安全从业者已经吸取了教训,合同谈判是至关重要的,如果他们的SaaS,云计算和安全目标工作。从社会角度和SaaScon 2010报告。
这个词软件即服务(SaaS)已经存在很长时间了。云一词仍然相对较新。把它们在一起意味着一个受伤的世界对许多企业来说,特别是尝试安全集成到混合。
在举行的一个联合小组讨论2010年社会视角和SaaScon 2010周三,五人一直试图帮助与会者避免同样的折磨。也许最重要的教训是,合同谈判供应商之间就是一切。问题是,你总不知道哪些问题要问当文件被写入。
工作小组成员引用关键问题在SaaS-Cloud-Security公式:SaaS合同往往缺乏应急计划如果一个或更多的公司遭受破坏或数据被破坏。合作伙伴——企业客户和供应商很少发现它容易获得在同一页的谁负责什么在发生麻烦。与此同时,他们说,有一个缺乏明确的标准如何进行,特别是在云中的做事。
添加到基本的误解公司对云计算是什么,Jim Reavis说,云安全联盟的创始人之一。
“重要的是我们知道没有一个云。层的服务,”Reavis说。“我们看到一个进化,SaaS提供商骑在其他层,在公共和私有云。”
在,很多可能出错。
“如果你在一个公共云的情况,公司B被打破,许多不同公司之间的相互指责和合作伙伴将接踵而至,“Reavis说。“如果这不是包含在协议的条款,你没有希望恢复的数据(或损失)”。
安全厂商也可以是问题的一部分。在最近的一次方案的文章五个错误这样的一个厂商的云Nils Puhlmann,云安全联盟的创始人之一和先前CISO等实体电子艺术与国际罗伯海夫指出,供应商——他没有叫“你能做的每件事都错了”什么时候推出最新版本的SaaS产品,导致大量用户卸载他们的解决方案。
客户使用一个特定版本的SaaS产品被发现不知道当供应商决定推出一个新版本通过云。是在某种程度上,升级的时候,任何新的端点添加到自动管理得到了新版本。客户没有要求或通知,被迫一个混合版本的环境。“过去,我作为客户能够选择如果我想做这个,我可以选择时机,”他说。“在这里,没有控制,没有时间或通知。”
运营副总裁Keith华德福医生分配,一个医疗点药物和e-prescription配药提供者,说他的一个公司最痛苦的经历在这个领域是在合同方面。“很惊讶我们缺乏一个共同的标准,”他说。
在2005 - 06年,医生开始运行自己的虚拟环境。公司知道它不能独自管理,但必须烧穿5服务提供者之前找到正确的一个。他说,一个挑战是,每个厂商似乎都用不同的方式来做事情,没有通用的框架。“我们认为合同中的细则没有真正的相关性,但这种想法最终回到咬我们,”他说。在公司遇到麻烦时迁移到一个新的平台。当切换从一个服务提供商,该公司会发现旧的供应商仍在试图尝试网络登录。
Reavis说,另一个挑战是,云提供商并不总是善于提供日志信息,数据泄露调查期间起着至关重要的作用。“合同明确规定所需的日志级别的供应商是非常重要的,”他说。
Orbitz CISO埃德•贝利斯表示,他的公司刚开始使用虚拟开发网格和构建自己的云。如果它使用SaaS云内的外部,它需要联合所有合作伙伴之间的身份信息。“这是一个挑战,与合作伙伴合作,得到相同的页面上,”他说。“早期有许多事情我们不期望。联合会的身份在我们的内部系统之间的差异成为了一个挑战,因为我们的内部过程和SaaS提供者的。”
有帮助的一件事是他的组织内部开发基线问题本身的服务是否真的符合需要,如果a和B在云是有意义的。反省可以帮助公司避免匆忙的痛,他说。
“sla,你需要有明确的语言如何处理和数据加密,安全漏洞时,合同上必须有明确的语言负责特定方面的调查,”贝利斯说。“构建这些考虑合同。”
总裁杰夫Spivey安全风险管理,指出与SaaS可以有许多隐藏的第三方关系,和一个好的合同必须占。
“构建移动数据到你的合同,”他说。“记住一个业务关系实际上是与多个10,你甚至可能需要多个合同保证。”
阅读更多关于云安全CSOonline云安全的部分。
这个故事,“SaaS、安全和云:这都是关于合同”最初发表的方案 。