SaaS安全的6個(gè)最佳實(shí)踐和策略

云計(jì)算和SaaS的興起極大地重塑了數(shù)字景觀，為企業(yè)提供了許多好處，例如可擴(kuò)展性、成本效率和靈活性。事實(shí)上，美國規(guī)模最大的五家SaaS公司的總市值為7424億美元。Salesforce公司是美國第二大SaaS公司，在全球擁有超過15萬名客戶，其客戶來自專業(yè)服務(wù)、制造業(yè)、零售、銀行、金融、媒體、生命科學(xué)、保險(xiǎn)和房地產(chǎn)等行業(yè)。然而，SaaS在帶來好處的同時(shí)也帶來了大量的安全挑戰(zhàn)，使SaaS安全成為運(yùn)營和IT部門的一個(gè)組成部分。通過遵循一些最佳實(shí)踐和策略，企業(yè)可以更好地應(yīng)對安全風(fēng)險(xiǎn)并減輕潛在威脅。

行業(yè)專家最近發(fā)現(xiàn)了一個(gè)在SaaS安全領(lǐng)域掀起波瀾的事件，那就是今年年初Salesforce公司遭遇的數(shù)據(jù)泄露事件。由于Salesforce公共社區(qū)網(wǎng)站的錯(cuò)誤配置，數(shù)量驚人的客戶（包括銀行、政府機(jī)構(gòu)和醫(yī)療保健提供商）在不知不覺中泄露了敏感信息和私人信息。該安全漏洞允許未經(jīng)身份驗(yàn)證的用戶訪問已經(jīng)登錄用戶保留的記錄。在佛蒙特州發(fā)現(xiàn)了一個(gè)這樣的案例，在那里至少有五個(gè)不同的Salesforce社區(qū)網(wǎng)站被發(fā)現(xiàn)暴露了敏感數(shù)據(jù)，例如用戶的姓名、社會安全號碼、地址、電話號碼、電子郵件和銀行賬號。這對新冠疫情失業(yè)援助方案來說尤其令人擔(dān)憂。佛蒙特州政府首席信息安全官Scott Carbee表示，這些有缺陷的網(wǎng)站是為了應(yīng)對新冠疫情的爆發(fā)而匆忙創(chuàng)建的，因此沒有經(jīng)過標(biāo)準(zhǔn)的安全審查。

了解SaaS安全性

在現(xiàn)代數(shù)字生態(tài)系統(tǒng)中，許多企業(yè)同時(shí)使用多個(gè)云計(jì)算環(huán)境，有時(shí)SaaS應(yīng)用程序由于其龐大的敏感數(shù)據(jù)存儲庫而成為網(wǎng)絡(luò)犯罪分子的主要目標(biāo)。SaaS安全性包括在SaaS架構(gòu)中為保護(hù)這些有價(jià)值的資產(chǎn)而采取的措施。

2023年企業(yè)應(yīng)用程序安全將面臨哪些挑戰(zhàn)

網(wǎng)絡(luò)安全專家發(fā)表的《2020年云安全報(bào)告》為開發(fā)人員提供了工具和技術(shù)，以確保軟件開發(fā)生命周期（SDLC）的所有階段都是安全的。其內(nèi)容包括供應(yīng)鏈安全、DevSecOps、零信任安全原則、移動應(yīng)用程序安全等。

重要的是要理解SaaS安全性的責(zé)任是由客戶和提供商共享的，也稱為共享責(zé)任模型。隨著SaaS安全態(tài)勢管理系統(tǒng)的興起，企業(yè)可以更有效地自動化和管理SaaS安全性，為潛在的安全漏洞提供強(qiáng)大的防御。

優(yōu)先考慮SaaS安全性的重要性

雖然企業(yè)可能有管理與IaaS和PaaS相關(guān)的安全風(fēng)險(xiǎn)的經(jīng)驗(yàn)，但由于SaaS應(yīng)用程序的復(fù)雜性、安全和業(yè)務(wù)團(tuán)隊(duì)之間缺乏透明的通信以及對持續(xù)協(xié)作的需求，SaaS應(yīng)用程序出現(xiàn)了獨(dú)特的挑戰(zhàn)。

根據(jù)麥肯錫公司進(jìn)行的一項(xiàng)調(diào)查，由于面臨這些挑戰(zhàn)，大多數(shù)企業(yè)都加大了對SaaS安全性的關(guān)注。這些企業(yè)強(qiáng)調(diào)他們的內(nèi)部安全能力和SaaS提供商的安全能力（共享責(zé)任模型）。然而，許多人對缺乏以客戶為中心的安全方法和供應(yīng)商的實(shí)施延遲表示不滿。

盡管存在這些障礙，但SaaS安全性的優(yōu)先級是不可協(xié)商的，因?yàn)檫@些應(yīng)用程序經(jīng)常處理大量敏感數(shù)據(jù)，如果不優(yōu)先考慮安全性，可能會面臨風(fēng)險(xiǎn)。

共享責(zé)任和SaaS安全挑戰(zhàn)

云安全的共同責(zé)任模型要求云計(jì)算提供商、產(chǎn)品供應(yīng)商和客戶各自承擔(dān)其控制下的安全措施的責(zé)任。使用SaaS時(shí)，應(yīng)用程序提供者負(fù)責(zé)物理基礎(chǔ)設(shè)施、網(wǎng)絡(luò)、操作系統(tǒng)和應(yīng)用程序，而客戶負(fù)責(zé)數(shù)據(jù)和身份管理。

然而，SaaS采用的快速增長已經(jīng)超過了安全團(tuán)隊(duì)?wèi)?yīng)對這些應(yīng)用程序帶來的新風(fēng)險(xiǎn)和漏洞的能力。開箱即用的安全設(shè)置可能不符合企業(yè)標(biāo)準(zhǔn)，而自定義使安全性更具挑戰(zhàn)性。Oracle公司和ESG公司聯(lián)合發(fā)布的一份報(bào)告表明，66%的企業(yè)發(fā)現(xiàn)SaaS的共同責(zé)任模型令人困惑，導(dǎo)致他們的數(shù)據(jù)存在潛在風(fēng)險(xiǎn)。

以下介紹了可以幫助企業(yè)（特別是SaaS提供商的客戶）增強(qiáng)SaaS安全性的六個(gè)最佳實(shí)踐和策略。

（1）處理身份驗(yàn)證

云計(jì)算提供商可以通過各種方式處理身份驗(yàn)證，因此安全團(tuán)隊(duì)了解所使用的每個(gè)SaaS服務(wù)支持的身份驗(yàn)證方法至關(guān)重要。如果SaaS提供商支持，與企業(yè)的活動目錄綁定的單點(diǎn)登錄是一個(gè)很好的選擇。這允許在所有SaaS應(yīng)用程序中統(tǒng)一帳戶和密碼策略。同樣，這里需要注意確保企業(yè)的員工和IT人員不斷了解需求，因?yàn)槿魏晤愋偷臉?biāo)準(zhǔn)化都不能替代每個(gè)員工應(yīng)該掌握的基本安全知識。

（2）數(shù)據(jù)加密

使用傳輸層安全性保護(hù)傳輸中的數(shù)據(jù)并為靜態(tài)數(shù)據(jù)啟用加密是SaaS安全性的重要方面。企業(yè)必須研究每個(gè)SaaS服務(wù)提供的安全措施，并在可用時(shí)啟用加密。一些SaaS提供商（例如AWS公司）為其客戶提供API，以便將加密和數(shù)據(jù)保護(hù)與AWS環(huán)境中正在開發(fā)或部署的任何服務(wù)集成在一起。

（3）復(fù)雜和自定義的配置

中型企業(yè)通常使用超過185個(gè)SaaS應(yīng)用程序，每個(gè)應(yīng)用程序都具有獨(dú)特的、可調(diào)節(jié)的控件和設(shè)置，以滿足特定的需求。然而，對于安全團(tuán)隊(duì)來說，人工管理這些配置是一項(xiàng)艱巨的任務(wù)，因?yàn)閿?shù)量龐大且缺乏一致性。在功能和安全性之間取得平衡成為一項(xiàng)復(fù)雜的任務(wù)。定制SaaS應(yīng)用程序以獲得最佳價(jià)值通常會損害默認(rèn)的安全設(shè)置，可能與企業(yè)的安全性和合規(guī)性需求相沖突。此外，SaaS應(yīng)用程序和內(nèi)部系統(tǒng)之間的交互使異常和弱配置的檢測變得復(fù)雜?！?020年云安全報(bào)告》指出，云平臺的錯(cuò)誤配置是最大的安全威脅，缺乏合格的員工是確保這些環(huán)境安全的主要障礙。如果沒有實(shí)現(xiàn)適當(dāng)?shù)陌踩渲茫@種組合可能導(dǎo)致潛在的漏洞。

（4）盤點(diǎn)清單

跟蹤SaaS的使用情況可能是一項(xiàng)挑戰(zhàn)，尤其是在快速部署應(yīng)用程序時(shí)。使用人工收集數(shù)據(jù)技術(shù)和自動化工具來維護(hù)所有正在使用的服務(wù)和正在使用它們的人員的最新清單。另一個(gè)建議是使用內(nèi)部或訂閱模型儀表板來全面監(jiān)視、觀察和控制企業(yè)的訪問，以確保不允許未經(jīng)授權(quán)的訪問。

（5）采用云訪問安全代理工具

有時(shí)，云訪問安全代理解決方案可以成為SaaS安全庫的強(qiáng)大補(bǔ)充，特別是當(dāng)SaaS提供商沒有提供足夠的安全級別時(shí)。云訪問安全代理允許企業(yè)添加SaaS提供商原生不支持的控件。然而，如今大多數(shù)SaaS提供商，尤其是像Salesforce公司這樣的大型提供商，都提供了增強(qiáng)安全性的附加選項(xiàng)。

（6）態(tài)勢感知

跟蹤來自云訪問安全代理工具的SaaS使用情況和數(shù)據(jù)，以及SaaS提供商提供的數(shù)據(jù)和日志，可以提供有價(jià)值的見解。采用系統(tǒng)的風(fēng)險(xiǎn)管理措施可確保安全可靠地使用SaaS。在很大程度上，這與圍繞安全和態(tài)勢感知構(gòu)建的企業(yè)文化有關(guān)，這是一個(gè)經(jīng)常被忽視的關(guān)鍵方面，特別是在規(guī)模較小的企業(yè)中。

利用SSPM解決方案

SSPM解決方案（例如Cynet公司提供的解決方案）可以極大地增強(qiáng)SaaS安全性。SSPM系統(tǒng)持續(xù)監(jiān)視SaaS應(yīng)用程序，識別所述安全策略與實(shí)際安全狀態(tài)之間的任何差距。這允許自動識別和糾正SaaS資產(chǎn)中的安全風(fēng)險(xiǎn)，按嚴(yán)重程度對風(fēng)險(xiǎn)和錯(cuò)誤配置進(jìn)行優(yōu)先級排序。

結(jié)論

隨著數(shù)字環(huán)境的不斷發(fā)展和SaaS應(yīng)用程序的日益普及，SaaS安全性變得比以往任何時(shí)候都更加重要。通過遵循這些最佳實(shí)踐，企業(yè)可以有效地保護(hù)其SaaS應(yīng)用程序，確保安全可靠的數(shù)字生態(tài)系統(tǒng)。應(yīng)該記住，SaaS安全性是企業(yè)和他們的提供商之間的共同責(zé)任，雙方都必須采取必要的步驟來維護(hù)數(shù)據(jù)的完整性和安全性。