對于越來越多的企業來說，軟件即服務(SaaS)已經成為使用重要業務應用程序的主要手段。從業務的角度來看，這種策略是可行的，因為它有潛在的好處：節約成本、提高了靈活性和更容易擴展，等等。

然而，任何基于云的產品都有安全風險。一家企業怎樣確定其SaaS提供商的安全條款是否達到了自己的標準呢?

Gartner的副總裁兼分析師Patrick Hevesi解釋說：“我們面臨的挑戰是怎樣才能全面了解SaaS供應商為保護其基礎設施、變更管理程序和事件響應過程所做的工作。”

據Gartner 2019年的一份報告，并非所有SaaS提供商都對其安全能力保持透明。報告稱，企業應清楚地知道將重要的用戶數據放到云服務中所要承擔的風險，而且他們還不得不信任云服務提供商。

SaaS提供商很容易受到同樣困擾著所有其他企業的很多惡意軟件和黑客的攻擊。這些威脅會影響使用這些服務的企業。把對你的SaaS提供商的評估過程集中在以下幾個方面能夠最大程度地降低這種風險。

1. 檢查SaaS補丁策略

高管們擔心的一個問題是安全補丁。Asurion公司為智能手機、平板電腦和其他產品提供保險服務，該公司高級安全經理Bernie Pinto指出：“通常情況下，SaaS提供商在提供補丁方面會滯后，特別是如果他們是多租戶的，而你的企業只是眾多細分服務客戶之一。”

2. 檢查SaaS與內部安全控制的一致性

通信設備公司西門子美國(Siemens USA)的首席網絡安全官Kurt John認為，在評估SaaS提供商時，企業應了解的主要概念是安全控制職責的轉變。使用SaaS產品要求安全部門把重點放在企業安全環境和SaaS提供商安全環境之間的接口上。他說：“一定要牢牢把握住提供商的安全功能與企業的信息安全策略是否保持一致。務必在流程的早期就處理好任何差距問題。”

John認為有3個關鍵領域對控制的一致性非常重要：

(1) 身份和訪問管理(IAM)

問題可能包括無法將現有的企業IAM平臺與SaaS提供商的產品集成;相互沖突的身份驗證策略，從可用性角度來看，可能會導致混淆和技術問題;SaaS提供商不支持單點登錄(SSO)。

(2) 加密和密鑰管理

這方面的問題包括SaaS提供商堅持要保持對加密的控制，允許它隨時訪問客戶的信息，數據被存儲在企業安全邊界之外，這導致不得不采取相應的加密管理措施。

(3) 安全監視

這方面的問題包括不支持對SaaS環境下安全事件日志數據的訪問，對可能出現的安全風險不夠透明。John說：“要克服的挑戰之一是確保日志不被操控。首選方案是與SaaS提供商建立足夠的數字連接，以便將日志數據實時傳送到企業現有的安全運營中心。這有利于從宏觀上進行把握，允許企業將本地安全操作功能擴展到云中。”

3. 確保企業擁有自己的數據

企業還應詳細查看提供商承諾的隱私政策或者服務條款，確保他們不會共享個人信息。IT咨詢公司Ascent Solutions的網絡安全策略師Kayne McGladrey說：“盡管這聽起來是能做到的，但很容易被疏忽掉。”

McGradrey指出，如果SaaS供應商合同中“沒有明確寫明不會出售企業的業務數據，也不會出售將服務所得數據用于‘市場研究’或者類似目的的匿名匯總數據的條款”，那么這就是一個危險信號。如果合同中沒有說明，請務必確認提供商不會轉售你的企業數據。

4. 確保SaaS提供商遵守相關法規

McGladrey說，另一個令人擔憂的問題是，隱私政策會不會沒有包括遵守具體法規的聲明，例如通用數據保護條例(GDPR)和加州消費者隱私法(CCPA)等。他說：“這些都是公認的，如果被遺漏了，可能表明SaaS提供商沒有跟上法律和監管的趨勢。”

McGladrey補充道：“SaaS供應商應該在數據主權和可選本地化方面持坦率態度。雖然這對于跨國公司選擇SaaS解決方案特別重要，但那些受單一地理區域限制的企業則希望避免出現尷尬的情況，例如，美國人的個人信息被有意處理并存儲在國外的數據中心。”

5. 知道數據存儲在哪里

營銷技術提供商Epsilon公司的首席信息官Robert Walden表示，從安全、合規和隱私的角度來看，歸根結底一切都與數據有關。Walden說：“知曉通過SaaS解決方案存儲和傳輸的數據類型、誰有權訪問數據、誰擁有數據、怎樣保護數據，以及在安全泄露事件發生時誰應承擔責任等等，這些都非常重要。”

Walden說：“很多企業甚至都不知道無意中存儲在SaaS解決方案中的敏感數據類型，也不知道誰有權訪問這些數據。此外，企業通常不知道，如果在SaaS解決方案的建立過程中執行了標準的點擊通過協議，則該提供商通常對數據擁有所有權。”

6. 檢查數據丟失或者損壞條款

Walden說，從數據保護的角度來看，很多企業沒有意識到，雖然SaaS協議可能有災難恢復條款，但這些條款并未涵蓋數據丟失或者損壞的問題。

7. 在SaaS采購過程中涉及的安全

Pinto說，在采購過程中，安全和風險部門的成員應該一直與采購部門保持聯系。“采購部門應與安全部門步調一致，并讓他們參與過程中的風險量化工作。大多數采購部門仍然沒有意識到身份和訪問管理是一個專業領域。”

John說，信息安全部門應參與所有關鍵討論，以確保能夠解決涉及數據安全的非技術性問題。“在我們的部門中，如果出現未解決的網絡安全問題，那么提供商就會出局。”

8. 確定SaaS提供商使用的子服務

談判的主題包括SaaS提供商可能使用的企業子服務。John說：“在簽署任何合同之前，解決這一問題至關重要。這可能會影響企業提出的任何數據存儲位置要求。”

John說，在評估SaaS安全報告時，“驗證報告范圍是否包括作為合同一部分的位置和子服務是很重要的。這需要對合同和適用的安全報告進行交叉檢查，以確保審計結果的充分覆蓋和可靠性。”

談判還應涵蓋SaaS提供商確保合規的方法。John說：“在解決這一問題時，應了解提供商的哪些功能支持合規和任何相關活動，例如電子發現、數據隱私和事件響應報告等，這一點很重要。”

9. 在免費SaaS試用期間進行徹底測試

IT和安全部門應在免費SaaS試用期間測試功能，包括最大容量和峰值使用量等。Pinto說：“應該有幾個管理員和超級用戶同時使用該工具，在同一窗口內評估性能。”

同時，測試并發和多進程活動。Pinto說：“當程序忙于計算、移動信息和創建報告時，用戶應該知道程序的響應能力如何。”

作為內部測試的一部分，John說：“評估能否將企業的關鍵安全流程與SaaS提供商的解決方案集成在一起。這將有助于確定可能需要的工作量和成本預測，以確保解決方案實施后足夠安全。”

10. 檢查SaaS提供商的第三方審計

John說，要求提供商提供最新的第三方審計報告并進行檢查，包括任何滲透測試結果，以確認安全控制的適用性和有效性，這是非常重要的。“要求提供國家或者國際認證的證據也有助于確定企業級控制措施的成熟度。”