爲什(shén)麽需要SaaS治理(lǐ)計(jì)劃，以及其中應該包含什(shén)麽

已經授權和(hé)未授權的SaaS解決方案的廣泛應用(yòng)帶來(lái)了(le)重大(dà)的安全風(fēng)險。現(xiàn)在是企業制定管理(lǐ)這(zhè)些(xiē)風(fēng)險的策略的時(shí)候了(le)。 SaaS的采用(yòng)量如今遠遠超過IaaS。盡管如此，很(hěn)多企業通常隻專注于基礎設施安全。他(tā)們還應該考慮SaaS治理(lǐ)計(jì)劃，實施安全措施，以降低(dī)與SaaS使用(yòng)相關的風(fēng)險。該計(jì)劃包括合規性框架、文(wén)件/盡職調查以及持續監測和(hé)降低(dī)風(fēng)險的技術措施。 圍繞雲采用(yòng)的大(dà)部分安全讨論都集中在IaaS和(hé)PaaS提供商上(shàng)，例如AWS、Microsoft Azure和(hé)Google Cloud等公司，這(zhè)是有充分理(lǐ)由的。很(hěn)多企業經曆了(le)IaaS采用(yòng)的巨大(dà)增長，并看(kàn)到(dào)了(le)大(dà)量與IaaS錯誤配置相關的安全漏洞事(shì)件。 然而，SaaS實施不力和(hé)安全性差所帶來(lái)的風(fēng)險卻被忽視(shì)了(le)。根據調研機構Gartner公司的預測，SaaS仍将是最大(dà)的公有雲細分市場，該預測是在新冠疫情發生之前做出，這(zhè)表明(míng)已經出現(xiàn)了(le)前所未有的SaaS發展熱潮。此外(wài)，企業通常傾向于僅使用(yòng)少數IaaS提供商的産品，例如三大(dà)雲計(jì)算(suàn)服務提供商(CSP)，同時(shí)還使用(yòng)更多SaaS産品。Blissfully公司在2020年進行的一項研究發現(xiàn)，大(dà)型企業使用(yòng)多達288種不同的SaaS應用(yòng)程序，中小(xiǎo)型企業(SMB)使用(yòng)的應用(yòng)程序超過100種。 雖然一些(xiē)企業可能(néng)開(kāi)始完善其IaaS安全性，但(dàn)對(duì)于更廣泛和(hé)多樣化的SaaS環境而言，情況可能(néng)并非如此。這(zhè)一現(xiàn)實也(yě)使得SaaS提供商的影子IT使用(yòng)情況比IaaS提供商更普遍，因爲市場上(shàng)有大(dà)量SaaS産品，而且可以輕松地使用(yòng)它們，通常隻需支付費用(yòng)就可以實施。 Zylo公司進行的一項研究發現(xiàn)，企業平均每月添加了(le)10種SaaS産品，而IT團隊僅能(néng)直接管理(lǐ)其中的25%。這(zhè)意味着沒有進行管理(lǐ)的SaaS産品将面臨很(hěn)多風(fēng)險。盡管SaaS使用(yòng)量呈指數級增長，但(dàn)AppOmni公司的一項研究發現(xiàn)，隻有32%的受訪者使用(yòng)工(gōng)具來(lái)确保SaaS中的數據安全。 盡管SaaS被廣泛采用(yòng)，但(dàn)爲什(shén)麽企業仍然幾乎隻關注IaaS安全問題?其中一些(xiē)原因是由于誤解了(le)責任共擔模型并假設在SaaS環境中雲計(jì)算(suàn)服務商負責所有事(shì)情。另一個原因是，安全團隊隻是在努力跟上(shàng)企業的雲計(jì)算(suàn)使用(yòng)率以及廣泛的高(gāo)調IaaS數據洩露的影響。 主要的IaaS供應商提供明(míng)确的認證和(hé)學習路徑，确保專業人士可以學習如何保護他(tā)們的平台并證明(míng)這(zhè)一點。而SaaS供應商并不提供相同的服務。作(zuò)爲安全專業人員，必須繼續發展，直到(dào)SaaS産品的安全發展成熟，可以開(kāi)始緩解未解決的風(fēng)險。 管理(lǐ)SaaS風(fēng)險的方法 爲SaaS使用(yòng)實施安全性應該是數據驅動的。這(zhè)意味着要查看(kàn)SaaS産品可以訪問的内部數據、企業内部的訪問級别，以及如果這(zhè)些(xiē)數據被無意中暴露或惡意洩露，可能(néng)産生的安全和(hé)監管後果。這(zhè)對(duì)于在家遠程工(gōng)作(zuò)的員工(gōng)來(lái)說尤其如此，因爲他(tā)們可以通過自(zì)己的設備從(cóng)任何地方訪問數據。 該流程的第一步是捕獲企業員工(gōng)正在使用(yòng)的SaaS。根據企業的成熟度和(hé)技術架構，這(zhè)可能(néng)是人工(gōng)實施的庫存管理(lǐ)流程，也(yě)可能(néng)需要雲訪問安全代理(lǐ)(CASB)等技術工(gōng)具，這(zhè)有助于識别影子SaaS的使用(yòng)。 當企業開(kāi)始對(duì)其SaaS使用(yòng)進行嚴格的安全檢查時(shí)，他(tā)們往往會(huì)采取兩種方法：一種側重于安全框架，如SOC2、PCI和(hé)FedRAMP以及文(wén)檔審查。另一種側重于技術評估、強化和(hé)持續監控。 框架、文(wén)檔和(hé)報(bào)告 當企業開(kāi)始爲其審查SaaS産品時(shí)(最好(hǎo)是在購買和(hé)實施之前)，它往往會(huì)涉及流行的框架，例如SOC2、CSACCM和(hé)STAR/CAIQ或FedRAMP。 SOC2越來(lái)越成爲SaaS提供商的主要選擇，因爲它有助于驗證企業與安全性、可用(yòng)性、機密性、完整性和(hé)隐私相關的内部控制。另一個主要的選擇是雲安全聯盟(CSA)的共識評估倡議(yì)問卷(CAIQ)，它記錄了(le)XaaS産品中存在哪些(xiē)控制措施，并與雲安全聯盟(CSA)的雲控制矩陣(CCM)(一種特定于雲計(jì)算(suàn)的安全控制框架)相關聯。在公共部門(mén)方面，美(měi)國聯邦風(fēng)險和(hé)授權管理(lǐ)計(jì)劃(FedRAMP)被廣泛用(yòng)作(zuò)授權雲計(jì)算(suàn)服務産品(CSO)供政府使用(yòng)的一種方式，并使用(yòng)NIST800-53安全控制。 企業通常會(huì)這(zhè)樣做，并且應該要求獲得這(zhè)些(xiē)認證，因爲它們通常包括第三方評估組織(3PAO)流程，其中第三方驗證SaaS組織及其産品是否滿足特定級别的安全要求。這(zhè)爲企業提供了(le)一定程度的保證，即SaaS産品并非完全不安全，并且企業正在圍繞其自(zì)己的基礎設施以及如何處理(lǐ)和(hé)存儲客戶數據實施基本的安全措施。 選擇使用(yòng)哪種框架在很(hěn)大(dà)程度上(shàng)取決于企業運營所在的行業以及SaaS供應商的成熟度。考慮這(zhè)些(xiē)框架可能(néng)會(huì)耗費大(dà)量時(shí)間和(hé)資源，而初創SaaS供應商通常不會(huì)追求認證，直到(dào)他(tā)們發展成熟，并且客戶要求獲得認證。還有一個現(xiàn)實是，由于市場上(shàng)SaaS産品的數量呈指數級增長，一些(xiē)主要的合規性計(jì)劃根本沒有跟上(shàng)發展步伐，例如FedRAMP。 如果SaaS供應商沒有認證或審核，或者即使他(tā)們有認證或審核，并且企業将爲他(tā)們使用(yòng)的數據高(gāo)度敏感，企業可能(néng)希望深入了(le)解他(tā)們的文(wén)檔和(hé)其他(tā)标準，以檢查其适用(yòng)性。這(zhè)可能(néng)包括内部或外(wài)部滲透測試的結果，以及圍繞架構、身份驗證、加密等方面的讨論。這(zhè)些(xiē)附加活動有助于爲企業提供與使用(yòng)特定SaaS産品的風(fēng)險相關的保證級别。 SaaS覆蓋範圍/功能(néng) 雖然框架在審查SaaS産品方面是一個很(hěn)好(hǎo)的開(kāi)端，但(dàn)它隻是一個開(kāi)始。企業還應該考慮技術控制、配置和(hé)監控作(zuò)爲SaaS治理(lǐ)策略的一部分。每個SaaS産品都有很(hěn)多獨特的功能(néng)、配置和(hé)設置，從(cóng)安全角度來(lái)看(kàn)，企業員工(gōng)并不熟悉這(zhè)些(xiē)功能(néng)、配置和(hé)設置。 進入SaaS安全狀況管理(lǐ)(SSPM)工(gōng)具，該工(gōng)具可監控企業的SaaS應用(yòng)程序的安全狀況。AppOmni和(hé)Obsidian是最流行的一些(xiē)SSPM工(gōng)具。還有一些(xiē)供應商提供一些(xiē)領先的??SaaS産品，例如Box、GitHub、Salesforce和(hé)Slack。 他(tā)們精心設計(jì)了(le)安全配置、安全掃描、最佳實踐和(hé)建議(yì)，以幫助企業加強其SaaS使用(yòng)。其中許多産品盡可能(néng)利用(yòng)行業資源，例如SaaS産品的CIS基準，包括Microsoft 365和(hé)Google Workspace，這(zhè)兩者都可能(néng)包含敏感數據。 這(zhè)些(xiē)強化工(gōng)作(zuò)有助于保護企業免受常見的安全問題的影響，例如帳戶洩露、不安全的配置、合規性和(hé)訪問管理(lǐ)。他(tā)們還可以幫助進行事(shì)件響應。這(zhè)非常有價值，因爲企業的員工(gōng)可能(néng)并不具備采用(yòng)SaaS應用(yòng)程序所需的特定安全洞察力和(hé)專業知(zhī)識。SSPM供應商不斷爲其覆蓋範圍添加更多SaaS産品，并且根據企業的規模，可以幫助制定他(tā)們的産品路線圖，以涵蓋在企業中廣泛使用(yòng)的SaaS。 除了(le)技術安全問題外(wài)，企業還必須關注SaaS範式中的合規性。共同責任模型在這(zhè)裏仍然适用(yòng)。 AppOmni等平台可以幫助自(zì)動執行與PCI、HIPAA、GDPR和(hé)NIST等廣泛适用(yòng)的框架相關的關鍵合規性控制。對(duì)于企業來(lái)說，在可能(néng)有數百個SaaS應用(yòng)程序中保持對(duì)這(zhè)些(xiē)框架的持續合規性是站(zhàn)不住腳的，而這(zhè)正是增強這(zhè)些(xiē)努力的技術解決方案真正發揮作(zuò)用(yòng)的地方。