现如今,企业用户对于SaaS的使用正在迅猛增长,而这一趋势似乎将超过企业购买软件许可证,使用内部部署的形式。而这无疑就为企业的IT经理们带来了两大关于监管合规性方面的挑战难题。首先,必须确保对服务的使用仍然符合与SaaS提供商签订的合同条款范围之内;第二,还必须确保与SaaS的使用相关的数据信息在被发送、使用和储存时,必须遵循相应的监管规定。
鉴于数据的安全性,SaaS的一定的责任是外包。企业用户需要知道自己所使用的是什么SaaS应用程序;他们正在使用的是什么样的数据;以及数据是如何处理的。当然,企业用户首先应该尽职调查,以确保SaaS提供商的服务水平足以满足相关的监管要求,但是这只能通过了解供应商的员工是如何使用SaaS的,才能得到充分而全面的了解。
对于许多企业用户来说,为了能够享受其所带来的好处,SaaS所带来的相关问题是值得克服的:
省去了企业自己拥有和管理服务器基础设施的麻烦;
该平台的安全和软件更新是由供应商管理;
即时获得更多(或更少)的容量能力;
易于与外部用户共享应用程序;
有潜在的、较低的拥有成本。
购买软件许可证实施企业内部部署
在SaaS时代以前,企业必须确保同意实际使用软件的计数不会超过其所购买的许可数量;或基于服务器的应用程序的并发访问用户数量不会超过商定的授权许可数;或必须控制用户设备上部署的应用程序的数量。软件是通过购买许可证,按照条款规定使用的。
而软件许可牌照被滥用的其中一个主要领域是有意或无意的将软件复制拷贝到更多的服务器或覆盖更多的用户终端。这种情况往往发生在企业采购新设备时,或用户加入或离开一家企业时。其解决方案是软件资产管理(SAM),通过启用诸如BMC公司的Numara、Flexera、许可证仪表盘以及商业软件联盟(BSA)的Verafirm。有些人开始适应了——例如,BSA表示说,其扩展了其Verafirm产品对于IS0 19770标准SAM的支持,以覆盖SaaS。
另一种方法是与软件许可管理专业合作伙伴诸如Trustmarque公司合作,他们通过调整资产管理策略与SaaS产品如微软的Office 365充分融合,进而能够帮助企业客户完成软件许可和金融财务从企业内部部署转型过度到SaaS模式的规划。
测量SaaS使用的问题
而SaaS应用程序通常通过付费认购的。任何具有有效访问凭证的人都可以在任何地方获得访问和使用权限。而未经授权的使用不需要安装,往往只是共享,且用户名和密码容易丢失或被盗。当用户与特定组织的关系结束时,其使用权限不会自动停止,但这些有效访问凭据则可以很容易就没了。这个问题由于IT使用的另一个巨大的变化而加剧;用户希望使用他们自己的设备而且是使用多台设备的趋势。这意味着,一些被用来访问一款既定SaaS应用程序的设备甚至可能不再密切匹配规定的用户数量(例如,微软Office 365允许每个用户帐户在多达5台设备上使用)。
因此,SaaS提供商们为了维护自身的利益,需要控制用量,并大限度地提高用户订购量。Salesforce已经推出了一款打包工具用于监视订购的使用情况,其提供一个仪表板,并将基于各种阈值向管理员发送警报。而谷歌则在账户和文档层面对于其应用程序的访问实施控制——例如需要强身份认证验证和实施自带设备(BYOD)政策。
然而,这些方法存在两大问题。第一,他们只让IT管理人员来管理他们所知道的情况;而问题就在于,许多IT经理们现在已经承认并接受了他们的业务部门的用户将自行认购自己的软件服务(“即影子IT”)的事实,他们必须适应这一点。其次,越来越多地使用的SaaS (无论是通过正规渠道和过影子IT的形式)意味着通过对每家供应商都实施这样的做法是不切实际的,因为可能一家企业的每个用户管理着很多:几十,甚至在极端情况下,数百款不同的订购SaaS。
了解影子IT
反盗版软件联盟(Federation against Software Theft,Fast)的首席执行官亚历克斯·希尔顿总结了该问题:“SaaS为企业带来了前所未见的灵活性,但我们现在看到的大量所谓‘影子IT’的出现。而这在工作实践中将为那些希望严格遵守软件许可证相关法律规定的企业提出巨大的挑战。”
一些基本的可以通过检查防火墙日志 来查看SaaS应用程序的日常使用情况,特别对于下一代防火墙,其是安装在应用程序,而不是网络层面,这种运作更容易实现。与企业业务部门经理进行一般性的沟通也能够发挥一定的作用,但这些临时性的办法没有触及到这个问题的核心。
同时,还必须要确保遵守许可证是如何使用的以及数据是如何处理的,因此有必要在整个企业范围内检查软件订购是否具有成本效益。将两个部门的需求合并为单一的认购协议可能会带来更好的批量折扣。而其所面临的挑战是想要知道哪些产品在使用,其使用量的 程度,并检查如何适应企业用户的内部管理策略是比较困难的——特别是关于数据的安全性方面。
这种需求导致了云访问安全经纪商(CASBs)的增加,其中包括Skyhigh Networks、CipherCloud、Elastica和Netskope公司。不同CASB产品的功能各有不同:一般来讲, 他们可以报告SaaS应用程序正在使用的情况,并执行相关的使用政策。例如,某些应用程序因为威胁到数据的安全性可能被彻底阻止;使用规则可以应用于其他方案如实施加密。在某些情况下,能够提供更细致的方式;例如,Skyhigh Networks支持根据合规性要求对不同的数据类型不同的加密模式。而Elastica公司的产品则能够为SaaS应用程序提供所谓的“业务准备情况评估”。
通过CASB所提供的洞察力也允许整合软件的订购。然而,仍然有一个首要问题——当员工离职时,企业如何快速,安全地禁止访问多个授权的SaaS订阅?这便是单点登录发挥作用的时候了。
单点登录
关于单点登录(SSO)其实没什么新鲜的,一些供应商在过去的十年已经有了。最近的研究显示,现在,欧洲的四分之三的企业使用某种形式的单点登录。目标之一是为了帮助客户提高合规性,通过提供一个单一的接入点,为用户提供多个基于云的和企业内部的资源。
SSO可以以一个简单的步骤迅速提供或带走一系列广泛的服务。用户不再由SSO提供SaaS应用程序管理的直接访问。应用程序是用户自己订购的(也许采用了CASB)可以申请带入SSO的范围内。这样的系统复制了一些CASB产品的能力,例如如何执行SaaS应用程序的访问和使用的政策。可以生成审计报告,提供谁在一个既定的时间访问过该应用程序的快照,并重新配置报告,显示所有的访问权限,夺走之前用户的访问权限。
许多SSO产品本身是基于云的。有些是专为云计算设计的,如Intermedia公司的AppID、Okta和OneLogin;或对其进行了采用,例如CA单点登录的SaaS,赛门铁克访问管理器,戴尔云访问管理器和Centrify。其它的如Ping Identity将内部部署和基于云的使用进行整合集成(Ping Federate和PingOne)。
CASB和SSO产品在其某些政策和安全功能方面可能会重叠,但在现实中,有足够的互补机会进行合作。Skyhigh公司将Ping Identity、Okta等一些SSO系统进行了集成。OneLogin公司则表示说,他们正在与Skyhigh和Netskope(其产品正是Trustmarque公司所使用的)合作。Elastica已经与Centrify、Okta、CA和OneLogin等等进行了合作。
一些SSO产品达到了一个完全不同的水平。例如,Intermedia公司的AppID可以塑造SaaS应用程序的使用方式,提供细粒度的访问控制,以在网页中添加个性化的特性和功能(按钮、菜单选项、链接、标签),以及减少数据分享和消除高风险的功能(分享、下载、上传、保存、导出文件附件等),否则将导致应用程序风险评估失败。其还可以附加屏幕截图,审计跟踪,使应用程序只读,例如限制使用社交媒体网站。
企业IT领导者们必须意识到,对于如何应对SaaS的合规性所带来的挑战,并没有唯一的答案。但也有许多能够解决该问题的不同方面的方法。对于这些方法相互结合使用,有助于使企业能够得到更好的控制,享受SaaS所带来的好处,同时在涉及到合规性问题时更加安心。