广泛使用已经认可和未认可的SaaS解决方案会带来严重的安全风险。 现在是企业制定管理这些风险的战略的时候了。
SaaS的采用量现在远远超过了IaaS。 尽管如此,许多企业通常只专注于基础设施安全。 还应研究SaaS治理计划并实施安全措施,以降低使用SaaS的相关风险。 该计划包括合规框架、文件/尽职调查和持续监测和减少风险的技术措施。
以云为中心采用的大部分安全讨论集中在AWS、Microsoft Azure、Google Cloud等IaaS和PaaS提供商上,这是有充分理由的。 许多企业经历了采用IaaS的巨大增长,看到了许多与IaaS错误配置相关的安全漏洞事件。
但是,它忽略了SaaS实施不完善和安全性下降带来的风险。 调查机构Gartner的预测显示,SaaS仍然是最大的公共云细分市场,这一预测发生在新型冠状病毒大爆发发生之前,表明出现了前所未有的SaaS发展热潮。 此外,企业通常倾向于只使用少数IaaS提供商(如三大云计算服务提供商( CSP ) )的产品,而使用更多的SaaS产品。 Blissfully在2020年进行的一项研究显示,大型企业最多使用288种不同的SaaS APP,而中小企业( SMB )使用100多种APP。
一些公司可能已经开始改善IaaS的安全性,但在更广泛、更多样化的SaaS环境中可能并非如此。 这一现实使得SaaS提供商阴影的IT利用率比IaaS提供商更为普遍。 市场上有很多SaaS产品,使用简单,通常只需支付费用即可实施。
Zylo进行的一项研究显示,公司每月平均添加10种SaaS产品,但IT团队只能直接管理其中的25%。 这意味着不受管理的SaaS产品面临很多风险。 尽管SaaS的使用量呈指数级增长,但根据AppOmni的调查,只有32%的受访者使用该工具来确保SaaS中数据的安全。
尽管SaaS被广泛采用,为什么企业只关注IaaS的安全问题呢? 部分原因是误解了责任分担模式,假设云计算运营商在SaaS环境下负责所有事情。 另一个原因是安全团队只是努力应对企业云计算利用率和广泛的高调整IaaS数据泄露的影响。
的主要IaaS提供商提供明确的认证和学习路径,使专家可以学习如何保护平台并证明它。 SaaS供应商不提供同样的服务。 作为安全专家,要持续发展,直到SaaS产品安全发展成熟,开始缓解未解决的风险。
如何管理SaaS风险
针对SaaS使用的安全性实现必须由数据驱动。 这意味着确认SaaS产品可以访问的内部数据、企业内的访问级别以及这些数据无意中暴露或恶意泄露时可能产生的安全和监管后果。 对于在家远程工作的员工来说,这尤其如此。 这是因为您可以从自己的设备上任何地方访问数据。
该过程的第一步是捕获企业员工使用的SaaS。 根据企业成熟度和技术架构,这可能是手动实施的库存管理流程,也可能需要云访问安全代理( CASB )等技术工具,有助于识别影子SaaS的使用。
当企业开始对SaaS的使用进行严格的安全检查时,往往会采用两种侧重于SOC2、PCI、FedRAMP和文档审查等安全框架的方法。 另一个重点是技术评估、加强和持续监测。
框架、文档和报告
企业开始审查SaaS产品时,往往会涉及到SOC2、CSACCM、STAR/CAIQ和FedRAMP等常见框架。
SOC2越来越成为SaaS提供商的主要选择,因为它有助于验证企业内部的安全性、可用性、机密性、完整性和隐私控制。 另一个主要选择是云安全联盟( CSA )合意评估计划( CAIQ ),用于记录XaaS产品中存在哪些控制措施,以及云安全联盟( CSA )的在公共部门,美国联邦风险许可管理计划( FedRAMP )被广泛用作许可云计算服务产品( CSO )供政府使用的方法,并使用NIST800-53安全控制
企业通常需要这样做并获得这些认证。 因为这些认证通常包括第三方评估组织( 3PAO )流程,用于验证SaaS组织及其产品是否符合特定级别的安全要求。 这在一定程度上为企业提供了保证,SaaS产品并不完全安全,公司围绕其自身的基础架构以及处理和存储客户数据的方式采取了基本的安全措施。
使用什么框架在很大程度上取决于企业运营的行业和SaaS供应商的成熟度。 虽然考虑这些框架可能需要花费大量时间和资源,但最初的SaaS供应商往往在成熟且客户要求认证之前不寻求认证。 另一个现实是,市场上的SaaS产品数量呈指数级增长,因此FedRAMP等主要合规计划没有跟上发展的步伐。
如果SaaS供应商未经过认证或审核,或者即使经过认证或审核,但对企业使用的数据很敏感,则企业可能希望深入了解文档和其他标准,以检查其适用性。 这可能包括内部或外部渗透测试的结果,以及围绕体系结构、身份验证、加密等的讨论。 这些附加活动有助于为企业提供与使用特定SaaS产品的风险相关的担保水平。
SaaS的覆盖范围/功能
框架是审查SaaS产品的良好开端,但它仅仅是一个开始。 作为SaaS治理政策的一部分,企业还应考虑技术控制、配置和监控。 每个SaaS产品都有自己的许多功能、配置和设置,从安全角度看,企业员工不熟悉这些功能、配置和设置。
进入SaaS安全状况管理( SSPM )工具,用于监控企业SaaS APP应用的安全状况。 AppOmni和Obsidian是最受欢迎的SSPM工具。 一些供应商提供主要的SaaS产品,如Box、GitHub、Salesforce和Slack。
他们精心设计了安全配置、安全扫描、最佳做法和建议,以帮助企业加强对SaaS的使用。 其中许多产品都充分利用了行业资源,如SaaS产品的CIS基准,如Microsoft 365和Google Workspace,它们都可能包含敏感数据。
这些增强功能有助于保护企业免受常见的安全问题,例如帐户泄露、不安全配置、合规性和访问管理。 他们也可以帮助应对事件。 这很有价值,因为企业员工可能不具备采用SaaS APP应用程序所需的特定安全洞察力和专业知识。 SPM供应商不断将SaaS产品添加到其目标范围,以帮助根据企业的规模制定涵盖企业内广泛使用的SaaS的产品路线图。
除了技术安全问题外,企业还应关注SaaS范式的合规性。 共同责任模式在这里也适用。
AppOmni等平台有助于自动化与PCI、HIPAA、GDPR、NIST等广泛框架相关的关键合规控制。 对于企业来说,在数百个SaaS APP部署中,不可能持续遵守这些框架,而且加强这些努力的技术解决方案真正发挥了作用。