如何从信息安全的视角选择企业级云服务商---SaaS篇

如何从信息安全的视角选择企业级云服务商-SaaS篇钟世敏，李尧，高智伟，程广明（广州赛宝认证中心服务有限公司 ，广东 广州 510610）摘要：企业级SaaS（软件服务化）具有成本低、部署迅速、按需扩容等优势，企业如能将其引入生产、运营、服务环节之中，能够在降低成本、持续创新等方面释放巨大的价值潜能。然而，由于SaaS模式使企业的控制权发生重大变化，安全保障的不透明性和不可控性使企业对SaaS云服务存在较大的安全风险顾虑。文章着重研究评估SaaS云服务及提供商的安全管理能力的第二方评估方法。旨在为企业选择各种SaaS服务时提供参考和指引，确保所选择的SaaS云服务“数据不丢、应用不停、持续服务”。随着云计算许多关键技术的突破，中国企业级SaaS服务市场百花齐放，企业对SaaS服务的认可度进入快速上升的轨道，应用规模迅速扩大。既有用于解决企业某些具体的业务流程问题的在线ERP、在线CRM、在线HR、在线财务等管理型SaaS服务，也有服务于企业某种具体工作环节的在线视频/会议、网络邮箱、网络教育、在线存储等工具型SaaS服务。 然而，由于我国云计算标准体系尚不完备，保护个人隐私数据的法律法规、市场监管方式有待完善，各公司的SaaS产品的安全性参差不齐，部分SaaS产品存在较大的安全隐患。据易观智库2015年度的调查，在影响用户选择企业级SaaS服务的因素当中，产品的安全性、可靠性排名第二，比例高达87.2%。为了消除企业对SaaS云服务存在的安全风险顾虑，本文着重研究评估SaaS云服务及提供商的安全管理能力的第二方评估方法，旨在为企业选择各种SaaS服务时提供参考和指引。一、用户主要关注的SaaS服务安全问题用户主要关注的SaaS服务安全问题如下：1.数据泄露/丢失信息是企业的核心资产，如果发生数据泄露，公司可能遭受巨大损失、巨额罚款，还可能面临民事诉讼。SaaS软件中的数据会不会丢失、被窃，会不会发生泄露是企业主要关注的问题之一。2.服务中断企业将关键工作负载迁移到云中，云服务仅仅几分钟的宕机都可能会极大地损害企业与客户的关系，并导致信息管理部难堪。而停电、错误软件更新、服务器过载、数据库错误等都有可能导致云服务中断。3.服务的可持续性企业投入了大量的资源去学习SaaS软件、开发接口以实现系统间的集成，一旦云服务商停止对外提供服务将导致之前的系统集成投入归零。二、从信息安全的视角选择SaaS服务 职责可以转移，但责任不行。企业在选用SaaS服务并签署SaaS服务协议前应进行尽职调查，可以由IT部门对SaaS服务及提供商的安全管理能力进行评估。进行评估时，应以风险为导向，重点关注数据安全、应用安全，确保“数据不丢、应用不停、持续服务”。其中，“数据不丢”主要评估SaaS服务的租户身份识别和访问管理、数据加密管理、日志及审计管理；“应用不停”主要评估云服务数据中心安全、变更和配置管理、安全事件管理及供应链管理；“持续服务”主要评估业务连续性管理、公司的稳定性及增长性、可移植性和互操作性。最后，很重要的一点，将对SaaS服务商的服务水平要求、安全管控要求以及责任等落实到合同中。目标关注域数据不丢1. 租户身份识别和访问管理；2. 数据加密管理；3. 日志及审计管理应用不停1. 数据中心安全；2. 变更和配置管理；3. 安全事件管理；4. 供应链管理持续服务1. 业务连续性管理；2. 公司的稳定性及增长性；3. 可移植性和互操作性其他1. 风险管理水平；2. 服务协议内容表 SaaS服务安全目标与关注域三、SaaS服务安全域检查清单企业对SaaS服务及提供商的安全管理能力进行评估，可参照以下安全域检查清单进行： 1. 风险管理每种环境都具有某种程度的脆弱性，都面临一定的威胁。关键在于识别这些威胁，评估它们实际发生的可能性以及可能造成的破坏，并采取适当的措施将环境中的风险降低到可接受范围。企业可以通过查阅服务商的风险管理程序和风险评估报告，判断云服务商的风险管理能力：1） 对云服务风险和残余风险的可接受级别是否已定义？2） 如何识别、分析威胁和脆弱性对资产的潜在影响？影响分析标准是否可测量、可重复执行？3） 是否定期对SaaS服务运行的硬件和软件系统进行安全性检测，识别出系统的脆弱性，并制定风险处置计划？ 2. 身份识别和访问管理身份识别和访问控制作为信息安全管理过程中的关键环节，在云计算环境下，面临着恶意的内部人员、不安全的应用程序接口等更复杂的风险。企业可以通过检查身份认证及访问控制程序，判断云服务商的身份识别和访问控制管理水平：1) 在SaaS系统创建租户初始密码时是否随机生成租户默认密码？租户首次登陆系统时是否强制要求修改默认密码？密码是否有复杂度要求？如，要求长度不少于8位、数字字母组合。2) 能否支持双因子验证租户身份？如，登陆系统及进行重要操作时要求输入手机验证码。3) 能否检测租户异常登陆并通知？如，使用非常用IP登陆时提示租户。3. 数据加密管理数据是租户的重要资产，云平台中的数据需要避免出现数据泄露、丢失、被窃等问题。通过加密来保证数据的机密性是云平台中数据保护的一项最佳实践，在某些情况下也是某些国家和地区的法律法规所强制要求的。企业可以通过检查密钥管理策略及加密管理程序，判断云服务商的数据保护水平：1) SaaS系统所使用的密钥能否进行生命周期（包括密钥的产生、更新、使用、备份、销毁）统一管理？2) 通过浏览器访问SaaS系统时能否支持安全传输协议？如HTTPS协议。3) SaaS系统能否对租户数据加密？是否使用公开的标准加密算法？如AES-256、3DES等。4. 日志及审计管理审计工具会记录用户的登出登入时间、用户角色、用户行为等信息。通过全面的系统日志，能及时发现各种安全威胁、异常行为事件，提供事件追责依据。企业可以通过检查安全审计管理策略，判断云服务商的安全审计水平：1) SaaS系统是否支持系统管理员、安全管理员、安全审计员三员分立，且系统中没有同时拥有三种权限的超级管理员？2) 系统日志是否包括系统运行日志、系统管理员操作日志、租户登陆和使用云资源日志？如何确保日志的非授权删除、修改？3) 能否支持实时监控收集到的各类日志？当检测到安全侵害事件时，自动进行审计响应。5. 数据中心安全数据中心是组织信息系统的核心，通过网络系统向服务对象提供各种信息服务。与传统的数据中心相比，在云计算时代的数据中心的对安全的要求也在不断提高，包括高性能、弹性扩展、可靠性保障、虚拟化和可视化、立体安全防护等要求。企业可以通过检查数据中心管理策略，判断云服务商的数据中心管理水平：1) 是否24小时均有人看管？有没有部署安防监控系统、门禁系统？2) 是否记录访问者的进入和离开日期、时间、进入理由？3) 计算、存储、内存等资源池有多大？如果租用IaaS服务（如阿里云、腾讯云），是否服务商的大客户？是否签署特定的SLA协议？6. 变更和配置管理云计算环境下计算资源被不同的组织共享，在带来便利的同时也增加资源分配的复杂度，如果未合理有序的处置变更请求，将对组织及云服务用户造成重大影响。企业可以通过检查变更管理程序，判断云服务商的变更配置管理水平：1) 对现有系统进行升级时，是否已进行变更影响分析？2) 质量测试是否包括的功能测试、兼容性测试及性能测试？3) 新版本的发布是否采用灰度发布，以实现平滑过渡？7. 安全事件管理云计算按需自服务、资源池化、多租户等特性将使信息安全事件管理活动更具有直接的挑战。企业可以通过检查信息安全事件管理程序，判断云服务商的信息安全事件管理水平：1) 云服务商是否建立了事故响应团队？提供沟通渠道及联系人，明在合同明确下来。2) 能否提供事件响应的历史记录并协助查验？3) 能否提供安全事件响应计划的测试记录？8. 供应商管理随着云计算这种服务模型的应用，IT供应链已逐步从产品供应链向服务化供应链转变，产品服务化供应链管理的核心和关键问题是能力管理。企业可以通过检查供应商评估管理程序，判断云服务商的供应链管理水平：1) 能否提供与重要供应商之间的供应链协议？如SLA。2) 与重要供应商之间的供应链协议中是否涉及用户数据保密内容及合作到期后用户数据处理方式？3) 是否有对与上下游供应链之间的服务协议（SLA）进行持续的评审，并形成评审报告？9. 业务连续性管理业务连续性目的是防止业务活动中断，保护关键业务过程免受信息系统重大失误或灾难的影响，并确保它们的及时恢复。目前，从相关事件的报道来看，业务连续性方面的问题频繁出现，云服务的业务连续性问题日益突出。企业可以通过检查业务连续性计划，判断云服务商的业务连续性管理水平：1) 查看业务影响分析表，企业的关键业务过程和支持性业务过程识别是否清晰？2) 查看业务连续性测试报告，有没有对测试的结果进行分析和评估？3) 查看数据备份记录及数据备份恢复测试记录10. 公司稳定性及增长性评估这几年，经常有企业级SaaS服务商倒闭或被收购，公司一旦倒闭停止运营，用户应用及数据只能迁移或者丢失。企业可以通过调查下列内容，判断云服务商的生存能力：1) 了解服务商的客户流失率，流失率能直接评判一个SaaS产品的好坏。2) 了解服务商的盈利性，一个盈利性差的企业很危险。3) 查看服务商的财务报告。11. 可移植性和互操作性 如果存在可移植性与互操作性问题，租户迁移到SaaS环境后，数据被锁定在云平台。如果问题得到解决，将增强用户使用云服务的信心，且可方便用户进行迁移，因而可移植性与互操作性安全非常重要。企业可以通过检查下列内容，判断云服务商的可移植性和互操作性水平：1) 云服务商的API是否采用公开的行业标准或国际标准？2) 非结构化数据是否以行业标准向用户提供？如EXCEL格式。12. 服务协议内容由于SaaS服务商提供了设施、IT系统及应用系统，SaaS服务商不仅负责物理和环境安全控制，还应解决基础设施、应用和数据相关的安全控制，租户应该在服务合同中将服务等级、隐私保护、合规性、安全控制等内容进行约定，以确保安全需求在合同层面上是可强制执行的。四、第三方安全评估认证SaaS服务信息安全过程域涉及设计、开发、运维、供应链管理、人力资源等内容，上述安全域检查清单只是列举了部分重要且容易执行的，但实际进行安全评估时，服务商仍可能不配合、无法提供必须的资料给企业，导致对SaaS服务商的安全评估无法进行。企业可以选择通过建立了完整的信息安全管理体系的云服务商，尤其是通过了C-STAR、可信云、业务连续性等第三方安全认证的云服务商。第三方评估检查内容全面、深入，如国际云安全联盟提出的C-STAR评估采用国际上最先进的云安全管理标准和规范，对云服务商的云安全管理能力进行评价。评估内容包括治理、设计与开发、运营与维护、人力资源、供应链管理5大方面，涵盖16个控制域162个控制项，提供行业比对，利于提升云服务供应商云安全管理能力，增强用户云安全信心。可信云认证由数据中心联盟和云计算发展与政策论坛联合组织，采用YDB 144-2014云计算服务协议参考框架对云服务可信度进行评价。其中，安全专项评估是可信云认证的一个重要组成部分，评价内容包括两方面：一是从技术角度测试云服务本身的安全状况；二是从管理角度评估云服务运营组织的安全管理状况。五、结语信息安全是影响用户选择企业级SaaS服务的重要因素，本文向企业提供了以极具可执行性的检查清单的方式评估SaaS服务及提供商的安全管理能力的方法，以使企业能对候选SaaS服务商的安全管理能力有客观、全面的了解。同时，对企业可直接采信的主流的第三方云安全评估认证进行了简单介绍，第三方认证采用