2023面向云客戶的SaaS治理最佳實(shí)踐

SaaS治理最佳實(shí)踐 客戶管理加密密鑰vs供應(yīng)商管理加密密 階段1:準(zhǔn) 階段2:檢測和分 階段3:遏制、根除和恢 階段4:總結(jié)改 在云安全領(lǐng)域，一直以來關(guān)注的重點(diǎn)幾乎都是對基礎(chǔ)設(shè)施即服務(wù)（Iaa）和平臺即服務(wù)（aa）的保護(hù)。雖然組織一般只使用個(gè)IaaS提供商，但通常會使用數(shù)十到數(shù)百個(gè)aaS產(chǎn)品。云客戶的aa治理最佳實(shí)踐，是aa治理實(shí)踐的基線集合,列舉并考慮了aaS生命周期評估、采用、使用和終止等所有階段的風(fēng)險(xiǎn)以及處理?？糔IST800-145，將SaaS定義為“通過使用供應(yīng)商在云基礎(chǔ)設(shè)施上運(yùn)行的應(yīng)用程序向消費(fèi)者提供的首先尋求一個(gè)適合組織安全、業(yè)務(wù)和監(jiān)管需求的框架（如NISTCSF）。該框架將幫助組織塑造安全遵循廣泛采用的安全框架（如NISTCSF）以及本文檔中的最佳實(shí)踐和建議，將有助于組織建立評采使評理標(biāo)準(zhǔn)ISO31000。CSASTAR共識評估調(diào)查問卷等自我評估計(jì)劃或第三方評估（如SOC2或FedRAMP），有助于CSP向適用的法律框架，并根據(jù)歐盟法院（CJEU）發(fā)布的SchremsII判決，確?？蛻舴?wù)提供商有足夠的內(nèi)隱進(jìn)行詳細(xì)風(fēng)險(xiǎn)評估踐；c)SaaS應(yīng)用程序的技術(shù)安全考慮事項(xiàng)。此表列出了需要考慮的值得關(guān)注的問題。計(jì)？CSP是否可以提供SOCII類CSP提供了哪些備份/恢復(fù)服務(wù)（例如，應(yīng)用程序、數(shù)據(jù)、虛API?CSP本節(jié)中的配置管理指的是配置控制。在NIST800-53,CM-2中規(guī)定，“基線配置作為未來構(gòu)建、DL運(yùn)行主要基于關(guān)鍵字、短語和元數(shù)據(jù)。在DL邏輯匹配時(shí)，它可以執(zhí)行一個(gè)或多個(gè)操作，如通知用戶、提醒管理員、阻止傳輸、刪除附件和文檔、編輯敏感數(shù)據(jù)，并保留數(shù)據(jù)副本以供檢查/取證目的。SaS提供商通常為其客戶提供自動化處理的機(jī)制或AP。當(dāng)使用大量SaS系統(tǒng)時(shí)，客戶將選擇與Sa平臺集成的DL解決方案，以實(shí)現(xiàn)無縫管理。用終SaS解決方案的一些功能需要由客戶負(fù)責(zé)?？蛻舯仨殤?yīng)對挑戰(zhàn)，投入時(shí)間了解風(fēng)險(xiǎn)，并將風(fēng)險(xiǎn)減少到可接受的水平?？紤]到Sa應(yīng)用接受低版本TS協(xié)議（例如TL1.）的情形，客戶可能禁止使用老舊版本并強(qiáng)制應(yīng)用程序僅接受TS13協(xié)議。另一個(gè)例子是可能要求使用活動目錄對用戶進(jìn)行身份認(rèn)證。統(tǒng)一儀表盤（管理平面）NIST800-145所定義的“云計(jì)算”，將“按需自助服務(wù)”列為云計(jì)算的基本特征?！鞍葱枳灾M）ID關(guān)聯(lián)的特權(quán)，然后采SaaS 有對應(yīng)的安全級別，例如使用KeyVault密鑰庫遵循SaaSSaaS應(yīng)用對任何第三方的基于API密碼還應(yīng)被存儲在KeyVault密鑰庫，或類似的用于保護(hù)訪問機(jī)密性、完整性和可用性的安全或令牌Token。如果云服務(wù)客戶不能管理密鑰，那么強(qiáng)烈建議使用KeyVault密鑰庫或類似安全方案首選基于令牌的身份驗(yàn)證（OAuthSaaSAPI應(yīng)僅在指定的IP 云提供商負(fù) 云客戶負(fù) 共享責(zé)（PII）或由您的數(shù)據(jù)隱私和合規(guī)需求定義文時(shí)，最佳加密網(wǎng)絡(luò)協(xié)議是傳輸層安全（TLS）1.2版或更高版本（首選TLS1.3）。為了提升安全TLS1.3刪除了TLS1.2中的一些影響性能的步驟，同時(shí)又不犧牲安全性。TLS1.2和1.3的TLS vs(PECPECISO和NIST等組織通過開放聯(lián)盟領(lǐng)導(dǎo)開(PQC開發(fā)、測試、運(yùn)行（生產(chǎn)）（stagingtoproduct）”工作流（即產(chǎn)品研發(fā)工作流）涉及的環(huán)境中進(jìn)行安全審查，以便在安全與安全團(tuán)隊(duì)可能更習(xí)慣使用的基礎(chǔ)設(shè)施、IaaS、PaaSSaaSSaaSSaaSSIEM存儲解決方案。這使安全團(tuán)隊(duì)能夠有效地監(jiān)控SaaS應(yīng)用程序的活動包含用戶信息（ID）的事件、審計(jì)、活動和其他的日志條目應(yīng)標(biāo)準(zhǔn)化為許多SaaS應(yīng)用程序，尤其是那些具有顯著復(fù)雜性的應(yīng)用程序，都有單獨(dú)的日志記錄或?qū)徲?jì)工要不同的API或訪問方法檢索。這些日志對于SaaS事件監(jiān)控至關(guān)重要，由于它們表示特權(quán)、經(jīng)過身份驗(yàn)證的操作，可能會對以監(jiān)控這些日志的安全自動化技術(shù)，并提醒安全團(tuán)隊(duì)注意特權(quán)用戶（即SaaS管理員）所做的影響確定SaaS應(yīng)用程序的所有者，并將這些所有者與安全功能聯(lián)系起來。在大多數(shù)組織中，SaaS安全屬于企業(yè)安全團(tuán)隊(duì)的責(zé)任。但是，一些組織將SaaS安全定義為應(yīng)用程序安全或第三方風(fēng)險(xiǎn)問跨SaaS應(yīng)用程序控制安全性可能是一項(xiàng)重大挑戰(zhàn)。例如SaaS客戶可能無法緩解發(fā)生在SaaS提這些共享責(zé)任包括管理SaaSNISTCSF、ISO27001或NIST800-53等標(biāo)準(zhǔn)審查策略配置，是降低不合規(guī)或不安全配置環(huán)境風(fēng)險(xiǎn)的有效考慮SaaS應(yīng)用程序接受弱TLSSaaS的關(guān)閉關(guān)鍵安全防護(hù)機(jī)制（如xss防護(hù)）以便于為用戶提供更流暢的體驗(yàn)。在這種情況下，管理員效地得到改善。IT應(yīng)用程序所有者必須負(fù)責(zé)問題的補(bǔ)救，而安全人員必須負(fù)責(zé)分類和跟進(jìn)，確保如云安全聯(lián)盟博客文章“構(gòu)建SaaS安全計(jì)劃：快速入門指南”中所述，“了解哪些SaaS應(yīng)用不可避免的是，業(yè)務(wù)關(guān)鍵型SaaS工作流中可能存在一些最緊迫的安全問題。SaaS提供商可能不受客戶的信息系統(tǒng)審計(jì)控制。但是，客戶需要（通常通過法規(guī)）SaaSIaaS、PaaS、（ISO27001，SOC2TypeII）CSACCMFedRamp、NIST、ISO），并提供對這些標(biāo)準(zhǔn)的認(rèn)證，并定期審查證明控制有效性的云安全聯(lián)盟提供基于云控制矩陣(CCM)版本4的審計(jì)指南。這些指南旨在促進(jìn)和指導(dǎo)CCM審計(jì)。根據(jù)CCMv4.0控制規(guī)范向?qū)徲?jì)員提供了一套評估指南，旨在提高控制實(shí)施的可審計(jì)性并幫SaaSSaaS提供商由于與SaaS提供商的連接可能會遍布公共互聯(lián)網(wǎng)，通過TLS1.2及以上版本保護(hù)傳輸中的數(shù)據(jù)露數(shù)據(jù)?？梢允褂迷圃L問安全代理(CASB)和租賃通道身份驗(yàn)證控制這種風(fēng)險(xiǎn)。(DLP(SASESaaS消費(fèi)者和提供商之間的策略執(zhí)行點(diǎn)促進(jìn)這種SaaS產(chǎn)品幾乎總是建立在第三方服務(wù)之上，包括由供應(yīng)商直接管理和維護(hù)的服務(wù)以及第四方IaaS、PaaSSaaSSaaS消費(fèi)者通常很難理解相關(guān)產(chǎn)品的與傳統(tǒng)的客戶管理軟件部署一樣，可以為SaaS產(chǎn)品(也稱為SaaSBOMs)開發(fā)軟件物料清單(SLA)，不僅針對產(chǎn)品的可用性（也稱為“正常運(yùn)行時(shí)間”），還針對數(shù)并非所有的認(rèn)證和審計(jì)報(bào)告都是相同的，相同的報(bào)告類型覆蓋的范圍也不相同。ISO/IEC然而，SOC2鑒證是基于審計(jì)師對提供商遵守控制措施能力的評估。而且，與ISO/IEC27001不同的是，SOC2報(bào)告本身并不是“認(rèn)證”?；谡趯彶榈恼J(rèn)證標(biāo)準(zhǔn)（由提供商選擇），審計(jì)師SOC2標(biāo)準(zhǔn)”，這不是審計(jì)會給出的結(jié)果。TSP（安全性、機(jī)密性、可用性、處理完整性和隱私）SOC21TSC的系統(tǒng)和控制設(shè)計(jì)。該報(bào)告描述了當(dāng)前的SOC22SOC22審計(jì)通過收集并分析至少六個(gè)月的證據(jù)來進(jìn)行，以查看系統(tǒng)和現(xiàn)有控制是否按照服務(wù)組織管理層的描述運(yùn)行。通常SOC2類型2報(bào)告需要在簽署MNDA（雙方保密協(xié)議）的情況下共享。SOC3SOC22(AICPA(ISO)(IECHITRUST通用數(shù)據(jù)保護(hù)條件ISO/IEC-BSIKitemarkISO/IEC-IRIR完整的功能。如CSA的安全指南v4第20頁所述-對于SaaS，云提供商負(fù)責(zé)幾乎所有層的安全。CSC)只能管理對應(yīng)用程序（包括客戶端設(shè)備）的身份和訪問、應(yīng)用程序的信息清除，以及r提供商支持的某些數(shù)據(jù)加密設(shè)置（如自帶密鑰）。CSC無法控制虛擬化、網(wǎng)絡(luò)和邊界安全。責(zé) 云客戶的責(zé) 云提供商的責(zé) 共享責(zé)在這種模式中，一些技術(shù)責(zé)任會被轉(zhuǎn)移，因此，云客戶有必要明確地與云服務(wù)提供商簽訂符如前所述，CSC無論何種關(guān)系，仍然具有保護(hù)企業(yè)信息和資產(chǎn)的責(zé)任?？刂茩?quán)可以轉(zhuǎn)移，但責(zé)任1式直接相關(guān)。在SaaS（經(jīng)批準(zhǔn)的）SaaS2因?yàn)榭蛻簦–SC）只負(fù)責(zé)保護(hù)數(shù)據(jù)和訪問數(shù)據(jù),此類SaaS環(huán)境中的大多數(shù)事件將由CSP檢測。CSC應(yīng)通過利用身份提供商的身份驗(yàn)證信息和SaaS服務(wù)訪問日志密切監(jiān)控未授權(quán)訪問。CSC完全負(fù)應(yīng)將日志發(fā)送到CSCSIEM或IDS解決方案。此外，利用已建立的SaaSCSP干系人合同援引協(xié)議中商定的網(wǎng)絡(luò)條款并獲得必要的支持以分析34例子是“根因分析（howwegothere）”或“howie”流程，該流程最初由Jeli、Netflix、Slack和自適應(yīng)容量實(shí)驗(yàn)室（AdaptiveCapacitylabs）共同創(chuàng)建，雖然并不是嚴(yán)格以安全為中心。（參見202111月16日谷歌云宕機(jī)的示例）或利用CSA的云網(wǎng)絡(luò)事件共享中心（CloudCISC）。請參 云訪問安全代理(CASBs。內(nèi)部部署或基于云的安全策略執(zhí)行點(diǎn)，位于云服務(wù)消費(fèi)者和云軟件即服務(wù)(SaaS)軟件物料清單。一種正式記錄，包含構(gòu)建軟件中使用的各種組件的詳細(xì)信息和供應(yīng)鏈關(guān)SaaS安全態(tài)勢管理(SSPM)。提供對基于云的SaaS應(yīng)用程序（如Slack、Salesforce和Microsoft365）的自動連續(xù)監(jiān)控，最小化風(fēng)險(xiǎn)配置，防止配置漂移，并幫助安全和IT團(tuán)隊(duì)確AICPAAPI-應(yīng)用程序接口CASBCIACCM-云控制矩陣CSACCMCSASTARCSC-云服務(wù)客戶CSP-云服務(wù)提供商DLP-數(shù)據(jù)防泄露FedRAMPHIPAA-健康保險(xiǎn)攜帶和責(zé)任法案IaaS-基礎(chǔ)設(shè)施即服務(wù)IEC-國際電工委員會ISMSIS