切莫忽视SaaS云应用安全性

在2014年11月，应用安全服务供应商Adallom发布了一份名为“云使用风险报告”的研究报告，文中列举了在过去几年中Adallom从其用户那里收集到的云特有风险和安全性问题。大量有趣的统计数据表明有很多企业未能正确实施和管理云供应商的安全控制措施，其中重灾区在软件即服务(SaaS)。在该报告中还有一些更为有趣的数据：

• 大部分企业并没有妥善管理SaaS应用的用户账户。在2013年至2014年之间，11%的企业SaaS账户都是“僵尸账户”——也就是说这些账户目前都没有与之相关的正常用户。此外，Adallom发现80%的企业都至少有一个僵尸账户未被禁用——通常这个账户属于一个前员工。
• 最小权限的概念在云中并不适用。Adallom表示在很多账户中有很多的管理员，大约一百个账户中有7个是管理员。
• 19%的云应用用户在可能的情况下都绕过了身份验证和访问管理的控制措施。
• 企业私有文件中的5%实际上都可以从不同云应用环境公开访问，这表明企业缺少在云中实施访问控制。
• 29%的员工使用他们的个人电子邮件账户来分享云应用文件。
• 公司的平均共享信息为393个外部域。

这些统计数据反映出了很多的问题。首先，这些数字意味着安全团队可能在SaaS环境中并没有花很大精力用于配置、监控和管理数据与用户账户的信息。很多安全专家都把精力集中在关注云供应商整体控制能力上，以及那些可以被移植到PaaS和IaaS环境中的第三方或内部工具。他们很多人都在一个或多个方面忽视了SaaS安全性问题。其次，这些数据有力地表明，云中亚健康IT的规模和严重程度都在不断增加，即在较长时间内数据与用户账户无人问津或无人管理。

制定一个云应用安全性策略

那么，企业应当采取哪些措施来应对这些SaaS环境中的安全性问题呢?在开始着手之前，安全团队需要确定云应用安全策略到位，它为特定数据类型和敏感层次明确了控制要求。这应当与云风险评估过程紧密结合起来，后者主要对所提议的项目进行安全控制状态评估和候选供应商能力评估。除了供应商的一般安全状况以外，对于SaaS环境还需特别注意其他几个关键点。

首先，企业应找出供应商提供了哪些类型的身份验证和访问管理集成方法。例如一家与内部LDAP存储(如Active Directory)进行本地集成、支持针对身份数据交换和更新的SAML、以及为身份管理提供大量API的供应商将有可能更多地为安全团队提供更多功能，因为后者随着时间的推移希望能够提高对用户身份的管理能力。

然后，企业必须确定供应商是否支持数据生命周期控制，即非活跃用户账户将自动暂停或者短期用户可以拥有一个来自于实例的生命周期。

安全团队还必须找出可用于保护对保存在SaaS环境中数据访问的加密类型和访问控制选项。对于加密产品，他们应确定密钥的保存位置及其控制密钥的责任人。

此外，对管理控制台和参数显示面板的管理控制也是很关键的。在理想情况下，SaaS供应商对控制台及其功能提供了基于角色的访问，另外还包括证书、令牌以及集成现有企业控制与工具的其他方法在内的多重访问控制方法。

最后，企业需要确定是否能够得到SaaS环境中所有的活动日志，获得的频率以及日志的格式。是否有直接日志可用?如果没有，是否可以使用API来访问日志数据，或者脚本程序和自动化工具呢?一家企业获得的日志和事件数据越多，它就能把数据与SIEM结合得越好，日志管理平台也就能够分析在SaaS环境中的用户行为。

SaaS安全控制的重要性