IT民主化和SaaS的广泛应用意味着每个人都需要了解SaaS云计算应用程序的安全性。
人们可以想象一下没有软件即服务(SaaS)的场景,这真的很难做到,因为很多企业、组织和个人几乎每天都依赖这些云应用服务。
人们对SaaS应用的依赖性越强,就越意识到他们担负责任的重要性。而SaaS领域的安全性、治理和合规性需要仔细研究。
用户都是首席信息安全官(CISO)
大多数Office 365或SalesForce和Slack用户,或任何其他SaaS应用程序都通过软件与他们联系以完成他们的工作。但是他们通常也有控制权,因为在某些情况下可以控制很多设置。以前由IT管理人员处理这些内容,他们也可能影响或甚至决定首先注册一个应用程序。
换句话说,除了使用SaaS应用程序外,最终用户也承担了评估和管理它们的角色。这显示了“IT民主化”如何不仅让人们掌握更多技术,而且还加大了责任。在很多方面,人们都需要成为虚拟世界的首席信息安全官(CISO)。
以下将提出一些关于SaaS应用程序安全性的基本问题。特别是身份验证、加密保护和管理。
身份验证选项
最接近最终用户的SaaS的安全主题是口令和身份验证,但面临诸多挑战。用户不仅需要小心谨慎,而且还会感到困惑。例如,原来创建安全密码的原始规则不再适用。
密码管理器是一种创建和管理长密码的好方法,现在推荐使用它,尽管密码管理器并不能让人们确信设定密码就不会被黑客入侵。但无论如何,设定密码是一个有效的措施。
双因素身份验证(2FA)是实施安全措施的第二个步骤,通常将验证代码发送到一个单独的设备。但是关于如何最好地实施这种方法存在一些争议。例如,美国政府不鼓励使用SMS(短信验证码)进行身份验证。
然后还有其他一些因素,例如生物识别或地理标记,这些因素可以强化身份验证并触发异常登录活动的警报。强认证还与加密通道、密码散列、事件监控,以及其他高级技术相关联。
那么企业的SaaS提供商使用哪种认证?双因素或是多因素?他们是否以其他方式增强密码安全性?他们如何促进在多个应用程序采用单点登录(SSO)或联合身份验证?
加密和保护数据
另一个值得关注的问题是,一旦企业与其数据与应用程序互动,会发生什么情况?那么企业的SaaS提供商如何处理传输中、使用中、静止中的数据?
传统上,网络公司已经使用安全套接字层(SSL)进行通信。实际上,IETF在2015年弃用了SSL,其中采用传输层安全(TLS)1.0替代了SSL 3.1.已经实现这些加密协议的网站被标记为Secure HTTPS(SSL/TLS中的HTTP)。
如果企业的SaaS提供商与许多基于云计算的公司一样,他们可能会使用多租户架构,这意味着企业的数据很可能最终与他人的数据相邻。使用什么类型的加密以及控件的粒度如何?无论架构如何,他们将如何备份、复制、存储和恢复数据?
另一组问题涉及数据的类型。受到最多关注的数据泄露涉及个人可识别信息(PII)的发布,该类信息越来越受政府部门的监管,并受到欧盟“通用数据保护条例”(GDPR)的大量关注。因此,除了加密之外,企业的SaaS提供商还有哪些方法可以防止PII和敏感数据的丢失?
管理、政策和治理
数据丢失防护(DLP)主题与用户控制问题重叠,因为数据可能会因不正确的设置而无意中暴露。最终用户可以在开展最少(或不需要)培训的情况下开始使用大多数SaaS应用程序,但考虑到其潜在的损害,这可能不是一个好习惯。
即使最终用户获得这样的控制权利,但具有限制人为错误的可能性。更智能的应用程序(或管理覆盖)可以帮助标记和PII 安全锁定。
管理角色是安全和合规性影响的另一个问题。限制特权访问是一个很好的普遍做法,但它是GDPR法规的一个特别关注点。体系结构良好的应用程序还应该方便添加和删除账户。在这方面,企业可能会看到其SaaS提供商是否利用了跨域身份管理系统(SCIM),这是一种自动交换用户ID的开放标准。
企业针对其SaaS提供商的一些最终政策相关问题:他们是否可以将登录限制为与企业网络或VPN一致的指定IP范围?他们是否允许企业在移动设备上管理该应用的可用性?是否有会话超时阈值的调整?
不仅仅是网络安全的忍者
虽然上面的一些问题可能看起来是基本的问题,人们可能会认为只有网络安全管理人员才能掌握什么是关键,但事实并非如此。在此应该揭开这个话题的神秘面纱。这符合应用程序制造商,最终用户和第三方提供商等所有人的利益,需要人们看到云计算应用程序安全性的所有权是一个整体和无处不在的责任。