背景调查并签署保密协议?为客户提供了哪些日志记录工具?SIEM事件威胁检测工具?软件/数据是否符合任何监管/隐私要求?CSP能够遵守哪些标准和监管要求?CSP基于什么标准(即ISO、NIST、CIS、PCI、HIPAA、GDPR)进行基线控制?CSP提供了哪些IDS/IPS工具?应用程序的开发/维护需要哪些软件开发过程/工具(如DevSecOps、GitHub.、SDLC)?CSP使用了哪些工具/应用程序来支持此项工作?CSP的底层架构是利用行业最佳实践或标准来设计或开发的吗?CSP是否提供虚拟机加固后的镜像?它们是如何管理/执行的?支持此应用程序需要哪些API?CSP能提供哪些帮助?CSP是否利用/提供云资源的自动化工具、脚本(如vm、IaC、自动修复)?CSP是否提供控制措施以防止未经授权的数据泄露?CSP是否支持应用程序的脆弱性/渗透测试(如有必要)?需要说明的是,上述风险评估具体针对的是SaaS提供商及其SaaS应用程序的底层架构和实现的安全性。它不能替代对SaaS客户实施和使用SaaS应用程序的持续安全监控和风险审查。为了正确地管理SaaS风险,必须通过不同的视角来理解和看待。只有这样,才能在一定程度上保证SaaS风险已经得到适当的识别、评估和缓解。风险评估不应被视为“一次性完成”的工作。云风险不是固定的,因此应该定期评估,并且当有重大变化时也要评估。SaaS客户需要了解他们的解决方案的需求,然后确保SaaS提供商能够理解并满足这些需求。假设SaaS提供商无法满足客户的需求,SaaS客户有责任采取补偿措施缩小差距或选择不使用相关提供 2022 云安全联盟大中华区版权所有22商的服务。3 3.1 1.1 1.1 13 3 云云提提供供商商审审查查最最佳佳实实践践将第三方技术服务视为组织中的一种资产建立一种基于风险的第三方评估方法根据整个组织的关键利益相关者的要求制定第三方评估确保业务负责人参与定期审查风险最高的供应商发布授权供应商/应用程序列表在没有商业理由和批准的情况下,要求仅使用认可的供应商/应用程序考虑在整个组织中使用预先批准的供应商鼓励或强制使用合规的供应商3 3.1 1.1 1.1 14 4 制制定定政政策策和和程程序序为了安全地部署和使用SaaS应用程序,SaaS客户必须制定内部策略和流程,以持续评估和监控其SaaS应用程序的实施和使用情况。如本节前面所述,定期对SaaS提供商的技术、实践和认证进行风险审查和评估;对于SaaS客户来说,针对配置和SaaS应用程序的实际使用情况制定监控和评估方法同样重要,甚至更为重要。这些政策至少应包括:账户管理程序集中式身份管理程序数据和系统访问要求,例如:批准重要访问的授权,并要求对这些账户进行进一步的身份验证针对服务滥用的可接受使用政策在业务流程上下文中集成用户生命周期数据分类和标签集成到现有的服务水平、事件管理和漏洞管理流程中与现有的管理机制集成、按要求创建和提升,即变更控制 2022 云安全联盟大中华区版权所有23与其他安全计划一样,不能把对SaaS应用配置、数据分类和数据访问的监控看作一次性的事情。SaaS比其他云技术的迭代更新更加快速,并且可以快速重新配置。SaaS客户管理员只需一个不经意的命令或按钮点击,就可以大大改变SaaS应用的安全态势,这进一步强调了对持续监控计划的需求。3 3.1 1.1 1.1 15 5 配配置置和和安安全全态态势势管管理理必须对关键SaaS应用程序(根据系统中存储的数据的敏感性,或如果受到损害,可能造成的业务中断)进行持续监控。这种监控能力,最好是自动化的,应该经常运行,并能够在重大变更后临时运行;理想情况下,它们还应该能够在沙箱或预生产环境中运行,以便在生产SaaS环境中运行之前验证配置更改。SaaS客户对关键SaaS应用程序的态势管理至少应该考虑:系统设置的配置基线,特别是与以下内容相关的设置:身份身份验证和系统访问,包括MFA、SSO和地理位置或IP限制密码策略会话控制平台提供的数据防泄露和审计功能平台提供的加密和自带密钥功能已安装和批准的第三方插件、集成以及OAuth或与其他云之间的连接将用户分配给SaaS应用程序中的角色、配置文件、组、团队和SaaS应用程序中可以授予额外访问权限或功能的任何实体配置访问授权元素和对用户的有效访问可能显示敏感或特权操作的管理操作和授权日志跨关键SaaS应用程序或环境的操作相关性用户对关键类型的数据或记录的访问,以及确定读取(机密性)和写入(完整性)离职程序本节中的配置管理指的是配置控制。在NIST 800-53,CM-2中规定,“基线配置作为未来构建、发布或系统变更的基础,包括安全和隐私控制实现、操作过程、关于系统组件的信息、网络拓扑结构和组件在系统架构中的逻辑位置。”维护基线配置需要在组织系统变化时创建新的基线。系统的 2022 云安全联盟大中华区版权所有24基线配置反映了当前的企业架构。”云的好处之一是促进了软件开发人员快速开发新功能、应用程序和服务。在目前主要SaaS应用程序中,通常包括创建和部署控制关键业务流程的少量或无代码应用程序。具有权限的用户可以快速部署和调整这些集成、工作流和应用程序。因此,这些权限对业务的潜在影响甚至更大,能够监控和提醒这些功能的错误配置或使用是很重要的。此外,SaaS应用程序的快速配置能力和许多SaaS平台上云应用程序市场的普及,可以允许用户使用第三方(不是由SaaS客户或SaaS提供商开发的)应用程序快速扩展SaaS平台。虽然SaaS应用程序功能强大,但也会引入供应商风险评估和采购程序中的漏洞。因此,安全组织必须具备监控和告警功能,用于检测第三方应用程序与已批准的SaaS平台的未经授权的连接,这一点至关重要。举一个例子,需要将营销自动化平台(MAP)与客户关系管理平台(CRM)集成,从而将MAP数据提供给CRM。在此场景中,需要考虑并跟踪数据流动的位置,是从MAP到CRM?还是从CRM到MAP?在这种情况下,数据流将是从MAP到CRM。然后需要检查CRM是否有预先审核过的市场集成。通常情况下,市场集成更安全。在此之后,将检查最佳实践指南,或者联系支持人员以获得那些最佳实践(如果无法自助获取的话)。最后,需要分析如何确保最少特权并遵守数据最小化原则。此外,理解如何删除连接也是必要的。再看另一个示例,用户将其谷歌账户与第三方应用程序集成。用户主要查看第三方应用程序将获得哪些权限和范围,以及应用程序能够代表用户执行哪些操作,然后根据组织的风险偏好做出判断,用户可能需要在这方面获得安全专家的支持,还可能想知道如何撤销第三方访问权限。在开发安全态势管理策略和规则时,SaaS客户可以利用行业最佳实践(例如:微软365的CIS基准),与制定了基线安全策略的SaaS安全态势管理供应商合作,或者在内部努力确定适合组织的最佳实践和需求。通常,可以将这些方式结合起来制定最全面的政策。3 3.1 1.1 1.1 16 6 数数据据安安全全SaaS客户应该监控存储在SaaS应用程序中的敏感数据的访问,其方式与监控系统配置和安全状况类似。同样,由于SaaS应用程序固有的灵活性和可配置性,用户对数据的访问可能会快速变化。因此,与SaaS安全监控的其他部分一样,关键是将对数据的监控访问视为一个连续的过程,而不是一个时间点的操作。作为任一数据安全和访问监控解决方案的一部分,SaaS客户都应该定期(或使用自动化平台特 2022 云安全联盟大中华区版权所有25性)对数据按敏感级别、数据类型等进行分类。这种分类,无论是在外部系统中维护还是在SaaS平台本身上维护,对于设计数据安全策略并根据该策略监控实际状态至关重要。关于数据安全的其他注意事项,可能可以作为安全态势监测的一部分进行监测,但仍应明确定义,包括:配置(和用户访问)数据导出功能和数据备份功能资产、所有权和责任清单限制内部和外部共享和监控系统配置以匹配安全策略密码控制和要求,并对系统进行监控,以确保其配置符合预期另一类可以应用于SaaS应用程序的安全解决方案是数据防泄露(DLP)解决方案。DLP解决方案通常与数据的访问路径一致,或者作为内置的SaaS应用程序功能,DLP提供更高级别的信息保护。DLP可以防止某些类型的文件的转移或泄露。DLP解决方案也与数据分类有关系。首先,需要对数据和文档进行分类,以便DLP解决方案能够理解分类并进行相应的监控(例如,PII、PCI)。DLP运行- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 面向 客户 SaaS 治理 最佳 实践
咨信网温馨提示:
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【宇***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【宇***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【宇***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【宇***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
关于本文