解决软件即服务的合规性问题

现如今,企业用户对于SaaS的使用正在迅猛增长,而这一趋势似乎将超过企业购买软件许可证,使用内部部署的形式。而这无疑就为企业的IT经理们带来了两大关于监管合规性方面的挑战难题。首先,必须确保对服务的使用仍然符合与SaaS提供商签订的合同条款范围之内;第二,还必须确保与SaaS的使用相关的数据信息在被发送、使用和储存时,必须遵循相应的监管规定。

鉴于数据的安全性,SaaS的一定的责任是外包。企业用户需要知道自己所使用的是什么SaaS应用程序;他们正在使用的是什么样的数据;以及数据是如何处理的。当然,企业用户首先应该尽职调查,以确保SaaS提供商的服务水平足以满足相关的监管要求,但是这只能通过了解供应商的员工是如何使用SaaS的,才能得到充分而全面的了解。

对于许多企业用户来说,为了能够享受其所带来的好处,SaaS所带来的相关问题是值得克服的:

省去了企业自己拥有和管理服务器基础设施的麻烦;

该平台的安全和软件更新是由供应商管理;

即时获得更多(或更少)的容量能力;

易于与外部用户共享应用程序;

有潜在的、较低的拥有成本。

购买软件许可证实施企业内部部署

在SaaS时代以前,企业必须确保同意实际使用软件的计数不会超过其所购买的许可数量;或基于服务器的应用程序的并发访问用户数量不会超过商定的授权许可数;或必须控制用户设备上部署的应用程序的数量。软件是通过购买许可证,按照条款规定使用的。

而软件许可牌照被滥用的其中一个主要领域是有意或无意的将软件复制拷贝到更多的服务器或覆盖更多的用户终端。这种情况往往发生在企业采购新设备时,或用户加入或离开一家企业时。其解决方案是软件资产管理(SAM),通过启用诸如BMC公司的Numara、Flexera、许可证仪表盘以及商业软件联盟(BSA)的Verafirm。有些人开始适应了——例如,BSA表示说,其扩展了其Verafirm产品对于IS0 19770标准SAM的支持,以覆盖SaaS。

另一种方法是与软件许可管理专业合作伙伴诸如Trustmarque公司合作,他们通过调整资产管理策略与SaaS产品如微软的Office 365充分融合,进而能够帮助企业客户完成软件许可和金融财务从企业内部部署转型过度到SaaS模式的规划。

测量SaaS使用的问题

而SaaS应用程序通常通过付费认购的。任何具有有效访问凭证的人都可以在任何地方获得访问和使用权限。而未经授权的使用不需要安装,往往只是共享,且用户名和密码容易丢失或被盗。当用户与特定组织的关系结束时,其使用权限不会自动停止,但这些有效访问凭据则可以很容易就没了。这个问题由于IT使用的另一个巨大的变化而加剧;用户希望使用他们自己的设备而且是使用多台设备的趋势。这意味着,一些被用来访问一款既定SaaS应用程序的设备甚至可能不再密切匹配规定的用户数量(例如,微软Office 365允许每个用户帐户在多达5台设备上使用)。

因此,SaaS提供商们为了维护自身的利益,需要控制用量,并最大限度地提高用户订购量。Salesforce已经推出了一款打包工具用于监视订购的使用情况,其提供一个仪表板,并将基于各种阈值向管理员发送警报。而谷歌则在账户和文档层面对于其应用程序的访问实施控制——例如需要强身份认证验证和实施自带设备(BYOD)政策。

然而,这些方法存在两大问题。第一,他们只让IT管理人员来管理他们所知道的情况;而问题就在于,许多IT经理们现在已经承认并接受了他们的业务部门的用户将自行认购自己的软件服务(“即影子IT”)的事实,他们必须适应这一点。其次,越来越多地使用的SaaS (无论是通过正规渠道和过影子IT的形式)意味着通过对每家供应商都实施这样的做法是不切实际的,因为可能一家企业的每个用户管理着很多:几十,甚至在极端情况下,数百款不同的订购SaaS。

了解影子IT

反盗版软件联盟(Federation against Software Theft,Fast)的首席执行官亚历克斯·希尔顿总结了该问题:“SaaS为企业带来了前所未见的灵活性,但我们现在看到的大量所谓‘影子IT’的出现。而这在工作实践中将为那些希望严格遵守软件许可证相关法律规定的企业提出巨大的挑战。”

一些基本的可以通过检查防火墙日志 来查看SaaS应用程序的日常使用情况,特别对于下一代防火墙,其是安装在应用程序,而不是网络层面,这种运作更容易实现。与企业业务部门经理进行一般性的沟通也能够发挥一定的作用,但这些临时性的办法没有触及到这个问题的核心。

同时,还必须要确保遵守许可证是如何使用的以及数据是如何处理的,因此有必要在整个企业范围内检查软件订购是否具有成本效益。将两个部门的需求合并为单一的认购协议可能会带来更好的批量折扣。而其所面临的挑战是想要知道哪些产品在使用,其使用量的 程度,并检查如何适应企业用户的内部管理策略是比较困难的——特别是关于数据的安全性方面。

这种需求导致了云访问安全经纪商(CASBs)的增加,其中包括Skyhigh Networks、CipherCloud、Elastica和Netskope公司。不同CASB产品的功能各有不同:一般来讲, 他们可以报告SaaS应用程序正在使用的情况,并执行相关的使用政策。例如,某些应用程序因为威胁到数据的安全性可能被彻底阻止;使用规则可以应用于其他方案如实施加密。在某些情况下,能够提供更细致的方式;例如,Skyhigh Networks支持根据合规性要求对不同的数据类型不同的加密模式。而Elastica公司的产品则能够为SaaS应用程序提供所谓的“业务准备情况评估”。

通过CASB所提供的洞察力也允许整合软件的订购。然而,仍然有一个首要问题——当员工离职时,企业如何快速,安全地禁止访问多个授权的SaaS订阅?这便是单点登录发挥作用的时候了。

单点登录

关于单点登录(SSO)其实没什么新鲜的,一些供应商在过去的十年已经有了。最近的研究显示,现在,欧洲的四分之三的企业使用某种形式的单点登录。目标之一是为了帮助客户提高合规性,通过提供一个单一的接入点,为用户提供多个基于云的和企业内部的资源。

SSO可以以一个简单的步骤迅速提供或带走一系列广泛的服务。用户不再由SSO提供SaaS应用程序管理的直接访问。应用程序是用户自己订购的(也许采用了CASB)可以申请带入SSO的范围内。这样的系统复制了一些CASB产品的能力,例如如何执行SaaS应用程序的访问和使用的政策。可以生成审计报告,提供谁在一个既定的时间访问过该应用程序的快照,并重新配置报告,显示所有的访问权限,夺走之前用户的访问权限。

许多SSO产品本身是基于云的。有些是专为云计算设计的,如Intermedia公司的AppID、Okta和OneLogin;或对其进行了采用,例如CA单点登录的SaaS,赛门铁克访问管理器,戴尔云访问管理器和Centrify。其它的如Ping Identity将内部部署和基于云的使用进行整合集成(Ping Federate和PingOne)。

CASB和SSO产品在其某些政策和安全功能方面可能会重叠,但在现实中,有足够的互补机会进行合作。Skyhigh公司将Ping Identity、Okta等一些SSO系统进行了集成。OneLogin公司则表示说,他们正在与Skyhigh和Netskope(其产品正是Trustmarque公司所使用的)合作。Elastica已经与Centrify、Okta、CA和OneLogin等等进行了合作。

一些SSO产品达到了一个完全不同的水平。例如,Intermedia公司的AppID可以塑造SaaS应用程序的使用方式,提供细粒度的访问控制,以在网页中添加个性化的特性和功能(按钮、菜单选项、链接、标签),以及减少数据分享和消除高风险的功能(分享、下载、上传、保存、导出文件附件等),否则将导致应用程序风险评估失败。其还可以附加屏幕截图,审计跟踪,使应用程序只读,例如限制使用社交媒体网站。

企业IT领导者们必须意识到,对于如何应对SaaS的合规性所带来的挑战,并没有唯一的答案。但也有许多能够解决该问题的不同方面的方法。对于这些方法相互结合使用,有助于使企业能够得到更好的控制,享受SaaS所带来的好处,同时在涉及到合规性问题时更加安心。

原文发布于微信公众号 - 云计算D1net(D1Net02)

原文发表时间:2015-09-28

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏BestSDK

云服务最重要的“看门狗”——IaaS

从制造业、金融服务到公共部门的行业中的公司信任云服务提供商及其关键的数据,软件即服务(SaaS)应用程序(如Office 365和Salesforce)的快速增...

31010
来自专栏云计算D1net

在2018年需要了解的关键云安全技术

无论企业如何利用云存储和处理信息,都要避免将可访问性置于安全之上的冲动。企业需要将不断演进的欧盟法规作为数据安全和最佳实践的新标准。 云计算的应用将在2018年...

2838
来自专栏飞总聊IT

上周上市的大数据公司MongoDB的前生今世

声明:本文仅代表个人观点,和本人公司无关。 1 本文由本人在极客时间的专栏系列文章(4篇)总结而成。感谢极客邦允许我发表在公众号上。文章写得不够详细,分析也不够...

5147
来自专栏企鹅号快讯

微信年终放大招!小程序再次升级,这个功能超想要!

昨日,微信迎来了6.6.1新版本,这次主要在小程序上发力。 微信iOS版更新至6.6.1,在新版本的开屏页中,出现了一款小游戏——“跳一跳”。 ? 除了这个“跳...

2348
来自专栏网络安全防护

“双十一”、“双十二”大促期间,如何防止网站崩溃?

“双十一”、“双十二”期间是所有电商行业的流量高峰期,作为一个电商网站,如果不能保障流畅运行,将会对企业造成巨大的经济损失。回顾去年天猫“双十一”,当天日活跃用...

1580
来自专栏云计算D1net

云迁移对于安全性来说是否过快?

2017年2月,专注于企业级沟通工具的Slack公司发现了一个漏洞,这个漏洞有可能导致Slack公司每天四百万活跃用户的数据泄露。而在当月,专注于安全的内容分发...

34410
来自专栏SDNLAB

IaaS:云安全的下一个篇章

从制造业、金融服务到公共部门的行业中的公司信任云服务提供商及其关键的数据,软件即服务(SaaS)应用程序(如Office 365和Salesforce)的快速增...

3026

云数据库安全,农场和餐馆:知道你的来源的重要性

这篇内容篇幅比较长,如果不想深入探讨或时间有限,可以看总结:为了确保公司基于云的资产的安全性,首先应用经过修改的经过验证的真实数据安全实践来以解决虚拟网络环境的...

2288
来自专栏微信小程序开发

你是如何看待小程序分享功能调整?

2104
来自专栏FreeBuf

有关事件响应(IR)自动化和协同的几点反思

有关事件响应(IR)自动化和协同的几点反思 IR(incident response),顾名思义,事件响应,旨在对一些潜在的危机,如数据外泄、DoS或DDoS攻...

1957

扫码关注云+社区

领取腾讯云代金券