安全和数据隐私的SaaS信任模型

在了解SaaS产品的信任模型之前,您无法比较它们的隐私。

零信任模式是隐私的终极选择,但很少是一种选择。但不一定是零信任或完全信任。中间有一个滑动的信任模型。这就是为什么这些模型也有价值。

信任。这是生意的动力。消费者和企业从他们信任的品牌购买。但在软件即服务的世界里,信任远不止是品牌声誉。

我们天生的倾向是相信同行信任的品牌。这就是为什么大公司能够继续销售软件,即使他们的产品停滞不前。但是,即使是大公司也需要小心脚下的活板门,以及可能把他们最大的拥护者变成最大的批评者的东西:隐私。

Zoom最近发现了这个艰难的道路,当用户得知他们的安全和隐私期望没有得到满足时。

信任模型的目的是什么?

一般级别的信任模型可以应用于许多不同的环境。在加密设置中,有非常明确的攻击模型作为理解安全协议中不同参与者可以学习或不能学习的速记。它们的名称类似于“自适应选择密文攻击(CCA2)”,在根据需要评估加密协议时非常有用,但我们缺乏一种类似的方式来讨论SaaS产品。

有了共同的语言和定义,就可以更轻松地讨论数据隐私需求和要求。不同的需求导致不同的模型,并且根据用例有丰富的频谱可供选择。

例如,客户管理的密钥(CMK,aka Bring Your Own Keys或BYOK),如果操作正确,就是一个信任但验证的模型。这意味着客户拥有一个或多个主密钥的控制权,用于解密其服务提供商持有的数据,并且可以看到何时访问其数据。未经客户的持续同意,服务提供商无权访问此数据。

什么是SaaS信任模型?

今天有许多模型被广泛使用,尽管它们不常被这样命名。值得注意的是,我们有时会看到根据数据或服务级别混合使用的模型。例如,如果您为Salesforce Shield功能支付额外费用,Salesforce将提供更强大的信任模型。

以下是我们从最常见到最不常见的模型:

  • 完全信任:这是SaaS、IaaS和PaaS的默认和经典状态:服务提供商可以完全访问其客户的所有数据,但承诺不会滥用该特权.服务提供商以服务条款和隐私政策的形式作出合同承诺。对于服务是否“完全信任”,最关键的一个测试是服务的管理员是否可以访问客户的数据。因此,即使数据是加密的,如果加密对管理员是透明的,或者他们有权访问密钥,这也是一个问题完全信任模型。
  • 信任但验证:此模型类似于完全信任,只是客户保留了对敏感数据访问的独立审计日志记录功能,以便他们知道谁在何时何地访问敏感数据。此外,客户还可以从服务提供商处撤消对其数据的访问,而无需依赖服务提供商来删除数据。换句话说,提供商的员工或系统可以看到所有数据,但是客户知道他们何时访问这些数据,并且可以随时关闭访问。Salesforce Shield产品是信任但验证受该产品保护的数据的模型。
  • 半托管:半可信提供者有助于访问数据(或解密或访问数据的能力),但不能解密数据或授予访问权。半可信服务通常可以访问元数据,用户通常不是匿名的。半信任的玩家没有数据访问权限(在这方面为零信任),但在其他操作(如撤销)中是受信任的。例如,一个半可信的服务器可能加密的加密密钥并将其分发出去,但无法解密这些密钥,也无法确定谁可以解密。在研究零信任数据体系结构时,这是一个重要的模型,因为在匿名不重要或不允许匿名的环境中,它通常与“零信任”一样好。
  • 分割信任:拆分信任安全模型需要两个或多个参与方协作才能查看数据。该模型的一个常见实现对数据进行加密,并为一个实体提供密钥,为另一个实体提供加密数据。每个实体承诺不与其他实体共享其数据。我们有时会看到人们谈论单个实体中的分离信任模型,其中信任分布在服务器之间。在服务器级别,这可能是正确的,但在服务提供商级别,则不是。因此,在服务器之间内部划分信任关系的服务提供商不能说它满足SaaS划分信任模型,因为服务提供商内部的管理员仍然可以访问数据,而不需要第三方的协作。注意:如果客户持有自己的密钥,则这不是一个分割信任模型,因为分割信任意味着客户信任两个或更多方,并且相信这些方不会串通。客户持有的密钥可以是信任但验证模型(如果数据被解密并被服务提供商在其服务器上看到),也可以是零信任模型(如果数据仅由客户解密)。
  • 零信任:如果服务提供商持有加密数据,但无法访问服务器上的解密数据,并且对其持有的数据了解有限或没有,则该模型为零信任。我们有时称之为零能见度零信任数据避免与网络级的零信任概念混淆。在零信任数据场景中,服务提供商没有密钥,不解密数据,并且在其服务器上看不到也看不到解密的数据。但是,客户或客户的员工可以通过在其客户机(浏览器、移动应用程序或其他)或自己的服务器上解密数据来查看数据。
  • 临时信托:当一个服务提供者在他们的服务器上看到一些数据,但在持久存储之前对其进行加密时,我们就有了一个短暂的信任模型。当存储“有毒数据”(即私人用户生成的内容,如聊天日志或电话会议录音,其中可能包含受监管的数据(健康、财务、内幕交易等))时,这非常有用,因为服务提供商需要一次性访问数据,以便向客户提供承诺的价值。例如,在音频的情况下,服务可能在其服务器上生成一个脚本,然后对脚本和源音频进行加密,这样服务提供商就不能再访问它了。这有助于服务提供商在黑客攻击或管理员过于好奇的情况下尽量减少他们的暴露。

在许多IronCore与客户合作的案例中,存在多种信任模型。例如,附件可能遵循零信任模型,而敏感或受监管的数据遵循信任但验证模型。对于这些模型,我们通常忽略客户不认为是私有的数据。

提出正确的问题

也许有了一种共享的语言,我们都可以更好地根据我们使用服务时必须给予他们多少信任来评估服务提供商。正确的答案取决于我们所委托的数据、好奇的管理员或黑客可能造成的伤害、潜在的监管处罚等等。但综合起来,我们可以更好地评估与SaaS提供商合作的风险。

作为潜在客户,值得向服务提供商提出的问题:

  • 贵公司有人可以访问我的敏感数据吗?
  • 如果是这样,访问是否持久?
  • 如果没有,你对看不到的数据了解多少?你有什么元数据?
  • 有没有办法让我知道贵公司的某个人何时访问我的数据,即使此人是数据库或系统管理员?
  • 您是否有任何服务提供商(例如,Amazon Web服务),其中一个管理员可能会看到我的数据(例如,如果他们受到执法命令或任何其他原因的强迫)?
  • 你能提供一种加密数据的方法,这样我就可以持有密钥了吗?

这些问题是评价信任的出发点。不幸的是,在今天的大多数情况下,这些问题的答案意味着您必须完全信任服务提供商。但随着SaaS客户在我们提出的问题和如何评估业务方面的成熟,越来越多的SaaS公司将通过减少使用其服务所需的盲目信任来提升他们的信任游戏。

咸杂烩

提示,技巧,指针和观点建立安全…

作者

学者,梦想家,创造者,冒险家,黑客,领导者和观察者。倡导隐私和安全。IronCore实验室首席执行官。

咸杂烩

关于构建安全、可测试、可维护应用程序的提示、技巧、指针和观点。IronCore实验室关于安全和隐私的想法和观察。

作者

学者,梦想家,创造者,冒险家,黑客,领导者和观察者。倡导隐私和安全。IronCore实验室首席执行官。

咸杂烩

关于构建安全、可测试、可维护应用程序的提示、技巧、指针和观点。IronCore实验室关于安全和隐私的想法和观察。

中等是一个开放的平台,1.7亿读者可以在这个平台上发现有见地的动态思维。在这里,专家和未被发现的声音一样潜入任何主题的核心,并带来新的想法表面。了解更多

关注作者、出版物和与你相关的主题,你会在主页和收件箱中看到它们。探索

如果你有故事要讲,有知识要分享,或者有观点要表达,欢迎回家。在任何主题上发表你的想法都很简单和自由。开始写博客

获取媒体应用程序

一个按钮,上面写着'下载到应用商店',如果点击它会引导你到iOS应用商店
一个按钮,上面写着“获取它,谷歌播放”,如果点击它将导致你到谷歌播放商店