专栏首页云计算D1net解决软件即服务的合规性问题

解决软件即服务的合规性问题

现如今,企业用户对于SaaS的使用正在迅猛增长,而这一趋势似乎将超过企业购买软件许可证,使用内部部署的形式。而这无疑就为企业的IT经理们带来了两大关于监管合规性方面的挑战难题。首先,必须确保对服务的使用仍然符合与SaaS提供商签订的合同条款范围之内;第二,还必须确保与SaaS的使用相关的数据信息在被发送、使用和储存时,必须遵循相应的监管规定。

鉴于数据的安全性,SaaS的一定的责任是外包。企业用户需要知道自己所使用的是什么SaaS应用程序;他们正在使用的是什么样的数据;以及数据是如何处理的。当然,企业用户首先应该尽职调查,以确保SaaS提供商的服务水平足以满足相关的监管要求,但是这只能通过了解供应商的员工是如何使用SaaS的,才能得到充分而全面的了解。

对于许多企业用户来说,为了能够享受其所带来的好处,SaaS所带来的相关问题是值得克服的:

省去了企业自己拥有和管理服务器基础设施的麻烦;

该平台的安全和软件更新是由供应商管理;

即时获得更多(或更少)的容量能力;

易于与外部用户共享应用程序;

有潜在的、较低的拥有成本。

购买软件许可证实施企业内部部署

在SaaS时代以前,企业必须确保同意实际使用软件的计数不会超过其所购买的许可数量;或基于服务器的应用程序的并发访问用户数量不会超过商定的授权许可数;或必须控制用户设备上部署的应用程序的数量。软件是通过购买许可证,按照条款规定使用的。

而软件许可牌照被滥用的其中一个主要领域是有意或无意的将软件复制拷贝到更多的服务器或覆盖更多的用户终端。这种情况往往发生在企业采购新设备时,或用户加入或离开一家企业时。其解决方案是软件资产管理(SAM),通过启用诸如BMC公司的Numara、Flexera、许可证仪表盘以及商业软件联盟(BSA)的Verafirm。有些人开始适应了——例如,BSA表示说,其扩展了其Verafirm产品对于IS0 19770标准SAM的支持,以覆盖SaaS。

另一种方法是与软件许可管理专业合作伙伴诸如Trustmarque公司合作,他们通过调整资产管理策略与SaaS产品如微软的Office 365充分融合,进而能够帮助企业客户完成软件许可和金融财务从企业内部部署转型过度到SaaS模式的规划。

测量SaaS使用的问题

而SaaS应用程序通常通过付费认购的。任何具有有效访问凭证的人都可以在任何地方获得访问和使用权限。而未经授权的使用不需要安装,往往只是共享,且用户名和密码容易丢失或被盗。当用户与特定组织的关系结束时,其使用权限不会自动停止,但这些有效访问凭据则可以很容易就没了。这个问题由于IT使用的另一个巨大的变化而加剧;用户希望使用他们自己的设备而且是使用多台设备的趋势。这意味着,一些被用来访问一款既定SaaS应用程序的设备甚至可能不再密切匹配规定的用户数量(例如,微软Office 365允许每个用户帐户在多达5台设备上使用)。

因此,SaaS提供商们为了维护自身的利益,需要控制用量,并最大限度地提高用户订购量。Salesforce已经推出了一款打包工具用于监视订购的使用情况,其提供一个仪表板,并将基于各种阈值向管理员发送警报。而谷歌则在账户和文档层面对于其应用程序的访问实施控制——例如需要强身份认证验证和实施自带设备(BYOD)政策。

然而,这些方法存在两大问题。第一,他们只让IT管理人员来管理他们所知道的情况;而问题就在于,许多IT经理们现在已经承认并接受了他们的业务部门的用户将自行认购自己的软件服务(“即影子IT”)的事实,他们必须适应这一点。其次,越来越多地使用的SaaS (无论是通过正规渠道和过影子IT的形式)意味着通过对每家供应商都实施这样的做法是不切实际的,因为可能一家企业的每个用户管理着很多:几十,甚至在极端情况下,数百款不同的订购SaaS。

了解影子IT

反盗版软件联盟(Federation against Software Theft,Fast)的首席执行官亚历克斯·希尔顿总结了该问题:“SaaS为企业带来了前所未见的灵活性,但我们现在看到的大量所谓‘影子IT’的出现。而这在工作实践中将为那些希望严格遵守软件许可证相关法律规定的企业提出巨大的挑战。”

一些基本的可以通过检查防火墙日志 来查看SaaS应用程序的日常使用情况,特别对于下一代防火墙,其是安装在应用程序,而不是网络层面,这种运作更容易实现。与企业业务部门经理进行一般性的沟通也能够发挥一定的作用,但这些临时性的办法没有触及到这个问题的核心。

同时,还必须要确保遵守许可证是如何使用的以及数据是如何处理的,因此有必要在整个企业范围内检查软件订购是否具有成本效益。将两个部门的需求合并为单一的认购协议可能会带来更好的批量折扣。而其所面临的挑战是想要知道哪些产品在使用,其使用量的 程度,并检查如何适应企业用户的内部管理策略是比较困难的——特别是关于数据的安全性方面。

这种需求导致了云访问安全经纪商(CASBs)的增加,其中包括Skyhigh Networks、CipherCloud、Elastica和Netskope公司。不同CASB产品的功能各有不同:一般来讲, 他们可以报告SaaS应用程序正在使用的情况,并执行相关的使用政策。例如,某些应用程序因为威胁到数据的安全性可能被彻底阻止;使用规则可以应用于其他方案如实施加密。在某些情况下,能够提供更细致的方式;例如,Skyhigh Networks支持根据合规性要求对不同的数据类型不同的加密模式。而Elastica公司的产品则能够为SaaS应用程序提供所谓的“业务准备情况评估”。

通过CASB所提供的洞察力也允许整合软件的订购。然而,仍然有一个首要问题——当员工离职时,企业如何快速,安全地禁止访问多个授权的SaaS订阅?这便是单点登录发挥作用的时候了。

单点登录

关于单点登录(SSO)其实没什么新鲜的,一些供应商在过去的十年已经有了。最近的研究显示,现在,欧洲的四分之三的企业使用某种形式的单点登录。目标之一是为了帮助客户提高合规性,通过提供一个单一的接入点,为用户提供多个基于云的和企业内部的资源。

SSO可以以一个简单的步骤迅速提供或带走一系列广泛的服务。用户不再由SSO提供SaaS应用程序管理的直接访问。应用程序是用户自己订购的(也许采用了CASB)可以申请带入SSO的范围内。这样的系统复制了一些CASB产品的能力,例如如何执行SaaS应用程序的访问和使用的政策。可以生成审计报告,提供谁在一个既定的时间访问过该应用程序的快照,并重新配置报告,显示所有的访问权限,夺走之前用户的访问权限。

许多SSO产品本身是基于云的。有些是专为云计算设计的,如Intermedia公司的AppID、Okta和OneLogin;或对其进行了采用,例如CA单点登录的SaaS,赛门铁克访问管理器,戴尔云访问管理器和Centrify。其它的如Ping Identity将内部部署和基于云的使用进行整合集成(Ping Federate和PingOne)。

CASB和SSO产品在其某些政策和安全功能方面可能会重叠,但在现实中,有足够的互补机会进行合作。Skyhigh公司将Ping Identity、Okta等一些SSO系统进行了集成。OneLogin公司则表示说,他们正在与Skyhigh和Netskope(其产品正是Trustmarque公司所使用的)合作。Elastica已经与Centrify、Okta、CA和OneLogin等等进行了合作。

一些SSO产品达到了一个完全不同的水平。例如,Intermedia公司的AppID可以塑造SaaS应用程序的使用方式,提供细粒度的访问控制,以在网页中添加个性化的特性和功能(按钮、菜单选项、链接、标签),以及减少数据分享和消除高风险的功能(分享、下载、上传、保存、导出文件附件等),否则将导致应用程序风险评估失败。其还可以附加屏幕截图,审计跟踪,使应用程序只读,例如限制使用社交媒体网站。

企业IT领导者们必须意识到,对于如何应对SaaS的合规性所带来的挑战,并没有唯一的答案。但也有许多能够解决该问题的不同方面的方法。对于这些方法相互结合使用,有助于使企业能够得到更好的控制,享受SaaS所带来的好处,同时在涉及到合规性问题时更加安心。

本文分享自微信公众号 - 云计算D1net(D1Net02)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2015-09-28

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • SaaS公司是不是应该不计成本的扩张?

    随着企业级市场的火爆,大笔投资和诸多创业者涌入。多数创业者转从 to C市场杀入to B市场,随之而来的还有用互联网思维颠覆企业级市场的“热潮”。一时间增长、圈...

    静一
  • SaaS 行业并购大潮仍会持续,云计算是背后推动力

    编者按:美国通用电气最近收购了基于云计算的现场服务解决方案提供商 ServiceMax,这是传统软件业务以外的公司首次作价 10 亿美元来收购 SaaS 公司。...

    静一
  • 那些关于SaaS的利弊,你应该知道的事……

    云端的服务有点像打包的软件,SaaS产品很容易使用,但是很难定制化。本文介绍了SaaS的利弊对于IT来说意味着什么…… 软件及服务(SaaS)借着互联网的普及而...

    静一
  • Salesforce 告诉你 SaaS 模式最大的十个误区

    编者注:本文编译自salesforce.com 。在本文中,你可以学习到,蓬勃发展的 SaaS 市场中,顶级 SaaS 服务供应商 Salesforce 的成功...

    人称T客
  • 那些关于SaaS的利弊,你应该知道的事……

    云端的服务有点像打包的软件,SaaS产品很容易使用,但是很难定制化。本文介绍了SaaS的利弊对于IT来说意味着什么…… 软件及服务(SaaS)借着互联网的普及而...

    静一
  • SaaS 行业并购大潮仍会持续,云计算是背后推动力

    编者按:美国通用电气最近收购了基于云计算的现场服务解决方案提供商 ServiceMax,这是传统软件业务以外的公司首次作价 10 亿美元来收购 SaaS 公司。...

    静一
  • T研究:2018年国内SaaS HR市场规模预计达12.3亿元

    继4月份推出《2018年云HR品牌研究报告》后,T研究也一直在关注国内SaaS HR市场的发展动态。经过三个月的调研,T研究于近日完成了其2018年另一份HR领...

    人称T客
  • 五分之四全失败 SaaS创业如何避免高失亡率?

    据IDC报告,未来五年,中国SaaS市场增速将是传统软件市场的10倍,这也是为什么很多创业公司选择以SaaS模式为企点的原因。诚然,这是个利好的市场,但据彭博(...

    人称T客
  • 五分之四全失败 SaaS创业如何避免高失亡率?

    据IDC报告,未来五年,中国SaaS市场增速将是传统软件市场的10倍,这也是为什么很多创业公司选择以SaaS模式为企点的原因。诚然,这是个利好的市场,但据彭博(...

    企鹅号小编
  • 明道云任向晖:SaaS为何成了中年男的创业乐土? | 腾讯SaaS加速器·CEO说

    ? 本文作者 任向晖:腾讯SaaS加速器首期学员、明道云创始人。 我知道,进来看这篇的只有两种人:做SaaS的,以及中年男人。很可能,你身兼两角。 当然,中年...

    腾讯SaaS加速器

扫码关注云+社区

领取腾讯云代金券