行业专家最近发现了一个在SaaS安全领域掀起波澜的事件,那就是今年年初Salesforce公司遭遇的数据泄露事件。由于Salesforce公共社区网站的错误配置,数量惊人的客户(包括银行、政府机构和医疗保健提供商)在不知不觉中泄露了敏感信息和私人信息。该安全漏洞允许未经身份验证的用户访问已经登录用户保留的记录。在佛蒙特州发现了一个这样的案例,在那里至少有五个不同的Salesforce社区网站被发现暴露了敏感数据,例如用户的姓名、社会安全号码、地址、电话号码、电子邮件和银行账号。这对新冠疫情失业援助方案来说尤其令人担忧。佛蒙特州政府首席信息安全官ScottCarbee表示,这些有缺陷的网站是为了应对新冠疫情的爆发而匆忙创建的,因此没有经过标准的安全审查。
了解SaaS安全性
在现代数字生态系统中,许多企业同时使用多个云计算环境,有时SaaS应用程序由于其庞大的敏感数据存储库而成为网络犯罪分子的主要目标。SaaS安全性包括在SaaS架构中为保护这些有价值的资产而采取的措施。
2023年企业应用程序安全将面临哪些挑战
网络安全专家发表的《2020年云安全报告》为开发人员提供了工具和技术,以确保软件开发生命周期(SDLC)的所有阶段都是安全的。其内容包括供应链安全、DevSecOps、零信任安全原则、移动应用程序安全等。
重要的是要理解SaaS安全性的责任是由客户和提供商共享的,也称为共享责任模型。随着SaaS安全态势管理系统的兴起,企业可以更有效地自动化和管理SaaS安全性,为潜在的安全漏洞提供强大的防御。
优先考虑SaaS安全性的重要性
虽然企业可能有管理与IaaS和PaaS相关的安全风险的经验,但由于SaaS应用程序的复杂性、安全和业务团队之间缺乏透明的通信以及对持续协作的需求,SaaS应用程序出现了独特的挑战。
根据麦肯锡公司进行的一项调查,由于面临这些挑战,大多数企业都加大了对SaaS安全性的关注。这些企业强调他们的内部安全能力和SaaS提供商的安全能力(共享责任模型)。然而,许多人对缺乏以客户为中心的安全方法和供应商的实施延迟表示不满。
尽管存在这些障碍,但SaaS安全性的优先级是不可协商的,因为这些应用程序经常处理大量敏感数据,如果不优先考虑安全性,可能会面临风险。
共享责任和SaaS安全挑战
云安全的共同责任模型要求云计算提供商、产品供应商和客户各自承担其控制下的安全措施的责任。使用SaaS时,应用程序提供者负责物理基础设施、网络、操作系统和应用程序,而客户负责数据和身份管理。
然而,SaaS采用的快速增长已经超过了安全团队应对这些应用程序带来的新风险和漏洞的能力。开箱即用的安全设置可能不符合企业标准,而自定义使安全性更具挑战性。Oracle公司和ESG公司联合发布的一份报告表明,66%的企业发现SaaS的共同责任模型令人困惑,导致他们的数据存在潜在风险。
以下介绍了可以帮助企业(特别是SaaS提供商的客户)增强SaaS安全性的六个最佳实践和策略。
(1)处理身份验证
云计算提供商可以通过各种方式处理身份验证,因此安全团队了解所使用的每个SaaS服务支持的身份验证方法至关重要。如果SaaS提供商支持,与企业的活动目录绑定的单点登录是一个很好的选择。这允许在所有SaaS应用程序中统一帐户和密码策略。同样,这里需要注意确保企业的员工和IT人员不断了解需求,因为任何类型的标准化都不能替代每个员工应该掌握的基本安全知识。
(2)数据加密
使用传输层安全性保护传输中的数据并为静态数据启用加密是SaaS安全性的重要方面。企业必须研究每个SaaS服务提供的安全措施,并在可用时启用加密。一些SaaS提供商(例如AWS公司)为其客户提供API,以便将加密和数据保护与AWS环境中正在开发或部署的任何服务集成在一起。
(3)复杂和自定义的配置
中型企业通常使用超过185个SaaS应用程序,每个应用程序都具有独特的、可调节的控件和设置,以满足特定的需求。然而,对于安全团队来说,人工管理这些配置是一项艰巨的任务,因为数量庞大且缺乏一致性。在功能和安全性之间取得平衡成为一项复杂的任务。定制SaaS应用程序以获得最佳价值通常会损害默认的安全设置,可能与企业的安全性和合规性需求相冲突。此外,SaaS应用程序和内部系统之间的交互使异常和弱配置的检测变得复杂。《2020年云安全报告》指出,云平台的错误配置是最大的安全威胁,缺乏合格的员工是确保这些环境安全的主要障碍。如果没有实现适当的安全配置,这种组合可能导致潜在的漏洞。
(4)盘点清单
跟踪SaaS的使用情况可能是一项挑战,尤其是在快速部署应用程序时。使用人工收集数据技术和自动化工具来维护所有正在使用的服务和正在使用它们的人员的最新清单。另一个建议是使用内部或订阅模型仪表板来全面监视、观察和控制企业的访问,以确保不允许未经授权的访问。
(5)采用云访问安全代理工具
有时,云访问安全代理解决方案可以成为SaaS安全库的强大补充,特别是当SaaS提供商没有提供足够的安全级别时。云访问安全代理允许企业添加SaaS提供商原生不支持的控件。然而,如今大多数SaaS提供商,尤其是像Salesforce公司这样的大型提供商,都提供了增强安全性的附加选项。
(6)态势感知
跟踪来自云访问安全代理工具的SaaS使用情况和数据,以及SaaS提供商提供的数据和日志,可以提供有价值的见解。采用系统的风险管理措施可确保安全可靠地使用SaaS。在很大程度上,这与围绕安全和态势感知构建的企业文化有关,这是一个经常被忽视的关键方面,特别是在规模较小的企业中。
利用SSPM解决方案
SSPM解决方案(例如Cynet公司提供的解决方案)可以极大地增强SaaS安全性。SSPM系统持续监视SaaS应用程序,识别所述安全策略与实际安全状态之间的任何差距。这允许自动识别和纠正SaaS资产中的安全风险,按严重程度对风险和错误配置进行优先级排序。
结论
随着数字环境的不断发展和SaaS应用程序的日益普及,SaaS安全性变得比以往任何时候都更加重要。通过遵循这些最佳实践,企业可以有效地保护其SaaS应用程序,确保安全可靠的数字生态系统。应该记住,SaaS安全性是企业和他们的提供商之间的共同责任,双方都必须采取必要的步骤来维护数据的完整性和安全性。
