已经授权和未授权的SaaS解决方案的广泛应用带来了重大的安全风险。现在是企业制定管理这些风险的策略的时候了。
SaaS的采用量如今远远超过IaaS。尽管如此,很多企业通常只专注于基础设施安全。他们还应该考虑SaaS治理计划,实施安全措施,以降低与SaaS使用相关的风险。该计划包括合规性框架、文件/尽职调查以及持续监测和降低风险的技术措施。
围绕云采用的大部分安全讨论都集中在IaaS和PaaS提供商上,例如AWS、Microsoft Azure和Google Cloud等公司,这是有充分理由的。很多企业经历了IaaS采用的巨大增长,并看到了大量与IaaS错误配置相关的安全漏洞事件。
然而,SaaS实施不力和安全性差所带来的风险却被忽视了。根据调研机构Gartner公司的预测,SaaS仍将是最大的公有云细分市场,该预测是在新冠疫情发生之前做出,这表明已经出现了前所未有的SaaS发展热潮。此外,企业通常倾向于仅使用少数IaaS提供商的产品,例如三大云计算服务提供商(CSP),同时还使用更多SaaS产品。Blissfully公司在2020年进行的一项研究发现,大型企业使用多达288种不同的SaaS应用程序,中小型企业(SMB)使用的应用程序超过100种。
虽然一些企业可能开始完善其IaaS安全性,但对于更广泛和多样化的SaaS环境而言,情况可能并非如此。这一现实也使得SaaS提供商的影子IT使用情况比IaaS提供商更普遍,因为市场上有大量SaaS产品,而且可以轻松地使用它们,通常只需支付费用就可以实施。
Zylo公司进行的一项研究发现,企业平均每月添加了10种SaaS产品,而IT团队仅能直接管理其中的25%。这意味着没有进行管理的SaaS产品将面临很多风险。尽管SaaS使用量呈指数级增长,但AppOmni公司的一项研究发现,只有32%的受访者使用工具来确保SaaS中的数据安全。
尽管SaaS被广泛采用,但为什么企业仍然几乎只关注IaaS安全问题?其中一些原因是由于误解了责任共担模型并假设在SaaS环境中云计算服务商负责所有事情。另一个原因是,安全团队只是在努力跟上企业的云计算使用率以及广泛的高调IaaS数据泄露的影响。
主要的IaaS供应商提供明确的认证和学习路径,确保专业人士可以学习如何保护他们的平台并证明这一点。而SaaS供应商并不提供相同的服务。作为安全专业人员,必须继续发展,直到SaaS产品的安全发展成熟,可以开始缓解未解决的风险。
管理SaaS风险的方法
为SaaS使用实施安全性应该是数据驱动的。这意味着要查看SaaS产品可以访问的内部数据、企业内部的访问级别,以及如果这些数据被无意中暴露或恶意泄露,可能产生的安全和监管后果。这对于在家远程工作的员工来说尤其如此,因为他们可以通过自己的设备从任何地方访问数据。
该流程的第一步是捕获企业员工正在使用的SaaS。根据企业的成熟度和技术架构,这可能是人工实施的库存管理流程,也可能需要云访问安全代理(CASB)等技术工具,这有助于识别影子SaaS的使用。
当企业开始对其SaaS使用进行严格的安全检查时,他们往往会采取两种方法:一种侧重于安全框架,如SOC2、PCI和FedRAMP以及文档审查。另一种侧重于技术评估、强化和持续监控。
框架、文档和报告
当企业开始为其审查SaaS产品时(最好是在购买和实施之前),它往往会涉及流行的框架,例如SOC2、CSACCM和STAR/CAIQ或FedRAMP。
SOC2越来越成为SaaS提供商的主要选择,因为它有助于验证企业与安全性、可用性、机密性、完整性和隐私相关的内部控制。另一个主要的选择是云安全联盟(CSA)的共识评估倡议问卷(CAIQ),它记录了XaaS产品中存在哪些控制措施,并与云安全联盟(CSA)的云控制矩阵(CCM)(一种特定于云计算的安全控制框架)相关联。在公共部门方面,美国联邦风险和授权管理计划(FedRAMP)被广泛用作授权云计算服务产品(CSO)供政府使用的一种方式,并使用NIST800-53安全控制。
企业通常会这样做,并且应该要求获得这些认证,因为它们通常包括第三方评估组织(3PAO)流程,其中第三方验证SaaS组织及其产品是否满足特定级别的安全要求。这为企业提供了一定程度的保证,即SaaS产品并非完全不安全,并且企业正在围绕其自己的基础设施以及如何处理和存储客户数据实施基本的安全措施。
选择使用哪种框架在很大程度上取决于企业运营所在的行业以及SaaS供应商的成熟度。考虑这些框架可能会耗费大量时间和资源,而初创SaaS供应商通常不会追求认证,直到他们发展成熟,并且客户要求获得认证。还有一个现实是,由于市场上SaaS产品的数量呈指数级增长,一些主要的合规性计划根本没有跟上发展步伐,例如FedRAMP。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。