面向云客户的SaaS治理最佳实践

面向云客户的 SaaS治理最佳实践 SaaS工作组的官方永久地址 https://cloudsecurityalliance.org/research/working-groups/saas-governance/ @2022云安全联盟大中华区-保留所有权利。本文档发布在云安全联盟大中华区官网(http://www.c-csa.cn)，您可在满足如下要求的情况下在您本人计算机上下载、存储、展示、查看、打印此文档：（a）本文只可作个人信息获取，不可用作商业用途；(b)本文内容不得篡改;(c)不得对本文进行转发散布;(d)不得删除文中商标、版权声明或其他声明；（e）引用本报告内容时，请注明来源于云安全联盟。 序言 据Statista预测，到2022年全球企业服务SaaS市场规模将超1700亿美元，SaaS成了真正的“软件终结者”。国内SaaS虽然起步较晚但也已经在2019年进入了旺盛期，CRM、ERP、HCM、OA、财务、客服、电子签等垂直领域的SaaS蓬勃发展。传统软件厂商也纷纷向SaaS转型。尤其是新冠疫情爆发以来，很多企业不得不选择远程办公和使用线上SaaS应用，疫情成为SaaS发展强有力的助推剂。 随着SaaS的普及，企业软件的安全风险从传统软件转移到了SaaS应用。企业的云安全治理范围也从原来的IaaS基础设施层和PaaS平台层延伸到了SaaS应用层。因此，CSA在发布CAST云应用安全可信标准与认证之后，又发布了《面向云客户的SaaS治理最佳实践》（以下简称《实践》）白皮书，供SaaS从业人员及相关的IT或安全从业人员参考。《实践》充分关注到了SaaS环境中的数据保护、SaaS生命周期的风险以及处置等内容。而且基于安全策略、安全组织、资产管理、访问控制、加密和密钥管理、安全运维、网络安全、供应商管理、事件管理、合规等多个安全控制域为业界提供一整套用于SaaS治理的指南。《实践》围绕SaaS治理中最核心的问题“确保谁在什么场景下、拥有什么样的权限、可以访问什么数据”，并从评估、采用、使用和终止四个阶段给出了具体措施和建设，同时针对日常应用场景进行了延伸的安全考量。 随着数字化转型和数字经济发展浪潮的强势来袭，企业级SaaS的需求量也在与日俱增。各行业也正在大力构建新的数字生产力，发挥数字协同效应，为企业发展提供新的动力。相信通过《实践》中提出的详尽而实用的治理指引，组织及相关从业人员能够掌握SaaS治理的最佳方法和路线，提高SaaS安全治理水平，合理管控SaaS安全风险，切实保护SaaS中的数据安全。 李雨航YaleLiCSA大中华区主席兼研究院院长 致谢 《面向云客户的SaaS治理最佳实践》(SaaSGovernanceBestPracticesforCloudCustomers)由CSA软件SaaS工作组专家编写，CSA大中华区秘书处组织翻译并审校。 中文版翻译专家（排名不分先后）： 组长：郭鹏程 翻译组：陈强侯俊茆正华王永霞薛琨杨天识审校组：陈皓郭鹏程姚凯 研究协调员：江瞿天 感谢以下单位对本文档的支持与贡献： 北京北森云计算股份有限公司北京启明星辰信息安全技术有限公司上海派拉软件股份有限公司深圳市魔方安全科技有限公司 神州数码集团股份有限公司腾讯云计算（北京）有限责任公司 英文版本编写专家 完成项目领导:ChrisHughes TimBach MichaelRoza AnthonySmith WalterHaydock AndreasPeter AndrewLuhrmann SaanVandendriessche JamesUnderwood AlistairCockeram 完成贡献者:BryanSolari SaiHonig AmitKandpal JessicaShouse AbhishekVyas 审核:JerichBeason KapilBareja OrEmanuel UdithWickramasuriya PriyaPandey 最初的领导和贡献者:AkinAkinbosoye YaoSingTao J.R.Santos MickeyLaw VaniMurthy ZealSomani PaulLanois MichaelRoza CSA全球员工:ShamunMahmud 在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSAGCR秘书处给与雅正! 联系邮箱：research@c-csa.cn；国际云安全联盟CSA公众号。 目录 序言3 致谢4 1.引言7 1.1范围7 1.2适宜读者8 2.概述8 2.1方法8 2.2结构9 2.3SaaS生命周期注意事项9 3.信息安全政策11 3.1信息安全策略11 3.2对信息安全政策的审查30 4.信息安全组织30 4.1内部组织30 4.2移动设备和远程办公33 5.资产管理34 5.1资产责任34 6.访问控制36 6.1访问控制的业务需求36 6.2用户访问管理36 6.3系统和应用访问控制38 7.加密和密钥管理41 7.1SaaS环境中的数据安全41 7.2加密SaaS提供商共享的数据42 7.3客户管理加密密钥vs供应商管理加密密钥45 7.4加密和密钥管理的未来状态45 8.操作安全47 8.1操作程序和职责47 8.2防止恶意软件48 8.3备份和高可用49 8.4日志和监控50 8.5技术漏洞管理51 8.6信息系统审计注意事项52 9.网络安全管理53 9.1SaaS提供商网络控制53 9.2SaaS消费者网络控制53 10.供应商关系54 10.1供应商关系中的信息安全54 11.事件管理58 11.1云安全事件管理58 11.2SaaS事件响应责任和程序58 11.3阶段1:准备59 11.4阶段2:检测和分析59 11.5阶段3:遏制、根除和恢复60 11.6阶段4:总结改进60 12.合规性61 12.1遵守安全策略和标准61 12.2遵守法律和合同要求62 12.3信息安全审查62 13.CASB的功能和发展方向63 14.结论64 15.参考文献65 16.定义66 17.缩略词67 1.引言 在云安全领域，一直以来关注的重点几乎都是对基础设施即服务（IaaS）和平台即服务（PaaS）的保护。虽然组织一般只使用2-3个IaaS提供商，但通常会使用数十到数百个SaaS产品。云客户的SaaS治理最佳实践，是SaaS治理实践的基线集合,列举并考虑了SaaS生命周期评估、采用、使用和终止等所有阶段的风险以及处理。 随着SaaS的广泛应用，组织为了应对这种新情况，必须更新网络安全覆盖的领域。 组织必须更新内部策略，包括关键事项，如服务级别协议、安全和隐私要求以及运营影响分析等。同时，应考虑组织运营安全活动受到的影响，例如职责和任务分配，以及对移动设备和远程办公的影响。信息是一种资产，在SaaS模式下，涉及到外部服务提供商时，必须考虑信息的分类、标记和存储需求。虽然SaaS提供商在共享责任模型中承担了大部分责任，但SaaS客户仍然主要负责数据治理和访问控制。这意味着需要明确谁在什么场景下，拥有什么级别的权限，访问什么数据，尤其是在零信任架构中。 组织仍然涉及对加密密钥管理和安全运营活动（如漏洞管理、备份和存储）的关键决策。组织需要确保将SaaS提供商视为第三方风险管理计划的一部分，并相应更新事件响应和业务连续性计划和流程。这一点越来越重要，因为从业务连续性的角度，SaaS通常基于远程环境提供关键功能。SaaS工作模式下，即使责任共担，组织仍然必须满足法规合规遵从性和监管要求，以保护其利益相关者及其声誉，并避免潜在的法律后果。 SaaS模式改变了组织处理网络安全问题的方式，在云厂商和云客户之间引入了共同责任模型。如果不进行相应调整，可能会造成严重后果，如泄露敏感数据、收入损失、失去客户信任和违反监管要求等。 1.1范围 本文件: •提供一套用于保护SaaS环境数据的SaaS治理最佳实践基线 •根据SaaS采用和使用的生命周期列举并考虑风险 •从SaaS客户的角度提供潜在的缓解措施 1.2适宜读者 •SaaS客户 •SaaS云服务提供商 •SaaS安全解决方案提供商 •云安全专业人员 •法务 •网络安全主管 •IT主管 •风险经理 •IT审计员和合规人员 •第三方风险经理 2.概述 软件即服务（SaaS）用户和客户应评估并减轻使用SaaS服务所带来的信息安全风险。本文档参考NIST800-145，将SaaS定义为“通过使用供应商在云基础设施上运行的应用程序向消费者提供的能力”。在这种情况下，消费者不会管理或控制云基础设施、操作系统、关联的存储，甚至单个应用程序，特定配置或设置除外。 虽然组织选择的云计算服务和安全领域在不断发展，但有关SaaS治理和安全的指导并不多。同时，组织中的不同部门偶尔还会更多地利用SaaS服务（也称影子IT）为其关键业务流程和功能提供支持，并经常在SaaS环境中存储敏感数据。 2.1方法 SaaS需要不同的安全治理思维。虽然与其他共享责任框架（即IaaS）的治理有一些相似之处，但SaaS部署和管理需要独特的方法。对SaaS进行适当的安全和治理，尽职调查必须从较高的层次开始，即了解SaaS应用程序的使用和功能，并深入到细节，如系统中存储的数据类型以及谁有权访问。 考虑到适当管理SaaS应用程序的使用以及可能部署的无数SaaS应用程序的独特复杂性，组织应首先寻求一个适合组织安全、业务和监管需求的框架（如NISTCSF）。该框架将帮助组织塑造安全架构所需的人员、流程和技术。 遵循广泛采用的安全框架（如NISTCSF）以及本文档中的最佳实践和建议，将有助于组织建立SaaS治理和安全流程，以降低与SaaS使用相关的风险。 2.2结构 本文档定义了SaaS安全性的三个必要组件：流程、平台和应用程序。通过将流程安全性、平台安全性和应用程序安全性结合到一个内聚的策略中，可以实现SaaS的集成安全性。 流程安全保护程序活动的完整性，确保流程的输入和输出不容易受到损害。主要涉及管理方面，包括政策和程序，以确保与组织的流程保持一致。 平台安全性涉及平台的安全强度，即SaaS服务的基础依赖性。其中包括SaaS基础设施、操作系统及潜在供应商安全。 应用程序安全性处理SaaS应用程序本身的安全性。只有当SaaS应用程序不包含可利用的漏洞，并且实现了符合组织和供应商安全最佳实践以及法规遵从性要求的强化要求时，才能保持安全。 在SaaS模型中，有限的控制措施和可见性主要局限于流程和应用程序安全组件。SaaS消费者无法控制SaaS应用程序的平台安全组件或底层供应链。这些情况导致SaaS用户需要在其组织内拥有良好的流程安全性，并确保实现应用程序级的安全控制措施。 某些部门特定的安全控制措施通常用于满足隐私、政府或财务合规性。例如FedRAMP、NIST800-53、HIPAA和PCI-DSS。这些需求通常属于垂直领域，适用于三个SaaS安全领域。 2.3SaaS生命周期注意事项 如果管理得当，企业环境中SaaS应用程序的采用和使用通常遵循三个关键生命周期：评估、采用和使用。这些生命周期的常见模式如下。 很多组织对SaaS的使用快速有序增长，然而在SaaS应用程序监控方面却是落后的。这样的组织在广泛采用SaaS的同时，实施SaaS安全和治理计划，使用生命周期将是至关重要的。 2.3.1评估 评估生命周期发生在采购之前，首先确定可由SaaS应用程序解决的业务需求。在许多组织中，这是在业务范围内的，可能涉及也可能不涉及集中采购的组织。评估生命周期通常由4个步骤组成： •了解用户计划使用的服务 •市场研究 •试点工作 •采购决策 如果组织做出了购买决策，那么将开始生命周期中的采用阶段，部署SaaS应用程序。虽然理想情况下，相关安全和合规组织的代表会在评估阶段出席，但这些代表必须参与到采用阶段。当组织构建SaaS安全和治