SaaS安全的6個最佳實踐和策略

云計算和SaaS的興起極大地重塑了數(shù)字景觀，為企業(yè)提供了許多好處，例如可擴展性、成本效率和靈活性。事實上，美國規(guī)模最大的五家SaaS公司的總市值為7424億美元。Salesforce公司是美國第二大SaaS公司，在全球擁有超過15萬名客戶，其客戶來自專業(yè)服務、制造業(yè)、零售、銀行、金融、媒體、生命科學、保險和房地產(chǎn)等行業(yè)。然而，SaaS在帶來好處的同時也帶來了大量的安全挑戰(zhàn)，使SaaS安全成為運營和IT部門的一個組成部分。通過遵循一些最佳實踐和策略，企業(yè)可以更好地應對安全風險并減輕潛在威脅。

行業(yè)專家最近發(fā)現(xiàn)了一個在SaaS安全領域掀起波瀾的事件，那就是今年年初Salesforce公司遭遇的數(shù)據(jù)泄露事件。由于Salesforce公共社區(qū)網(wǎng)站的錯誤配置，數(shù)量驚人的客戶（包括銀行、政府機構(gòu)和醫(yī)療保健提供商）在不知不覺中泄露了敏感信息和私人信息。該安全漏洞允許未經(jīng)身份驗證的用戶訪問已經(jīng)登錄用戶保留的記錄。在佛蒙特州發(fā)現(xiàn)了一個這樣的案例，在那里至少有五個不同的Salesforce社區(qū)網(wǎng)站被發(fā)現(xiàn)暴露了敏感數(shù)據(jù)，例如用戶的姓名、社會安全號碼、地址、電話號碼、電子郵件和銀行賬號。這對新冠疫情失業(yè)援助方案來說尤其令人擔憂。佛蒙特州政府首席信息安全官Scott Carbee表示，這些有缺陷的網(wǎng)站是為了應對新冠疫情的爆發(fā)而匆忙創(chuàng)建的，因此沒有經(jīng)過標準的安全審查。

了解SaaS安全性

在現(xiàn)代數(shù)字生態(tài)系統(tǒng)中，許多企業(yè)同時使用多個云計算環(huán)境，有時SaaS應用程序由于其龐大的敏感數(shù)據(jù)存儲庫而成為網(wǎng)絡犯罪分子的主要目標。SaaS安全性包括在SaaS架構(gòu)中為保護這些有價值的資產(chǎn)而采取的措施。

2023年企業(yè)應用程序安全將面臨哪些挑戰(zhàn)

網(wǎng)絡安全專家發(fā)表的《2020年云安全報告》為開發(fā)人員提供了工具和技術(shù)，以確保軟件開發(fā)生命周期（SDLC）的所有階段都是安全的。其內(nèi)容包括供應鏈安全、DevSecOps、零信任安全原則、移動應用程序安全等。

重要的是要理解SaaS安全性的責任是由客戶和提供商共享的，也稱為共享責任模型。隨著SaaS安全態(tài)勢管理系統(tǒng)的興起，企業(yè)可以更有效地自動化和管理SaaS安全性，為潛在的安全漏洞提供強大的防御。

優(yōu)先考慮SaaS安全性的重要性

雖然企業(yè)可能有管理與IaaS和PaaS相關(guān)的安全風險的經(jīng)驗，但由于SaaS應用程序的復雜性、安全和業(yè)務團隊之間缺乏透明的通信以及對持續(xù)協(xié)作的需求，SaaS應用程序出現(xiàn)了獨特的挑戰(zhàn)。

根據(jù)麥肯錫公司進行的一項調(diào)查，由于面臨這些挑戰(zhàn)，大多數(shù)企業(yè)都加大了對SaaS安全性的關(guān)注。這些企業(yè)強調(diào)他們的內(nèi)部安全能力和SaaS提供商的安全能力（共享責任模型）。然而，許多人對缺乏以客戶為中心的安全方法和供應商的實施延遲表示不滿。

盡管存在這些障礙，但SaaS安全性的優(yōu)先級是不可協(xié)商的，因為這些應用程序經(jīng)常處理大量敏感數(shù)據(jù)，如果不優(yōu)先考慮安全性，可能會面臨風險。

共享責任和SaaS安全挑戰(zhàn)

云安全的共同責任模型要求云計算提供商、產(chǎn)品供應商和客戶各自承擔其控制下的安全措施的責任。使用SaaS時，應用程序提供者負責物理基礎設施、網(wǎng)絡、操作系統(tǒng)和應用程序，而客戶負責數(shù)據(jù)和身份管理。

然而，SaaS采用的快速增長已經(jīng)超過了安全團隊應對這些應用程序帶來的新風險和漏洞的能力。開箱即用的安全設置可能不符合企業(yè)標準，而自定義使安全性更具挑戰(zhàn)性。Oracle公司和ESG公司聯(lián)合發(fā)布的一份報告表明，66%的企業(yè)發(fā)現(xiàn)SaaS的共同責任模型令人困惑，導致他們的數(shù)據(jù)存在潛在風險。

以下介紹了可以幫助企業(yè)（特別是SaaS提供商的客戶）增強SaaS安全性的六個最佳實踐和策略。

（1）處理身份驗證

云計算提供商可以通過各種方式處理身份驗證，因此安全團隊了解所使用的每個SaaS服務支持的身份驗證方法至關(guān)重要。如果SaaS提供商支持，與企業(yè)的活動目錄綁定的單點登錄是一個很好的選擇。這允許在所有SaaS應用程序中統(tǒng)一帳戶和密碼策略。同樣，這里需要注意確保企業(yè)的員工和IT人員不斷了解需求，因為任何類型的標準化都不能替代每個員工應該掌握的基本安全知識。

（2）數(shù)據(jù)加密

使用傳輸層安全性保護傳輸中的數(shù)據(jù)并為靜態(tài)數(shù)據(jù)啟用加密是SaaS安全性的重要方面。企業(yè)必須研究每個SaaS服務提供的安全措施，并在可用時啟用加密。一些SaaS提供商（例如AWS公司）為其客戶提供API，以便將加密和數(shù)據(jù)保護與AWS環(huán)境中正在開發(fā)或部署的任何服務集成在一起。

（3）復雜和自定義的配置

中型企業(yè)通常使用超過185個SaaS應用程序，每個應用程序都具有獨特的、可調(diào)節(jié)的控件和設置，以滿足特定的需求。然而，對于安全團隊來說，人工管理這些配置是一項艱巨的任務，因為數(shù)量龐大且缺乏一致性。在功能和安全性之間取得平衡成為一項復雜的任務。定制SaaS應用程序以獲得最佳價值通常會損害默認的安全設置，可能與企業(yè)的安全性和合規(guī)性需求相沖突。此外，SaaS應用程序和內(nèi)部系統(tǒng)之間的交互使異常和弱配置的檢測變得復雜?！?020年云安全報告》指出，云平臺的錯誤配置是最大的安全威脅，缺乏合格的員工是確保這些環(huán)境安全的主要障礙。如果沒有實現(xiàn)適當?shù)陌踩渲?，這種組合可能導致潛在的漏洞。

（4）盤點清單

跟蹤SaaS的使用情況可能是一項挑戰(zhàn)，尤其是在快速部署應用程序時。使用人工收集數(shù)據(jù)技術(shù)和自動化工具來維護所有正在使用的服務和正在使用它們的人員的最新清單。另一個建議是使用內(nèi)部或訂閱模型儀表板來全面監(jiān)視、觀察和控制企業(yè)的訪問，以確保不允許未經(jīng)授權(quán)的訪問。

（5）采用云訪問安全代理工具

有時，云訪問安全代理解決方案可以成為SaaS安全庫的強大補充，特別是當SaaS提供商沒有提供足夠的安全級別時。云訪問安全代理允許企業(yè)添加SaaS提供商原生不支持的控件。然而，如今大多數(shù)SaaS提供商，尤其是像Salesforce公司這樣的大型提供商，都提供了增強安全性的附加選項。

（6）態(tài)勢感知

跟蹤來自云訪問安全代理工具的SaaS使用情況和數(shù)據(jù)，以及SaaS提供商提供的數(shù)據(jù)和日志，可以提供有價值的見解。采用系統(tǒng)的風險管理措施可確保安全可靠地使用SaaS。在很大程度上，這與圍繞安全和態(tài)勢感知構(gòu)建的企業(yè)文化有關(guān)，這是一個經(jīng)常被忽視的關(guān)鍵方面，特別是在規(guī)模較小的企業(yè)中。

利用SSPM解決方案

SSPM解決方案（例如Cynet公司提供的解決方案）可以極大地增強SaaS安全性。SSPM系統(tǒng)持續(xù)監(jiān)視SaaS應用程序，識別所述安全策略與實際安全狀態(tài)之間的任何差距。這允許自動識別和糾正SaaS資產(chǎn)中的安全風險，按嚴重程度對風險和錯誤配置進行優(yōu)先級排序。

結(jié)論

隨著數(shù)字環(huán)境的不斷發(fā)展和SaaS應用程序的日益普及，SaaS安全性變得比以往任何時候都更加重要。通過遵循這些最佳實踐，企業(yè)可以有效地保護其SaaS應用程序，確保安全可靠的數(shù)字生態(tài)系統(tǒng)。應該記住，SaaS安全性是企業(yè)和他們的提供商之間的共同責任，雙方都必須采取必要的步驟來維護數(shù)據(jù)的完整性和安全性。