[[134628]]

在2014年11月，應用安全服務供應商Adallom發布了一份名為“云使用風險報告”的研究報告，文中列舉了在過去幾年中Adallom從其用戶那里收集到的云特有風險和安全性問題。大量有趣的統計數據表明有很多企業未能正確實施和管理云供應商的安全控制措施，其中重災區在軟件即服務(SaaS)。在該報告中還有一些更為有趣的數據：

• 大部分企業并沒有妥善管理SaaS應用的用戶賬戶。在2013年至2014年之間，11%的企業SaaS賬戶都是“僵尸賬戶”——也就是說這些賬戶目前都沒有與之相關的正常用戶。此外，Adallom發現80%的企業都至少有一個僵尸賬戶未被禁用——通常這個賬戶屬于一個前員工。
• 最小權限的概念在云中并不適用。Adallom表示在很多賬戶中有很多的管理員，大約一百個賬戶中有7個是管理員。
• 19%的云應用用戶在可能的情況下都繞過了身份驗證和訪問管理的控制措施。
• 企業私有文件中的5%實際上都可以從不同云應用環境公開訪問，這表明企業缺少在云中實施訪問控制。
• 29%的員工使用他們的個人電子郵件賬戶來分享云應用文件。
• 公司的平均共享信息為393個外部域。

這些統計數據反映出了很多的問題。首先，這些數字意味著安全團隊可能在SaaS環境中并沒有花很大精力用于配置、監控和管理數據與用戶賬戶的信息。很多安全專家都把精力集中在關注云供應商整體控制能力上，以及那些可以被移植到PaaS和IaaS環境中的第三方或內部工具。他們很多人都在一個或多個方面忽視了SaaS安全性問題。其次，這些數據有力地表明，云中亞健康IT的規模和嚴重程度都在不斷增加，即在較長時間內數據與用戶賬戶無人問津或無人管理。

制定一個云應用安全性策略

那么，企業應當采取哪些措施來應對這些SaaS環境中的安全性問題呢?在開始著手之前，安全團隊需要確定云應用安全策略到位，它為特定數據類型和敏感層次明確了控制要求。這應當與云風險評估過程緊密結合起來，后者主要對所提議的項目進行安全控制狀態評估和候選供應商能力評估。除了供應商的一般安全狀況以外，對于SaaS環境還需特別注意其他幾個關鍵點。

首先，企業應找出供應商提供了哪些類型的身份驗證和訪問管理集成方法。例如一家與內部LDAP存儲(如Active Directory)進行本地集成、支持針對身份數據交換和更新的SAML、以及為身份管理提供大量API的供應商將有可能更多地為安全團隊提供更多功能，因為后者隨著時間的推移希望能夠提高對用戶身份的管理能力。

然后，企業必須確定供應商是否支持數據生命周期控制，即非活躍用戶賬戶將自動暫停或者短期用戶可以擁有一個來自于實例的生命周期。

安全團隊還必須找出可用于保護對保存在SaaS環境中數據訪問的加密類型和訪問控制選項。對于加密產品，他們應確定密鑰的保存位置及其控制密鑰的責任人。

此外，對管理控制臺和參數顯示面板的管理控制也是很關鍵的。在理想情況下，SaaS供應商對控制臺及其功能提供了基于角色的訪問，另外還包括證書、令牌以及集成現有企業控制與工具的其他方法在內的多重訪問控制方法。

***，企業需要確定是否能夠得到SaaS環境中所有的活動日志，獲得的頻率以及日志的格式。是否有直接日志可用?如果沒有，是否可以使用API來訪問日志數據，或者腳本程序和自動化工具呢?一家企業獲得的日志和事件數據越多，它就能把數據與SIEM結合得越好，日志管理平臺也就能夠分析在SaaS環境中的用戶行為。

SaaS安全控制的重要性

在過去幾年中，SaaS安全性并沒有像PaaS和IaaS安全性那樣表現得那么重要。但是，隨著越來越多的敏感數據被保存在眾多SaaS環境中，我們無法再容忍開放權限模式、亞健康賬戶或僵尸賬戶，或者將導致重大安全問題的過度權限分配。企業應當對他們目前正在使用的SaaS環境重視起來，評估其安全控制措施、用戶當前狀態、以及在SaaS中所保存的數據，并為在未來的任何SaaS實施計劃做好準備。

原文鏈接：http://www.searchcloudcomputing.com.cn/showcontent_89066.htm