在2014年11月,應用安全服務供應商adallom釋出了一份名為“雲使用風險報告”的研究報告,文中列舉了在過去幾年中adallom從其使用者那裡收集到的雲特有風險和安全性問題。大量有趣的統計資料表明有很多企業未能正确實施和管理雲供應商的安全控制措施,其中重災區在軟體即服務(saas)。在該報告中還有一些更為有趣的資料:
大部分企業并沒有妥善管理saas應用的使用者賬戶。在2013年至2014年之間,11%的企業saas賬戶都是“僵屍賬戶”——也就是說這些賬戶目前都沒有與之相關的正常使用者。此外,adallom發現80%的企業都至少有一個僵屍賬戶未被禁用——通常這個賬戶屬于一個前員工。
最小權限的概念在雲中并不适用。adallom表示在很多賬戶中有很多的管理者,大約一百個賬戶中有7個是管理者。
19%的雲應用使用者在可能的情況下都繞過了身份驗證和通路管理的控制措施。
企業私有檔案中的5%實際上都可以從不同雲應用環境公開通路,這表明企業缺少在雲中實施通路控制。
29%的員工使用他們的個人電子郵件賬戶來分享雲應用檔案。
公司的平均共享資訊為393個外部域。
這些統計資料反映出了很多的問題。首先,這些數字意味着安全團隊可能在saas環境中并沒有花很大精力用于配置、監控和管理資料與使用者賬戶的資訊。很多安全專家都把精力集中在關注雲供應商整體控制能力上,以及那些可以被移植到paas和iaas環境中的第三方或内部工具。他們很多人都在一個或多個方面忽視了saas安全性問題。其次,這些資料有力地表明,雲中亞健康it的規模和嚴重程度都在不斷增加,即在較長時間内資料與使用者賬戶無人問津或無人管理。
制定一個雲應用安全性政策
那麼,企業應當采取哪些措施來應對這些saas環境中的安全性問題呢?在開始着手之前,安全團隊需要确定雲應用安全政策到位,它為特定資料類型和敏感層次明确了控制要求。這應當與雲風險評估過程緊密結合起來,後者主要對所提議的項目進行安全控制狀态評估和候選供應商能力評估。除了供應商的一般安全狀況以外,對于saas環境還需特别注意其他幾個關鍵點。
首先,企業應找出供應商提供了哪些類型的身份驗證和通路管理內建方法。例如一家與内部ldap存儲(如active directory)進行本地內建、支援針對身份資料交換和更新的saml、以及為身份管理提供大量api的供應商将有可能更多地為安全團隊提供更多功能,因為後者随着時間的推移希望能夠提高對使用者身份的管理能力。
然後,企業必須确定供應商是否支援資料生命周期控制,即非活躍使用者賬戶将自動暫停或者短期使用者可以擁有一個來自于執行個體的生命周期。
安全團隊還必須找出可用于保護對儲存在saas環境中資料通路的加密類型和通路控制選項。對于加密産品,他們應确定密鑰的儲存位置及其控制密鑰的責任人。
此外,對管理控制台和參數顯示面闆的管理控制也是很關鍵的。在理想情況下,saas供應商對控制台及其功能提供了基于角色的通路,另外還包括證書、令牌以及內建現有企業控制與工具的其他方法在内的多重通路控制方法。
最後,企業需要确定是否能夠得到saas環境中所有的活動日志,獲得的頻率以及日志的格式。是否有直接日志可用?如果沒有,是否可以使用api來通路日志資料,或者腳本程式和自動化工具呢?一家企業獲得的日志和事件資料越多,它就能把資料與siem結合得越好,日志管理平台也就能夠分析在saas環境中的使用者行為。
saas安全控制的重要性
在過去幾年中,saas安全性并沒有像paas和iaas安全性那樣表現得那麼重要。但是,随着越來越多的敏感資料被儲存在衆多saas環境中,我們無法再容忍開放權限模式、亞健康賬戶或僵屍賬戶,或者将導緻重大安全問題的過度權限配置設定。企業應當對他們目前正在使用的saas環境重視起來,評估其安全控制措施、使用者目前狀态、以及在saas中所儲存的資料,并為在未來的任何saas實施計劃做好準備。
本文作者:佚名
來源:51cto