摘要:圍繞著SaaS,仍然有許多的合規(guī)性問(wèn)題,其中沒(méi)有一個(gè)是具有普遍性的,能夠通過(guò)單一的方法搞定的。最近的研究表明,75%的企業(yè)都在使用軟件即服務(wù)(SaaS)的應(yīng)用程序。
現(xiàn)如今,企業(yè)用戶對(duì)于SaaS的使用正在迅猛增長(zhǎng),而這一趨勢(shì)似乎將超過(guò)企業(yè)購(gòu)買軟件許可證,使用內(nèi)部部署的形式。而這無(wú)疑就為企業(yè)的IT經(jīng)理們帶來(lái)了兩大關(guān)于監(jiān)管合規(guī)性方面的挑戰(zhàn)難題。首先,必須確保對(duì)服務(wù)的使用仍然符合與SaaS提供商簽訂的合同條款范圍之內(nèi);第二,還必須確保與SaaS的使用相關(guān)的數(shù)據(jù)信息在被發(fā)送、使用和儲(chǔ)存時(shí),必須遵循相應(yīng)的監(jiān)管規(guī)定。
鑒于數(shù)據(jù)的安全性,SaaS的一定的責(zé)任是外包。企業(yè)用戶需要知道自己所使用的是什么SaaS應(yīng)用程序;他們正在使用的是什么樣的數(shù)據(jù);以及數(shù)據(jù)是如何處理的。當(dāng)然,企業(yè)用戶首先應(yīng)該盡職調(diào)查,以確保SaaS提供商的服務(wù)水平足以滿足相關(guān)的監(jiān)管要求,但是這只能通過(guò)了解供應(yīng)商的員工是如何使用SaaS的,才能得到充分而全面的了解。
對(duì)于許多企業(yè)用戶來(lái)說(shuō),為了能夠享受其所帶來(lái)的好處,SaaS所帶來(lái)的相關(guān)問(wèn)題是值得克服的:
省去了企業(yè)自己擁有和管理服務(wù)器基礎(chǔ)設(shè)施的麻煩;
該平臺(tái)的安全和軟件更新是由供應(yīng)商管理;
即時(shí)獲得更多(或更少)的容量能力;
易于與外部用戶共享應(yīng)用程序;
有潛在的、較低的擁有成本。
購(gòu)買軟件許可證實(shí)施企業(yè)內(nèi)部部署
在SaaS時(shí)代以前,企業(yè)必須確保同意實(shí)際使用軟件的計(jì)數(shù)不會(huì)超過(guò)其所購(gòu)買的許可數(shù)量;或基于服務(wù)器的應(yīng)用程序的并發(fā)訪問(wèn)用戶數(shù)量不會(huì)超過(guò)商定的授權(quán)許可數(shù);或必須控制用戶設(shè)備上部署的應(yīng)用程序的數(shù)量。軟件是通過(guò)購(gòu)買許可證,按照條款規(guī)定使用的。
而軟件許可牌照被濫用的其中一個(gè)主要領(lǐng)域是有意或無(wú)意的將軟件復(fù)制拷貝到更多的服務(wù)器或覆蓋更多的用戶終端。這種情況往往發(fā)生在企業(yè)采購(gòu)新設(shè)備時(shí),或用戶加入或離開一家企業(yè)時(shí)。其解決方案是軟件資產(chǎn)管理(SAM),通過(guò)啟用諸如BMC公司的Numara、Flexera、許可證儀表盤以及商業(yè)軟件聯(lián)盟(BSA)的Verafirm。有些人開始適應(yīng)了——例如,BSA表示說(shuō),其擴(kuò)展了其Verafirm產(chǎn)品對(duì)于IS0 19770標(biāo)準(zhǔn)SAM的支持,以覆蓋SaaS。
另一種方法是與軟件許可管理專業(yè)合作伙伴諸如Trustmarque公司合作,他們通過(guò)調(diào)整資產(chǎn)管理策略與SaaS產(chǎn)品如微軟的Office 365充分融合,進(jìn)而能夠幫助企業(yè)客戶完成軟件許可和金融財(cái)務(wù)從企業(yè)內(nèi)部部署轉(zhuǎn)型過(guò)度到SaaS模式的規(guī)劃。
測(cè)量SaaS使用的問(wèn)題
而SaaS應(yīng)用程序通常通過(guò)付費(fèi)認(rèn)購(gòu)的。任何具有有效訪問(wèn)憑證的人都可以在任何地方獲得訪問(wèn)和使用權(quán)限。而未經(jīng)授權(quán)的使用不需要安裝,往往只是共享,且用戶名和密碼容易丟失或被盜。當(dāng)用戶與特定組織的關(guān)系結(jié)束時(shí),其使用權(quán)限不會(huì)自動(dòng)停止,但這些有效訪問(wèn)憑據(jù)則可以很容易就沒(méi)了。這個(gè)問(wèn)題由于IT使用的另一個(gè)巨大的變化而加劇;用戶希望使用他們自己的設(shè)備而且是使用多臺(tái)設(shè)備的趨勢(shì)。這意味著,一些被用來(lái)訪問(wèn)一款既定SaaS應(yīng)用程序的設(shè)備甚至可能不再密切匹配規(guī)定的用戶數(shù)量(例如,微軟Office 365允許每個(gè)用戶帳戶在多達(dá)5臺(tái)設(shè)備上使用)。
因此,SaaS提供商們?yōu)榱司S護(hù)自身的利益,需要控制用量,并最大限度地提高用戶訂購(gòu)量。Salesforce已經(jīng)推出了一款打包工具用于監(jiān)視訂購(gòu)的使用情況,其提供一個(gè)儀表板,并將基于各種閾值向管理員發(fā)送警報(bào)。而谷歌則在賬戶和文檔層面對(duì)于其應(yīng)用程序的訪問(wèn)實(shí)施控制——例如需要強(qiáng)身份認(rèn)證驗(yàn)證和實(shí)施自帶設(shè)備(BYOD)政策。
然而,這些方法存在兩大問(wèn)題。第一,他們只讓IT管理人員來(lái)管理他們所知道的情況;而問(wèn)題就在于,許多IT經(jīng)理們現(xiàn)在已經(jīng)承認(rèn)并接受了他們的業(yè)務(wù)部門的用戶將自行認(rèn)購(gòu)自己的軟件服務(wù)(“即影子IT”)的事實(shí),他們必須適應(yīng)這一點(diǎn)。其次,越來(lái)越多地使用的SaaS (無(wú)論是通過(guò)正規(guī)渠道和過(guò)影子IT的形式)意味著通過(guò)對(duì)每家供應(yīng)商都實(shí)施這樣的做法是不切實(shí)際的,因?yàn)榭赡芤患移髽I(yè)的每個(gè)用戶管理著很多:幾十,甚至在極端情況下,數(shù)百款不同的訂購(gòu)SaaS。
了解影子IT
反盜版軟件聯(lián)盟(Federation against Software Theft,F(xiàn)ast)的首席執(zhí)行官亞歷克斯·希爾頓總結(jié)了該問(wèn)題:“SaaS為企業(yè)帶來(lái)了前所未見(jiàn)的靈活性,但我們現(xiàn)在看到的大量所謂‘影子IT’的出現(xiàn)。而這在工作實(shí)踐中將為那些希望嚴(yán)格遵守軟件許可證相關(guān)法律規(guī)定的企業(yè)提出巨大的挑戰(zhàn)。”
一些基本的可以通過(guò)檢查防火墻日志 來(lái)查看SaaS應(yīng)用程序的日常使用情況,特別對(duì)于下一代防火墻,其是安裝在應(yīng)用程序,而不是網(wǎng)絡(luò)層面,這種運(yùn)作更容易實(shí)現(xiàn)。與企業(yè)業(yè)務(wù)部門經(jīng)理進(jìn)行一般性的溝通也能夠發(fā)揮一定的作用,但這些臨時(shí)性的辦法沒(méi)有觸及到這個(gè)問(wèn)題的核心。
同時(shí),還必須要確保遵守許可證是如何使用的以及數(shù)據(jù)是如何處理的,因此有必要在整個(gè)企業(yè)范圍內(nèi)檢查軟件訂購(gòu)是否具有成本效益。將兩個(gè)部門的需求合并為單一的認(rèn)購(gòu)協(xié)議可能會(huì)帶來(lái)更好的批量折扣。而其所面臨的挑戰(zhàn)是想要知道哪些產(chǎn)品在使用,其使用量的 程度,并檢查如何適應(yīng)企業(yè)用戶的內(nèi)部管理策略是比較困難的——特別是關(guān)于數(shù)據(jù)的安全性方面。
這種需求導(dǎo)致了云訪問(wèn)安全經(jīng)紀(jì)商(CASBs)的增加,其中包括Skyhigh Networks、CipherCloud、Elastica和Netskope公司。不同CASB產(chǎn)品的功能各有不同:一般來(lái)講, 他們可以報(bào)告SaaS應(yīng)用程序正在使用的情況,并執(zhí)行相關(guān)的使用政策。例如,某些應(yīng)用程序因?yàn)橥{到數(shù)據(jù)的安全性可能被徹底阻止;使用規(guī)則可以應(yīng)用于其他方案如實(shí)施加密。在某些情況下,能夠提供更細(xì)致的方式;例如,Skyhigh Networks支持根據(jù)合規(guī)性要求對(duì)不同的數(shù)據(jù)類型不同的加密模式。而Elastica公司的產(chǎn)品則能夠?yàn)镾aaS應(yīng)用程序提供所謂的“業(yè)務(wù)準(zhǔn)備情況評(píng)估”。
通過(guò)CASB所提供的洞察力也允許整合軟件的訂購(gòu)。然而,仍然有一個(gè)首要問(wèn)題——當(dāng)員工離職時(shí),企業(yè)如何快速,安全地禁止訪問(wèn)多個(gè)授權(quán)的SaaS訂閱?這便是單點(diǎn)登錄發(fā)揮作用的時(shí)候了。
單點(diǎn)登錄
關(guān)于單點(diǎn)登錄(SSO)其實(shí)沒(méi)什么新鮮的,一些供應(yīng)商在過(guò)去的十年已經(jīng)有了。最近的研究顯示,現(xiàn)在,歐洲的四分之三的企業(yè)使用某種形式的單點(diǎn)登錄。目標(biāo)之一是為了幫助客戶提高合規(guī)性,通過(guò)提供一個(gè)單一的接入點(diǎn),為用戶提供多個(gè)基于云的和企業(yè)內(nèi)部的資源。
SSO可以以一個(gè)簡(jiǎn)單的步驟迅速提供或帶走一系列廣泛的服務(wù)。用戶不再由SSO提供SaaS應(yīng)用程序管理的直接訪問(wèn)。應(yīng)用程序是用戶自己訂購(gòu)的(也許采用了CASB)可以申請(qǐng)帶入SSO的范圍內(nèi)。這樣的系統(tǒng)復(fù)制了一些CASB產(chǎn)品的能力,例如如何執(zhí)行SaaS應(yīng)用程序的訪問(wèn)和使用的政策。可以生成審計(jì)報(bào)告,提供誰(shuí)在一個(gè)既定的時(shí)間訪問(wèn)過(guò)該應(yīng)用程序的快照,并重新配置報(bào)告,顯示所有的訪問(wèn)權(quán)限,奪走之前用戶的訪問(wèn)權(quán)限。
許多SSO產(chǎn)品本身是基于云的。有些是專為云計(jì)算設(shè)計(jì)的,如Intermedia公司的AppID、Okta和OneLogin;或?qū)ζ溥M(jìn)行了采用,例如CA單點(diǎn)登錄的SaaS,賽門鐵克訪問(wèn)管理器,戴爾云訪問(wèn)管理器和Centrify。其它的如Ping Identity將內(nèi)部部署和基于云的使用進(jìn)行整合集成(Ping Federate和PingOne)。
CASB和SSO產(chǎn)品在其某些政策和安全功能方面可能會(huì)重疊,但在現(xiàn)實(shí)中,有足夠的互補(bǔ)機(jī)會(huì)進(jìn)行合作。Skyhigh公司將Ping Identity、Okta等一些SSO系統(tǒng)進(jìn)行了集成。OneLogin公司則表示說(shuō),他們正在與Skyhigh和Netskope(其產(chǎn)品正是Trustmarque公司所使用的)合作。Elastica已經(jīng)與Centrify、Okta、CA和OneLogin等等進(jìn)行了合作。
一些SSO產(chǎn)品達(dá)到了一個(gè)完全不同的水平。例如,Intermedia公司的AppID可以塑造SaaS應(yīng)用程序的使用方式,提供細(xì)粒度的訪問(wèn)控制,以在網(wǎng)頁(yè)中添加個(gè)性化的特性和功能(按鈕、菜單選項(xiàng)、鏈接、標(biāo)簽),以及減少數(shù)據(jù)分享和消除高風(fēng)險(xiǎn)的功能(分享、下載、上傳、保存、導(dǎo)出文件附件等),否則將導(dǎo)致應(yīng)用程序風(fēng)險(xiǎn)評(píng)估失敗。其還可以附加屏幕截圖,審計(jì)跟蹤,使應(yīng)用程序只讀,例如限制使用社交媒體網(wǎng)站。
企業(yè)IT領(lǐng)導(dǎo)者們必須意識(shí)到,對(duì)于如何應(yīng)對(duì)SaaS的合規(guī)性所帶來(lái)的挑戰(zhàn),并沒(méi)有唯一的答案。但也有許多能夠解決該問(wèn)題的不同方面的方法。對(duì)于這些方法相互結(jié)合使用,有助于使企業(yè)能夠得到更好的控制,享受SaaS所帶來(lái)的好處,同時(shí)在涉及到合規(guī)性問(wèn)題時(shí)更加安心。
京公網(wǎng)安備 11010502049343號(hào)