云计算和SaaS安全性需要综合方法

RichardA.Spires是Learning Tree国际公司首席执行官，美国国土安全部和美国国税局前任首席信息官。

作为一名前首席信息官，Spires已经看到了云计算的显著好处，既可以通过基础设施即服务(IaaS)和平台即服务(PaaS)交付模型来实现按需计算的杠杆作用，也可以实现使用软件即服务(SaaS)应用程序。尤其是，基于SaaS的应用程序越来越成为组织可以快速轻松地利用新应用程序的方式。这正推动着巨大的增长，美国在《创新天使榜》有超过11,000家SaaS初创公司，而IDC公司预测，到2019年，基于SaaS的市场将超过1,120亿美元。

IT组织需要开发一种综合方法来解决依赖于第三方计算和应用程序带来的安全挑战。

尽管云计算和SaaS业务模型可以使IT组织降低基础设施成本，并提高支持客户的敏捷性，但同时也增加了处理IT安全性的复杂性。IT组织不仅放弃了对某些IT基础设施的控制和可视性，以达到利用基于SaaS的应用程序的程度，而且还让第三方存储和控制敏感数据。不久之前，IT安全人员将致力于保护组织的IT范围;使用当今的新计算和服务模型，必须承认传统的边界已不存在，或者如果边界确实存在，则可能包括保护许多第三方云服务和SaaS应用程序提供者。

Spires认为SaaS安全性是双重挑战。首先，关于使用第三方IT云服务提供商(以包括更多传统的外包数据中心服务)，组织需要确信这些提供商正在实施应匹配(或至少与之相似)的适当安全控制。他们将在自己的数据中心和网络中实施什么。这些控制范围从人员的物理访问，到包括用于系统管理访问的身份管理和适当的网络加密。许多非营利组织一直在为行业标准化这些控制措施。值得注意的是，云安全联盟开发了Cloud Controls Matrix(CCM)，这是专门为云计算设计的安全控制框架。利用Cloud Controls Matrix，云安全联盟为云计算服务提供商开发了审核、认证和注册计划，称为安全、信任和保证注册(STAR)。在类似的模型中，美国联邦政府开发了FedRAMP计划，这是一种云计算服务提供商可以满足NIST800-53安全控制套件所定义的三个不同级别上的最低安全控制要求的方法。

但是，即使IT安全经理相信底层云计算服务提供商的控制套件，对于组织利用SaaS应用程序的情况又如何呢?在这种情况下，敏感数据很可能将由第三方存储和控制，并由组织的客户或合作伙伴使用，以使数据永远不会与组织的网络，防火墙或任何其他安全设备或过程控制接触由组织。作为首席信息官和首席信息安全官，这种情况令人担忧，因为SaaS应用程序对应用程序及其数据的安全性几乎没有可见性和控制力。因此，第二个挑战是如何将组织的安全策略和控制扩展到公共云和SaaS应用程序。

这项挑战引起了所谓的云访问安全代理(CASB)的关注，这些产品充当位于企业内部或云中并在组织与云计算服务提供商之间逻辑地存在以提供一系列服务的安全实施点。其中包括身份验证和授权、设备配置文件、应用程序白名单、加密、警报、恶意软件检测等。云访问安全代理(CASB)市场中的一些领先供应商包括Bitglass、Forcepoint、Cloudlock/Cisco和Skyhigh Networks。云访问安全代理(CASB)解决方案的使用迅速增长，据Gartner公司的调查报告，到2020年，将有85%的大型组织使用云访问安全代理(CASB)解决方案，而2015年这一比例不到5%。

从积极的方面来看，云访问安全代理(CASB)供应商具有强大的功能，正在填补市场空白。但是，作为一名前首席信息官，Spires对如何通过继续添加工具，然后在内部进行集成以解决企业IT安全性挑战感到困惑。很少看到这种策略能很好地工作。因此，Spires支持以下观点：应对企业IT安全挑战的优秀方法是使用IT安全平台，该平台可提供一系列功能来帮助防止(必要时)发现企业中的漏洞。在这个市场上，Palo Alto Networks，Cisco和Check Point Software提供了集成的平台解决方案。

作为平台价值的一个示例，Palo Alto Networks公司最近将其平台功能扩展到了云计算解决方案和SaaS应用程序中。特别有趣的(并且在操作上很有吸引力)的是，Spires可以为某种数据类型设置其安全控制(例如，根据数据的敏感度来定制控制)，而Palo Alto Networks公司技术使其能够在其整个平台上实施这些策略，无论该数据驻留在自己的数据中心，外包数据中心还是公共云中的SaaS应用程序中。这显著简化了整个企业中安全策略的管理，并提供了高级威胁防护。此外，网络攻击者使用的一种日益增长的攻击目的是通过基于SaaS的应用程序通过恶意软件感染用户，因为攻击者知道大多数组织都无法像使用内部基于应用程序的方式那样监视这些SaaS应用程序。这些平台的关键组成部分是能够将威胁检测和防御功能引入IT基础设施和应用程序的各个方面的能力，包括驻留在云中的那些方面。

基于SaaS的应用程序的使用正成为为组织快速交付新功能的首选方法。需求来自业务用户，因此，IT组织必须接受并计划SaaS的数量和用途的持续扩展。因此，即使用户和数据可能永远不会穿越组织的网络或数据中心，IT组织也需要开发一种综合方法来解决依赖于第三方计算和应用程序带来的安全挑战。