曾任美国国土安全部和美国国税局首席信息官,现任Learning Tree International公司首席执行官的Richard A.Spires对云计算技术和SaaS安全进行了分析和阐述。
他表示,采用云计算有很多好处,既有通过基础设施即服务(IaaS)和平台即服务(PaaS)交付模型实现按需计算的优势,也包括使用软件即服务(SaaS)应用程序的好处。特别是,基于SaaS的应用程序正日益成为企业快速便捷地采用新应用程序的方式。这推动了巨大的市场增长,而在美国上市的SaaS初创企业如今有11000家以上,而根据调研机构IDC公司的分析,到2019年,全球基于SaaS的市场规模超过1120亿美元。
IT组织需要开发一种全面的方法来解决依赖第三方计算和应用程序带来的安全挑战
尽管云计算和SaaS业务模型可以使IT组织降低基础设施成本并提高支持客户的敏捷性,但同时也增加了处理IT安全性的复杂性。IT组织不仅在某种程度上放弃了对某些IT基础设施的控制和可视性,在某种程度上利用了基于SaaS的应用程序,而且还让第三方存储和控制敏感数据。不久前,IT安全人员还致力于保护组织的IT外围环境。随着出现新的计算和服务模型,人们不得不承认传统的外围设备已经不复存在。
A.Spires认为,SaaS安全性是双重挑战。首先,对于第三方云计算服务提供商的使用(包括更传统的外包数据中心服务),组织需要对这些提供商正在实施适当的安全控制措施具有信心,这些控制应该与(或至少类似)他们将在其自己的数据中心和网络中实施的内容相匹配。这些控制范围从人员的物理访问到包括系统管理访问的身份管理和适当的网络加密。一些非营利组织一直在努力使这一行业的控制标准化。
值得注意的是,云安全联盟(CSA)已经开发了云计算控制矩阵(CCM),这是一个专门为云计算设计的安全控制框架。利用云计算控制矩阵(CCM),云安全联盟(CSA)为云计算服务提供商开发了一个审计、认证和注册程序,称之为安全、信任和保证注册(STAR)。美国联邦政府也开发了类似的模型FedRAMP,这是一种云计算服务提供商满足NIST 800-53安全控制套件定义的三个不同级别的最低安全控制要求的方法。
但是,即使IT安全主管对底层云计算服务提供商的控制套件具有信心,那么对于使用SaaS应用程序的组织又将如何呢?在这种情况下,敏感数据很可能将由第三方存储和控制,并由组织的客户或合作伙伴使用,从而使数据永远不会与组织的网络、防火墙或任何其他安全设备或过程控制接触。这对于首席信息官或首席信息安全官(CISO)来说,这种情况令人担忧,因为SaaS应用程序对应用程序及其数据的安全性几乎没有可见性和控制力。因此,第二个挑战是如何将组织的安全策略和控制扩展到公共云和SaaS应用程序。
这一挑战已经产生了所谓的云访问安全代理(CASB),这些产品充当位于企业内部或云中的安全实施点,并且在逻辑上存在于组织和云计算服务提供商之间以提供一系列服务包括身份认证和授权、设备配置文件、应用程序白名单、加密、警报、恶意软件检测等。CASB市场中的一些行业领先供应商包括Bitglass、Forcepoint、Cloudlock /Cisco和Skyhigh Networks。CASB解决方案的使用正在快速增长,根据调研机构Gartner公司的调查报告,到2020年,将有85%的大型组织使用CASB解决方案,而2015年这一比例还不到5%。
从积极的方面来看,CASB供应商具有强大的功能,正在填补市场空白。但是A.Spires表示,他对如何通过继续添加工具,然后在内部进行集成以解决企业IT安全性挑战感到困惑。他很少看到这种策略能很好地实施。因此支持以下观点:应对企业IT安全挑战的最佳方法是使用IT安全平台,该平台可提供一系列功能来帮助企业发现漏洞。在这个市场上,Palo Alto Networks、思科和Check Point Software公司提供了集成的平台解决方案。
作为平台价值的一个示例,Palo Alto Networks公司最近将其平台功能扩展到了云计算 解决方案和SaaS应用程序中。尤其吸引人(并且在操作上很有吸引力)的是,组织可以为一种数据类型设置安全控制(例如根据数据的敏感性来定制控制),而Palo Alto Networks公司的技术使用户能够在其整个平台上实施这些策略。无论其数据驻留在用户自己的数据中心,外包数据中心还是公共云中的SaaS应用程序中。这极大地简化了其组织中安全策略的管理,并提供了高级威胁防护。
此外,网络攻击者使用的越来越多的利用之一旨在通过基于SaaS的应用程序通过恶意软件感染用户,因为网络攻击者知道大多数组织都无法像使用内部基于应用程序的方式来监视这些SaaS应用程序。这些平台的关键组成部分包括能够将威胁检测和防御功能引入IT基础设施和应用程序的各个方面,包括那些驻留在云中的应用程序。
基于SaaS的应用程序的使用正成为组织快速交付新功能的首选方法。其需求来自业务用户,因此IT组织必须接受并规划SaaS的数量和用途的持续扩展。因此,即使用户数据不会在组织的网络或数据中心处理或存储,IT组织也需要开发一种全面的方法来应对依赖于第三方计算和应用程序带来的安全挑战。