2022-10-08 分類: 網(wǎng)站建設(shè)
SaaS的采用量如今遠(yuǎn)遠(yuǎn)超過(guò)IaaS。盡管如此,很多企業(yè)通常只專注于基礎(chǔ)設(shè)施安全。他們還應(yīng)該考慮SaaS治理計(jì)劃,實(shí)施安全措施,以降低與SaaS使用相關(guān)的風(fēng)險(xiǎn)。該計(jì)劃包括合規(guī)性框架、文件/盡職調(diào)查以及持續(xù)監(jiān)測(cè)和降低風(fēng)險(xiǎn)的技術(shù)措施。
圍繞云采用的大部分安全討論都集中在IaaS和PaaS提供商上,例如AWS、Microsoft Azure和Google Cloud等公司,這是有充分理由的。很多企業(yè)經(jīng)歷了IaaS采用的巨大增長(zhǎng),并看到了大量與IaaS錯(cuò)誤配置相關(guān)的安全漏洞事件。
然而,SaaS實(shí)施不力和安全性差所帶來(lái)的風(fēng)險(xiǎn)卻被忽視了。根據(jù)調(diào)研機(jī)構(gòu)Gartner公司的預(yù)測(cè),SaaS仍將是大的公有云細(xì)分市場(chǎng),該預(yù)測(cè)是在新冠疫情發(fā)生之前做出,這表明已經(jīng)出現(xiàn)了前所未有的SaaS發(fā)展熱潮。此外,企業(yè)通常傾向于僅使用少數(shù)IaaS提供商的產(chǎn)品,例如三大云計(jì)算服務(wù)提供商(CSP),同時(shí)還使用更多SaaS產(chǎn)品。Blissfully公司在2020年進(jìn)行的一項(xiàng)研究發(fā)現(xiàn),大型企業(yè)使用多達(dá)288種不同的SaaS應(yīng)用程序,中小型企業(yè)(SMB)使用的應(yīng)用程序超過(guò)100種。
雖然一些企業(yè)可能開始完善其IaaS安全性,但對(duì)于更廣泛和多樣化的SaaS環(huán)境而言,情況可能并非如此。這一現(xiàn)實(shí)也使得SaaS提供商的影子IT使用情況比IaaS提供商更普遍,因?yàn)槭袌?chǎng)上有大量SaaS產(chǎn)品,而且可以輕松地使用它們,通常只需支付費(fèi)用就可以實(shí)施。
Zylo公司進(jìn)行的一項(xiàng)研究發(fā)現(xiàn),企業(yè)平均每月添加了10種SaaS產(chǎn)品,而IT團(tuán)隊(duì)僅能直接管理其中的25%。這意味著沒(méi)有進(jìn)行管理的SaaS產(chǎn)品將面臨很多風(fēng)險(xiǎn)。盡管SaaS使用量呈指數(shù)級(jí)增長(zhǎng),但AppOmni公司的一項(xiàng)研究發(fā)現(xiàn),只有32%的受訪者使用工具來(lái)確保SaaS中的數(shù)據(jù)安全。
盡管SaaS被廣泛采用,但為什么企業(yè)仍然幾乎只關(guān)注IaaS安全問(wèn)題?其中一些原因是由于誤解了責(zé)任共擔(dān)模型并假設(shè)在SaaS環(huán)境中云計(jì)算服務(wù)商負(fù)責(zé)所有事情。另一個(gè)原因是,安全團(tuán)隊(duì)只是在努力跟上企業(yè)的云計(jì)算使用率以及廣泛的高調(diào)IaaS數(shù)據(jù)泄露的影響。
主要的IaaS供應(yīng)商提供明確的認(rèn)證和學(xué)習(xí)路徑,確保專業(yè)人士可以學(xué)習(xí)如何保護(hù)他們的平臺(tái)并證明這一點(diǎn)。而SaaS供應(yīng)商并不提供相同的服務(wù)。作為安全專業(yè)人員,必須繼續(xù)發(fā)展,直到SaaS產(chǎn)品的安全發(fā)展成熟,可以開始緩解未解決的風(fēng)險(xiǎn)。
管理SaaS風(fēng)險(xiǎn)的方法為SaaS使用實(shí)施安全性應(yīng)該是數(shù)據(jù)驅(qū)動(dòng)的。這意味著要查看SaaS產(chǎn)品可以訪問(wèn)的內(nèi)部數(shù)據(jù)、企業(yè)內(nèi)部的訪問(wèn)級(jí)別,以及如果這些數(shù)據(jù)被無(wú)意中暴露或惡意泄露,可能產(chǎn)生的安全和監(jiān)管后果。這對(duì)于在家遠(yuǎn)程工作的員工來(lái)說(shuō)尤其如此,因?yàn)樗麄兛梢酝ㄟ^(guò)自己的設(shè)備從任何地方訪問(wèn)數(shù)據(jù)。
該流程的第一步是捕獲企業(yè)員工正在使用的SaaS。根據(jù)企業(yè)的成熟度和技術(shù)架構(gòu),這可能是人工實(shí)施的庫(kù)存管理流程,也可能需要云訪問(wèn)安全代理(CASB)等技術(shù)工具,這有助于識(shí)別影子SaaS的使用。
當(dāng)企業(yè)開始對(duì)其SaaS使用進(jìn)行嚴(yán)格的安全檢查時(shí),他們往往會(huì)采取兩種方法:一種側(cè)重于安全框架,如SOC2、PCI和FedRAMP以及文檔審查。另一種側(cè)重于技術(shù)評(píng)估、強(qiáng)化和持續(xù)監(jiān)控。
框架、文檔和報(bào)告當(dāng)企業(yè)開始為其審查SaaS產(chǎn)品時(shí)(最好是在購(gòu)買和實(shí)施之前),它往往會(huì)涉及流行的框架,例如SOC2、CSACCM和STAR/CAIQ或FedRAMP。
SOC2越來(lái)越成為SaaS提供商的主要選擇,因?yàn)樗兄隍?yàn)證企業(yè)與安全性、可用性、機(jī)密性、完整性和隱私相關(guān)的內(nèi)部控制。另一個(gè)主要的選擇是云安全聯(lián)盟(CSA)的共識(shí)評(píng)估倡議問(wèn)卷(CAIQ),它記錄了XaaS產(chǎn)品中存在哪些控制措施,并與云安全聯(lián)盟(CSA)的云控制矩陣(CCM)(一種特定于云計(jì)算的安全控制框架)相關(guān)聯(lián)。在公共部門方面,美國(guó)聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理計(jì)劃(FedRAMP)被廣泛用作授權(quán)云計(jì)算服務(wù)產(chǎn)品(CSO)供政府使用的一種方式,并使用NIST800-53安全控制。
企業(yè)通常會(huì)這樣做,并且應(yīng)該要求獲得這些認(rèn)證,因?yàn)樗鼈兺ǔ0ǖ谌皆u(píng)估組織(3PAO)流程,其中第三方驗(yàn)證SaaS組織及其產(chǎn)品是否滿足特定級(jí)別的安全要求。這為企業(yè)提供了一定程度的保證,即SaaS產(chǎn)品并非完全不安全,并且企業(yè)正在圍繞其自己的基礎(chǔ)設(shè)施以及如何處理和存儲(chǔ)客戶數(shù)據(jù)實(shí)施基本的安全措施。
選擇使用哪種框架在很大程度上取決于企業(yè)運(yùn)營(yíng)所在的行業(yè)以及SaaS供應(yīng)商的成熟度。考慮這些框架可能會(huì)耗費(fèi)大量時(shí)間和資源,而初創(chuàng)SaaS供應(yīng)商通常不會(huì)追求認(rèn)證,直到他們發(fā)展成熟,并且客戶要求獲得認(rèn)證。還有一個(gè)現(xiàn)實(shí)是,由于市場(chǎng)上SaaS產(chǎn)品的數(shù)量呈指數(shù)級(jí)增長(zhǎng),一些主要的合規(guī)性計(jì)劃根本沒(méi)有跟上發(fā)展步伐,例如FedRAMP。
如果SaaS供應(yīng)商沒(méi)有認(rèn)證或?qū)徍?,或者即使他們有認(rèn)證或?qū)徍?,并且企業(yè)將為他們使用的數(shù)據(jù)高度敏感,企業(yè)可能希望深入了解他們的文檔和其他標(biāo)準(zhǔn),以檢查其適用性。這可能包括內(nèi)部或外部滲透測(cè)試的結(jié)果,以及圍繞架構(gòu)、身份驗(yàn)證、加密等方面的討論。這些附加活動(dòng)有助于為企業(yè)提供與使用特定SaaS產(chǎn)品的風(fēng)險(xiǎn)相關(guān)的保證級(jí)別。
SaaS覆蓋范圍/功能雖然框架在審查SaaS產(chǎn)品方面是一個(gè)很好的開端,但它只是一個(gè)開始。企業(yè)還應(yīng)該考慮技術(shù)控制、配置和監(jiān)控作為SaaS治理策略的一部分。每個(gè)SaaS產(chǎn)品都有很多獨(dú)特的功能、配置和設(shè)置,從安全角度來(lái)看,企業(yè)員工并不熟悉這些功能、配置和設(shè)置。
進(jìn)入SaaS安全狀況管理(SSPM)工具,該工具可監(jiān)控企業(yè)的SaaS應(yīng)用程序的安全狀況。AppOmni和Obsidian是最流行的一些SSPM工具。還有一些供應(yīng)商提供一些的SaaS產(chǎn)品,例如Box、GitHub、Salesforce和Slack。
他們精心設(shè)計(jì)了安全配置、安全掃描、好實(shí)踐和建議,以幫助企業(yè)加強(qiáng)其SaaS使用。其中許多產(chǎn)品盡可能利用行業(yè)資源,例如SaaS產(chǎn)品的CIS基準(zhǔn),包括Microsoft 365和Google Workspace,這兩者都可能包含敏感數(shù)據(jù)。
這些強(qiáng)化工作有助于保護(hù)企業(yè)免受常見的安全問(wèn)題的影響,例如帳戶泄露、不安全的配置、合規(guī)性和訪問(wèn)管理。他們還可以幫助進(jìn)行事件響應(yīng)。這非常有價(jià)值,因?yàn)槠髽I(yè)的員工可能并不具備采用SaaS應(yīng)用程序所需的特定安全洞察力和專業(yè)知識(shí)。SSPM供應(yīng)商不斷為其覆蓋范圍添加更多SaaS產(chǎn)品,并且根據(jù)企業(yè)的規(guī)模,可以幫助制定他們的產(chǎn)品路線圖,以涵蓋在企業(yè)中廣泛使用的SaaS。
除了技術(shù)安全問(wèn)題外,企業(yè)還必須關(guān)注SaaS范式中的合規(guī)性。共同責(zé)任模型在這里仍然適用。
AppOmni等平臺(tái)可以幫助自動(dòng)執(zhí)行與PCI、HIPAA、GDPR和NIST等廣泛適用的框架相關(guān)的關(guān)鍵合規(guī)性控制。對(duì)于企業(yè)來(lái)說(shuō),在可能有數(shù)百個(gè)SaaS應(yīng)用程序中保持對(duì)這些框架的持續(xù)合規(guī)性是站不住腳的,而這正是增強(qiáng)這些努力的技術(shù)解決方案真正發(fā)揮作用的地方。
本文名稱:為什么需要SaaS治理計(jì)劃,以及其中應(yīng)該包含什么
網(wǎng)頁(yè)地址:http://jinyejixie.com/news34/203484.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供靜態(tài)網(wǎng)站、品牌網(wǎng)站建設(shè)、網(wǎng)站設(shè)計(jì)、虛擬主機(jī)、網(wǎng)站改版、App設(shè)計(jì)
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容