本文来自微信公众号“安全牛”。
对于越来越多的企业,软件即服务(SaaS)已成为访问重要业务应用程序的主要手段。从业务发展的角度来看,“上云”的好处有很多,主要包括:节省成本、提高敏捷性和灵活扩展的功能。但是,任何基于云的应用都存在安全风险。要保障SaaS应用的安全性,企业需要持续评估和管理驻留在SaaS服务平台中的业务和数据安全风险,采用漏洞扫描、渗透测试、威胁检测等多种安全方法,同时还需要制定合适的安全措施以保护数据。
鉴于如今的安全威胁不断变幻,企业组织应该从以下方面,加强对SaaS应用的安全态势管理和数据保护,修炼好SaaS安全应用的基本功。
01
选择可信赖的SaaS服务商
与任何企业一样,SaaS服务提供商也成为恶意软件和黑客攻击的重点目标,一旦这些服务商遭受攻击,往往会城门失火殃及池鱼,让SaaS服务的用户受到影响。因此,企业在计划使用云化的SaaS服务前,应该对SaaS服务商进行必要的安全评估,降低业务风险。可信赖的SaaS服务商会提供强大的安全性平台(SSP),具有统一、自动化的风险感知能力,从而可以较好地保护关键业务应用程序和数据。选择这类SaaS服务商,企业可以降低应用风险、防止数据泄露,并在不影响业务开展的情况下处置内部威胁。
检查清单
•是否提供统一的数据访问控制;
•能否防止SaaS生态系统中的数据丢失;
•是否具有云访问安全代理(CASB);
•能否全程保护SaaS;
•事件响应能力。
02
进行数据加密
密码技术对保护SaaS应用的数据安全起到了至关重要的作用,因为它可以将SaaS数据转换成攻击者无法破解的代码。企业可以采用静态加密或传输中加密等加密方式,前者用于保护存储在数据库或文件中的信息,后者则用于确保数据在传输时的安全。企业需要保护加密密钥并使用可靠的加密算法,这样企业才能建立起坚实屏障,防止数据泄露和泄漏。为了避免受保护数据被非法解密,企业需要对数据进行适当的管理。
检查清单
•是否已加密传输中数据和静态存储的数据;
•是否实施访问控制措施和最小权限原则,以限制数据访问;
•是否定期审计和审查用户对数据的访问;
•是否使用了数据丢失防护(DLP)工具,以防止未经授权的敏感信息共享。
03
定期开展安全性审计
作为SaaS安全最佳实践的一部分,企业需要定期系统性地评估SaaS应用服务的安全态势与状况。在此过程中,系统软件、硬件或操作过程中的漏洞以及违反监管标准的行为将被查出并修复。安全性审计工作可以由外部组织或内部安全部门进行,通过评估、测试和分析系统,帮助企业发现错误、降低风险并加强安全。定期开展安全性审计对于确保持续长久的SaaS环境安全至关重要。
检查清单
•是否严格遵守了行业规则,比如GDPR、HIPAA和PCI DSS;
•审计和合规报告是否有序存档;
•数据保存时间和数据删除方法是否准确。
04
实施多因素验证
使用多因素身份验证(MFA)技术是保证SaaS应用安全性的最佳实践之一。为了验证用户的真实性,MFA需要知识(密码)和拥有的凭证(安全令牌或智能手机应用程序)或身份(指纹或人脸识别)。MFA采用多重身份验证级别,能够大大降低未经授权访问的危险,即使攻击者获得了其中一个身份验证要素也难以窃取数据。MFA在SaaS环境中的有效应用非常重要,因为它可以防止因凭据泄密而对系统进行未经授权的访问,从而增强安全性。
检查清单
•所有用户是否都使用了可靠的多因素身份验证(MFA);
•使用基于角色的访问控制(RBAC)来处理用户权限;
•立即关闭不使用的账户;
•是否经常检查和更改用户访问权限。
05
统一身份访问管理
统一身份和访问管理(IAM)技术主要用于控制谁可以访问SaaS环境中哪些数据,IAM是个整体的术语,包括用户身份验证、基于角色的访问控制和访问行为审计等功能。IAM规则明确了谁有权访问,以及可以在什么情况下对SaaS环境中的应用程序、数据或功能进行访问。通过实施严格的IAM规则,企业可以基于角色、职责和业务需求来管理用户访问,减小未经授权访问或意外数据泄露的危险。
检查清单
•是否使用受控制的IAM系统;
•添加和删除用户实现自动化;
•是否设置单点登录(SSO)以简化登录;
•是否应用了强密码措施。
06
数据备份和灾难恢复
在讨论SaaS应用的安全性时,会经常用到数据备份和灾难恢复等技术在紧急情况下防止数据丢失、损坏或业务中断。数据备份便于企业在系统崩溃或网络攻击时迅速恢复重要信息。灾难恢复计划能够提供在严重中断(比如故障切换到辅助系统)后重新启动操作的全面策略。在SaaS环境中,实施数据备份和灾难恢复是保护企业声誉以及应用安全的关键防线。
检查清单
•是否定期自动备份SaaS数据;
•测试数据恢复流程,以验证数据完整性;
•是否制定灾难恢复计划,防范SaaS应用程序中断。
07
应用程序开发安全
SaaS应用程序的安全性强调了在整个应用软件开发管控流程中加入安全控制措施的重要性。开发人员不应该将安全视为次要问题,而是从代码编写时就作为主要问题。这对开发者提出了多个要求,包括定期执行代码审查、漏洞评估和渗透测试,以尽快检测和修复安全漏洞。
开发人员需要接受安全编程方法和安全测试方面的培训,这样可以有效地保护客户免受网络攻击,并赢得客户的信任和信心。
检查清单
•是否能够及时了解SaaS应用程序的安全更改和补丁;
•是否及时更新补丁,以堵住安全漏洞;
•在打补丁之前,先在非生产环境中进行测试。
08
做好端点安全防护
端点安全主要保护用于访问SaaS程序的各个终端设备和应用。联网的PC、平板电脑、手机及其他任何设备都属于端点安全防护的范畴。防病毒程序、防火墙和加密VPN是保护端点数据安全的常用工具,可以防止未经授权的设备或网络对SaaS基础设施发动攻击。端点安全通过阻止未经授权的用户并降低恶意软件攻击的可能性,帮助企业保护其SaaS应用程序及其存储的数据。
检查清单
•是否保护了用于访问SaaS应用程序的计算机和移动设备;
•是否使用防病毒和反恶意软件工具来保护计算机;
•设置丢失或被盗后是否可以远程锁定或删除。
09
网络安全意识培养
网络安全意识强调了对员工和用户进行安全风险和最佳实践方面的教育。即使采用了最先进的技术防护措施,人为失误仍是一大风险。定期培训员工可以更好地识别和应对网络钓鱼和恶意软件攻击。只有倡导注重安全意识的企业文化,SaaS应用的服务商和用户才能降低意外内部攻击的可能性,推广更安全的使用模式,并加强其产品的安全性。
检查清单
•是否定期对员工进行网络安全意识培训;
•是否对用户进行网络钓鱼和社会工程方面的模拟测试;
•营造安全至上的SaaS应用环境。
10
监控和警报
监控和警报是指不断监控系统活动,并针对异常事件生成警报。系统日志、访问活动和网络流量是监控程序主要监视的因素。当系统识别出潜在的危险或可疑行为时,应该立即通知相应的管理员。这种预防方法缩短了攻击者在安全泄密或系统崩溃时可能利用的机会窗口。在SaaS框架中,这种监控管理对于保护用户信息、保持系统顺畅运行以及防止中断必不可少。
