信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“安全牛”。

對(duì)于越來(lái)越多的企業(yè)，軟件即服務(wù)（SaaS）已成為訪問(wèn)重要業(yè)務(wù)應(yīng)用程序的主要手段。從業(yè)務(wù)發(fā)展的角度來(lái)看，“上云”的好處有很多，主要包括：節(jié)省成本、提高敏捷性和靈活擴(kuò)展的功能。但是，任何基于云的應(yīng)用都存在安全風(fēng)險(xiǎn)。要保障SaaS應(yīng)用的安全性，企業(yè)需要持續(xù)評(píng)估和管理駐留在SaaS服務(wù)平臺(tái)中的業(yè)務(wù)和數(shù)據(jù)安全風(fēng)險(xiǎn)，采用漏洞掃描、滲透測(cè)試、威脅檢測(cè)等多種安全方法，同時(shí)還需要制定合適的安全措施以保護(hù)數(shù)據(jù)。

鑒于如今的安全威脅不斷變幻，企業(yè)組織應(yīng)該從以下方面，加強(qiáng)對(duì)SaaS應(yīng)用的安全態(tài)勢(shì)管理和數(shù)據(jù)保護(hù)，修煉好SaaS安全應(yīng)用的基本功。

01

選擇可信賴的SaaS服務(wù)商

與任何企業(yè)一樣，SaaS服務(wù)提供商也成為惡意軟件和黑客攻擊的重點(diǎn)目標(biāo)，一旦這些服務(wù)商遭受攻擊，往往會(huì)城門(mén)失火殃及池魚(yú)，讓SaaS服務(wù)的用戶受到影響。因此，企業(yè)在計(jì)劃使用云化的SaaS服務(wù)前，應(yīng)該對(duì)SaaS服務(wù)商進(jìn)行必要的安全評(píng)估，降低業(yè)務(wù)風(fēng)險(xiǎn)?？尚刨嚨腟aaS服務(wù)商會(huì)提供強(qiáng)大的安全性平臺(tái)（SSP），具有統(tǒng)一、自動(dòng)化的風(fēng)險(xiǎn)感知能力，從而可以較好地保護(hù)關(guān)鍵業(yè)務(wù)應(yīng)用程序和數(shù)據(jù)。選擇這類(lèi)SaaS服務(wù)商，企業(yè)可以降低應(yīng)用風(fēng)險(xiǎn)、防止數(shù)據(jù)泄露，并在不影響業(yè)務(wù)開(kāi)展的情況下處置內(nèi)部威脅。

檢查清單

•是否提供統(tǒng)一的數(shù)據(jù)訪問(wèn)控制；

•能否防止SaaS生態(tài)系統(tǒng)中的數(shù)據(jù)丟失；

•是否具有云訪問(wèn)安全代理（CASB）；

•能否全程保護(hù)SaaS；

•事件響應(yīng)能力。

02

進(jìn)行數(shù)據(jù)加密

密碼技術(shù)對(duì)保護(hù)SaaS應(yīng)用的數(shù)據(jù)安全起到了至關(guān)重要的作用，因?yàn)樗梢詫aaS數(shù)據(jù)轉(zhuǎn)換成攻擊者無(wú)法破解的代碼。企業(yè)可以采用靜態(tài)加密或傳輸中加密等加密方式，前者用于保護(hù)存儲(chǔ)在數(shù)據(jù)庫(kù)或文件中的信息，后者則用于確保數(shù)據(jù)在傳輸時(shí)的安全。企業(yè)需要保護(hù)加密密鑰并使用可靠的加密算法，這樣企業(yè)才能建立起堅(jiān)實(shí)屏障，防止數(shù)據(jù)泄露和泄漏。為了避免受保護(hù)數(shù)據(jù)被非法解密，企業(yè)需要對(duì)數(shù)據(jù)進(jìn)行適當(dāng)?shù)墓芾怼?/p>

檢查清單

•是否已加密傳輸中數(shù)據(jù)和靜態(tài)存儲(chǔ)的數(shù)據(jù)；

•是否實(shí)施訪問(wèn)控制措施和最小權(quán)限原則，以限制數(shù)據(jù)訪問(wèn)；

•是否定期審計(jì)和審查用戶對(duì)數(shù)據(jù)的訪問(wèn)；

•是否使用了數(shù)據(jù)丟失防護(hù)（DLP）工具，以防止未經(jīng)授權(quán)的敏感信息共享。

03

定期開(kāi)展安全性審計(jì)

作為SaaS安全最佳實(shí)踐的一部分，企業(yè)需要定期系統(tǒng)性地評(píng)估SaaS應(yīng)用服務(wù)的安全態(tài)勢(shì)與狀況。在此過(guò)程中，系統(tǒng)軟件、硬件或操作過(guò)程中的漏洞以及違反監(jiān)管標(biāo)準(zhǔn)的行為將被查出并修復(fù)。安全性審計(jì)工作可以由外部組織或內(nèi)部安全部門(mén)進(jìn)行，通過(guò)評(píng)估、測(cè)試和分析系統(tǒng)，幫助企業(yè)發(fā)現(xiàn)錯(cuò)誤、降低風(fēng)險(xiǎn)并加強(qiáng)安全。定期開(kāi)展安全性審計(jì)對(duì)于確保持續(xù)長(zhǎng)久的SaaS環(huán)境安全至關(guān)重要。

檢查清單

•是否嚴(yán)格遵守了行業(yè)規(guī)則，比如GDPR、HIPAA和PCI DSS；

•審計(jì)和合規(guī)報(bào)告是否有序存檔；

•數(shù)據(jù)保存時(shí)間和數(shù)據(jù)刪除方法是否準(zhǔn)確。

04

實(shí)施多因素驗(yàn)證

使用多因素身份驗(yàn)證（MFA）技術(shù)是保證SaaS應(yīng)用安全性的最佳實(shí)踐之一。為了驗(yàn)證用戶的真實(shí)性，MFA需要知識(shí)（密碼）和擁有的憑證（安全令牌或智能手機(jī)應(yīng)用程序）或身份（指紋或人臉識(shí)別）。MFA采用多重身份驗(yàn)證級(jí)別，能夠大大降低未經(jīng)授權(quán)訪問(wèn)的危險(xiǎn)，即使攻擊者獲得了其中一個(gè)身份驗(yàn)證要素也難以竊取數(shù)據(jù)。MFA在SaaS環(huán)境中的有效應(yīng)用非常重要，因?yàn)樗梢苑乐挂驊{據(jù)泄密而對(duì)系統(tǒng)進(jìn)行未經(jīng)授權(quán)的訪問(wèn)，從而增強(qiáng)安全性。

檢查清單

•所有用戶是否都使用了可靠的多因素身份驗(yàn)證（MFA）；

•使用基于角色的訪問(wèn)控制（RBAC）來(lái)處理用戶權(quán)限；

•立即關(guān)閉不使用的賬戶；

•是否經(jīng)常檢查和更改用戶訪問(wèn)權(quán)限。

05

統(tǒng)一身份訪問(wèn)管理

統(tǒng)一身份和訪問(wèn)管理（IAM）技術(shù)主要用于控制誰(shuí)可以訪問(wèn)SaaS環(huán)境中哪些數(shù)據(jù)，IAM是個(gè)整體的術(shù)語(yǔ)，包括用戶身份驗(yàn)證、基于角色的訪問(wèn)控制和訪問(wèn)行為審計(jì)等功能。IAM規(guī)則明確了誰(shuí)有權(quán)訪問(wèn)，以及可以在什么情況下對(duì)SaaS環(huán)境中的應(yīng)用程序、數(shù)據(jù)或功能進(jìn)行訪問(wèn)。通過(guò)實(shí)施嚴(yán)格的IAM規(guī)則，企業(yè)可以基于角色、職責(zé)和業(yè)務(wù)需求來(lái)管理用戶訪問(wèn)，減小未經(jīng)授權(quán)訪問(wèn)或意外數(shù)據(jù)泄露的危險(xiǎn)。

檢查清單

•是否使用受控制的IAM系統(tǒng)；

•添加和刪除用戶實(shí)現(xiàn)自動(dòng)化；

•是否設(shè)置單點(diǎn)登錄（SSO）以簡(jiǎn)化登錄；

•是否應(yīng)用了強(qiáng)密碼措施。

06

數(shù)據(jù)備份和災(zāi)難恢復(fù)

在討論SaaS應(yīng)用的安全性時(shí)，會(huì)經(jīng)常用到數(shù)據(jù)備份和災(zāi)難恢復(fù)等技術(shù)在緊急情況下防止數(shù)據(jù)丟失、損壞或業(yè)務(wù)中斷。數(shù)據(jù)備份便于企業(yè)在系統(tǒng)崩潰或網(wǎng)絡(luò)攻擊時(shí)迅速恢復(fù)重要信息。災(zāi)難恢復(fù)計(jì)劃能夠提供在嚴(yán)重中斷（比如故障切換到輔助系統(tǒng)）后重新啟動(dòng)操作的全面策略。在SaaS環(huán)境中，實(shí)施數(shù)據(jù)備份和災(zāi)難恢復(fù)是保護(hù)企業(yè)聲譽(yù)以及應(yīng)用安全的關(guān)鍵防線。

檢查清單

•是否定期自動(dòng)備份SaaS數(shù)據(jù)；

•測(cè)試數(shù)據(jù)恢復(fù)流程，以驗(yàn)證數(shù)據(jù)完整性；

•是否制定災(zāi)難恢復(fù)計(jì)劃，防范SaaS應(yīng)用程序中斷。

07

應(yīng)用程序開(kāi)發(fā)安全

SaaS應(yīng)用程序的安全性強(qiáng)調(diào)了在整個(gè)應(yīng)用軟件開(kāi)發(fā)管控流程中加入安全控制措施的重要性。開(kāi)發(fā)人員不應(yīng)該將安全視為次要問(wèn)題，而是從代碼編寫(xiě)時(shí)就作為主要問(wèn)題。這對(duì)開(kāi)發(fā)者提出了多個(gè)要求，包括定期執(zhí)行代碼審查、漏洞評(píng)估和滲透測(cè)試，以盡快檢測(cè)和修復(fù)安全漏洞。

開(kāi)發(fā)人員需要接受安全編程方法和安全測(cè)試方面的培訓(xùn)，這樣可以有效地保護(hù)客戶免受網(wǎng)絡(luò)攻擊，并贏得客戶的信任和信心。

檢查清單

•是否能夠及時(shí)了解SaaS應(yīng)用程序的安全更改和補(bǔ)?。?/p>

•是否及時(shí)更新補(bǔ)丁，以堵住安全漏洞；

•在打補(bǔ)丁之前，先在非生產(chǎn)環(huán)境中進(jìn)行測(cè)試。

08

做好端點(diǎn)安全防護(hù)

端點(diǎn)安全主要保護(hù)用于訪問(wèn)SaaS程序的各個(gè)終端設(shè)備和應(yīng)用。聯(lián)網(wǎng)的PC、平板電腦、手機(jī)及其他任何設(shè)備都屬于端點(diǎn)安全防護(hù)的范疇。防病毒程序、防火墻和加密VPN是保護(hù)端點(diǎn)數(shù)據(jù)安全的常用工具，可以防止未經(jīng)授權(quán)的設(shè)備或網(wǎng)絡(luò)對(duì)SaaS基礎(chǔ)設(shè)施發(fā)動(dòng)攻擊。端點(diǎn)安全通過(guò)阻止未經(jīng)授權(quán)的用戶并降低惡意軟件攻擊的可能性，幫助企業(yè)保護(hù)其SaaS應(yīng)用程序及其存儲(chǔ)的數(shù)據(jù)。

檢查清單

•是否保護(hù)了用于訪問(wèn)SaaS應(yīng)用程序的計(jì)算機(jī)和移動(dòng)設(shè)備；

•是否使用防病毒和反惡意軟件工具來(lái)保護(hù)計(jì)算機(jī)；

•設(shè)置丟失或被盜后是否可以遠(yuǎn)程鎖定或刪除。

09

網(wǎng)絡(luò)安全意識(shí)培養(yǎng)

網(wǎng)絡(luò)安全意識(shí)強(qiáng)調(diào)了對(duì)員工和用戶進(jìn)行安全風(fēng)險(xiǎn)和最佳實(shí)踐方面的教育。即使采用了最先進(jìn)的技術(shù)防護(hù)措施，人為失誤仍是一大風(fēng)險(xiǎn)。定期培訓(xùn)員工可以更好地識(shí)別和應(yīng)對(duì)網(wǎng)絡(luò)釣魚(yú)和惡意軟件攻擊。只有倡導(dǎo)注重安全意識(shí)的企業(yè)文化，SaaS應(yīng)用的服務(wù)商和用戶才能降低意外內(nèi)部攻擊的可能性，推廣更安全的使用模式，并加強(qiáng)其產(chǎn)品的安全性。

檢查清單

•是否定期對(duì)員工進(jìn)行網(wǎng)絡(luò)安全意識(shí)培訓(xùn)；

•是否對(duì)用戶進(jìn)行網(wǎng)絡(luò)釣魚(yú)和社會(huì)工程方面的模擬測(cè)試；

•營(yíng)造安全至上的SaaS應(yīng)用環(huán)境。

10

監(jiān)控和警報(bào)

監(jiān)控和警報(bào)是指不斷監(jiān)控系統(tǒng)活動(dòng)，并針對(duì)異常事件生成警報(bào)。系統(tǒng)日志、訪問(wèn)活動(dòng)和網(wǎng)絡(luò)流量是監(jiān)控程序主要監(jiān)視的因素。當(dāng)系統(tǒng)識(shí)別出潛在的危險(xiǎn)或可疑行為時(shí)，應(yīng)該立即通知相應(yīng)的管理員。這種預(yù)防方法縮短了攻擊者在安全泄密或系統(tǒng)崩潰時(shí)可能利用的機(jī)會(huì)窗口。在SaaS框架中，這種監(jiān)控管理對(duì)于保護(hù)用戶信息、保持系統(tǒng)順暢運(yùn)行以及防止中斷必不可少。