2024云客户的SaaS治理实践.docx

《2024云客户的SaaS治理实践.docx》由会员分享，可在线阅读，更多相关《2024云客户的SaaS治理实践.docx（62页珍藏版）》请在优知文库上搜索。

1、云客户SaaS治理实践目录1弓I言71.1 范围71.2 适宜读者82 .概述82.1 方法82.2 结构92.3 SaaS生命周期注意事项93 .信息安全政策113.1 信息安全策略113.2 对信息安全政策的审查304 .信息安全组织304.1 内部组织304.2 移动设备和远程办公335 .资产管理345.1 资产责任346 .访问控制366.1 访问控制的业务需求366.2 用户访问管理366.3 系统和应用访问控制387 .加密和密钥管理417.1 SaaS环境中的数据安全417.2 加密SaaS提供商共享的数据427.3 客户管理加密密钥VS供应商管理加密密钥457.4 加密和密钥

2、管理的未来状态458 .操作安全478.1 操作程序和职责478.2 防止恶意软件488.3 备份和高可用498.4 日志和监控508.5 技术漏洞管理518.6 信息系统审计注意事项529 .网络安全管理539.1 SaaS提供商网络控制539.2 SaaS消费者网络控制5310 .供应商关系5410. 1供应商关系中的信息安全5411 .事件管理5811.1 云安全事件管理5811.2 SaaS事件响应责任和程序5811.3 阶段1:准备59U.4阶段2:检测和分析5911.5 阶段3:遏制、根除和恢复6011.6 阶段4:总结改进6012 .合规性6112 .1遵守安全策略和标准6112

3、.2 遵守法律和合同要求6212.3 信息安全审查6213 .CASB的功能和发展方向6314 .结论6415 .参考文献6516 定义6617 .缩略词671.引言在云安全领域，直以来关注的重点几乎都是对基础设施即服务(IaaS)和平台即服务(PaaS)的保护。虽然组织一般只使用2-3个IaaS提供商，但通常会使用数十到数百个SaaS产品。云客户的SaaS治理最佳实践，是SaaS治理实践的基线集合,列举并考虑了SaaS生命周期评估、采用、使用和终止等所有阶段的风险以及处理。随着SaaS的广泛应用，组织为了应对这种新情况，必须更新网络安全覆盖的领域。组织必须更新内部策略，包括关键事项，如服务级

4、别协议、安全和隐私要求以及运营影响分析等。同时，应考虑组织运营安全活动受到的影响，例如职责和任务分配，以及对移动设备和远程办公的影响。信息是一种资产，在SaaS模式下，涉及到外部服务提供商时，必须考虑信息的分类、标记和存储需求。虽然SaaS提供商在共享责任模型中承担了大部分责任，但SaaS客户仍然主要负责数据治理和访问控制。这意味着需要明确谁在什么场景下，拥有什么级别的权限，访问什么数据，尤其是在零信任架构中。组织仍然涉及对加密密钥管理和安全运营活动(如漏洞管理、备份和存储)的关键决策。组织需要确保将SaaS提供商视为第三方风险管理计划的一部分，并相应更新事件响应和业务连续性计划和流程。这一点

5、越来越重要，因为从业务连续性的角度，SaaS通常基于远程环境提供关键功能。SaaS工作模式下，即使责任共担，组织仍然必须满足法规合规避从性和监管要求，以保护其利益相关者及其声誉，并避免潜在的法律后果。SaaS模式改变了组织处理网络安全问题的方式，在云厂商和云客户之间引入了共同责任模型。如果不进行相应调整，可能会造成严重后果，如泄露敏感数据、收入损失、失去客户信任和违反监管要求等。1. 1范围本文件： 提供套用于保护SaaS环境数据的SaaS治理最佳实践基线 根据SaaS采用和使用的生命周期列举并考虑风险 从SaaS客户的角度提供潜在的缓解措施1.2适宜读者 SaaS客户 SaaS云服务提供商

6、SaaS安全解决方案提供商 云安全专业人员 法务 网络安全主管 IT主管 风险经理 IT审计员和合规人员 第三方风险经理2.概述软件即服务（SaaS）用户和客户应评估并减轻使用SaaS服务所带来的信息安全风险。本文档参考MST800-145,将SaaS定义为“通过使用供应商在云基础设施上运行的应用程序向消费者提供的能力”。在这种情况下，消费者不会管理或控制云基础设施、操作系统、关联的存储，甚至单个应用程序，特定配置或设置除外。虽然组织选择的云计算服务和安全领域在不断发展，但有关SaaS治理和安全的指导并不多。同时，组织中的不同部门偶尔还会更多地利用SaaS服务（也称影子IT）为其关键业务流程和

7、功能提供支持，并经常在SaaS环境中存储敏感数据。2.1 方法SaaS需要不同的安全治理思维。虽然与其他共享责任框架（即IaaS）的治理有一些相似之处，但SaaS部署和管理需要独特的方法。对SaaS进行适当的安全和治理，尽职调查必须从较高的层次开始，即了解SaaS应用程序的使用和功能，并深入到细节，如系统中存储的数据类型以及谁有权访问。考虑到适当管理SaaS应用程序的使用以及可能部署的无数SaaS应用程序的独特复杂性，组织应首先寻求一个适合组织安全、业务和监管需求的框架（如NlSTCSF）o该框架将帮助组织塑造安全架构所需的人员、流程和技术。遵循广泛采用的安全框架（如NlSTCSF）以及本文档

8、中的最佳实践和建议，将有助于组织建立SaaS治理和安全流程，以降低与SaaS使用相关的风险。2.2 结构本文档定义/SaaS安全性的三个必要组件：流程、平台和应用程序。通过将流程安全性、平台安全性和应用程序安全性结合到一个内聚的策略中，可以实现SaaS的集成安全性。流程安全保护程序活动的完整性，确保流程的输入和愉出不容易受到损害。主要涉及管理方面，包括政策和程序，以确保与组织的流程保持一致。平台安全性涉及平台的安全强度，即SaaS服务的基础依赖性。其中包括SaaS基础设施、操作系统及潜在供应商安全。应用程序安全性处理SaaS应用程序本身的安全性。只有当SaaS应用程序不包含可利用的漏洞，并且实

9、现了符合组织和供应商安全最佳实践以及法规遵从性要求的强化要求时，才能保持安全。在SaaS模型中，有限的控制措施和可见性主要局限于流程和应用程序安全组件。SaaS消费者无法控制SaaS应用程序的平台安全组件或底层供应链。这些情况导致SaaS用户需要在其组织内拥有良好的流程安全性，并确保实现应用程序级的安全控制措施。某些部门特定的安全控制措施通常用于满足隐私、政府或财务合规性。例如FedRAMP、NlST80O-53、HlPAA和PCI-DSS。这些需求通常属于垂直领域，适用于三个SaaS安全领域。2.3 SaaS生命周期注意事项如果管理得当，企业环境中SaaS应用程序的采用和使用通常遵循三个关键

10、生命周期：评估、采用和使用。这些生命周期的常见模式如下。很多组织对SaaS的使用快速有序增长，然而在SaaS应用程序监控方面却是落后的。这样的组织在广泛采用SaaS的同时，实施SaaS安全和治理计划，使用生命周期将是至关重要的。2.3.1 评估评估生命周期发生在采购之前，首先确定可由SaaS应用程序解决的业务需求。在许多组织中，这是在业务范围内的，可能涉及也可能不涉及集中采购的组织。评估生命周期通常由4个步骤组成： 了解用户计划使用的服务 市场研究 试点工作 采购决策如果组织做出了购买决策，那么将开始生命周期中的采用阶段，部署SaaS应用程序。虽然理想情况下，相关安全和合规组织的代表会在评估阶

11、段出席，但这些代表必须参与到采用阶段。当组织构建SaaS安全和治理计划时，这些组织“检查点”是安全团队在SaaS生命周期中的关键集成点。2. 3.2采用几乎所有组织的SaaS生命周期采用阶段都是一致的。它跨越了SaaS应用程序以初始形式（有时可能是一个扩展的试点项目）采购到全面部署和使用增长，直到潜在的终止和退役的整个过程。采用生命周期的长短各不相同，对于大型业务关键型SaaS应用程序，实际上可能是一个稳定的状态，但通常由四个步骤组成： 评估：在评估阶段，云消费者评估SaaS应用程序与需求的匹配度。这通常涉及一个试点或概念验证活动，探索特性、功能和满足业务需求的能力。 采用：生命周期的采用阶段

12、是云消费者开始正式采用SaaS产品并超越试点或概念验证的阶段。这可能涉及将更敏感的数据迁移到SaaS应用程序中，以及将SaaS应用程序推广给其他业务部门使用。 常规使用和扩展：可将常规使用和犷展视为维持阶段。此时，消费者通常将SaaS应用程序用于各种业务功能，并有标准的操作程序供其使用。 终止：生命周期的终止阶段表示云消费者决定不再使用SaaS产品。这可能是由于各种原因，如成本、安全性或可能不再满足业务需求。消费者开始关闭SaaS应用程序的使用，减少敏感数据、账户等。3. 3.3使用SaaS使用生命周期有助于防范日常运营风险和安全问题，如最小权限、身份和访问管理。SaaS使用生命周期由四个步骤

13、组成：资格：该个人或非个人实体是否应该成为服务的用户？ 服务开通：需要做什么才能将此人添加到服务中，以及他们的权限是什么？ 监控：此人对SaaS的使用是否符合组织的预期，有无异常使用？ 服务撤销：如何将此人从服务中删除？SaaS使用生命周期描述了组织如何使用CSP和SaaS服务。了解和监控SaaS的整个使用生命周期非常重要。否则很容易将所有精力都集中在优化生命周期的一个阶段，如初始化阶段，而对企业更轻松或更迅速地实现预期结果却没有帮助。4. 信息安全政策SaaS客户应制定SaaS安全战略，并构建反映该战略的安全架构。一个强大的安全架构应该包括指导SaaS应用程序部署和维护的安全策略。4.1 信

14、息安全策略应制定有关管理SaaS服务的评估、采用、使用和终止的政策。请参阅上述常见SaaS生命周期的描述，并确保组织为每个生命周期阶段制定了全面的策略并评估控制措施。4.1.1 评估任何决策都应该以企业架构（architecture）的需求和流程为指导，应符合适宜环境的总体企业架构（评估产品、服务和工具及其解决的需求）.这可以防止不必要的产品、服务和工具重复。如果确定了需求，则可以开始评估产品、服务和工具。SaaS服务的初始评估通常会让业务、法律和安全利益相关者了解交易的风险并进行相应的处理。关键问题是“这是否与我们的风险状况和企业架构匹配？”4.1.1.1 确定可接受风险评估SaaS服务时，

15、第一步是确定哪些风险与客户的风险偏好一致。SaaS应用程序可以托管在私有、混合或公有云环境中，应用程序运行在应用程序级别的专用或共享资源上（单实例、多租户）。与任何云产品、服务或工具一样，必须理解共享责任模型。根据根0/1EC27001,应使用风险管理方法管理信息安全。SaaS客户应首先确定SaaS服务给组织带来的可接受风险，这构成了评估阶段的基线。可以使用不同的方法管理风险，包括国际风险管理标准ISO31000。确立背景（5.3）监测与审杳(56)沟通和协商(52)风险评估（5.4）风险识别（5.4.2）风险分析（54.3）风险评价（5.4.4）风险处理（5.5）厚即脸醐融一球雌如果了解组织的风险状况，SaaS客户应该能够确定SaaS服务与组织风险管理要求的符合度。可以通过了解SaaS服务的使用情境，并考虑以下因素确定SaaS服务的风险状况：数据：业务流程将存储哪些数据或需要将哪些数据提供给SaaS应用程序？直接成本（通知受影响个人的成本、股票下