与SaaS应用程序保护相关的任何最佳实践都涵盖外部威胁(环境和人为),由SAAS安全提供商负责,同时客户还需要跟踪任何恶意活动。
人们很容易认为保护 SaaS 从根本上讲是关于用户访问 Web。但是,经过仔细检查,保持SaaS使用安全比看起来要复杂得多。
事实是,没有一劳永逸、一刀切的 SaaS 安全清单。组织各不相同;他们做不同的事情,不同的操作,有不同的要求。也就是说,在SaaS安全性方面需要遵循一些准则。组织的响应应基于其自身的使用情况,但遵循这六个 SaaS 安全最佳实践几乎是通用的,可以正确保护 SaaS 应用程序。
最佳实践 #1:增强的身份验证
首先检查用户如何访问 SaaS 资源是一个明智的起点。但是,由于云提供商可能以不同的方式处理身份验证,因此这可能是一个复杂的过程。一些提供商提供与客户管理的身份提供商集成的选项,例如,通过安全断言标记语言、开放授权或 OpenID Connect 与 Active Directory (AD) 集成,而其他提供商则不提供。某些提供商可能会为客户提供启用多重身份验证的选项,而其他提供商不提供此功能。
最佳实践#2:数据加密
如今,用于与 SaaS 应用程序通信的大多数通道都采用 TLS 来保护传输中的数据。但是,许多SaaS提供商也提供加密功能来保护静态数据。对于某些提供程序,这是一项默认功能;对于其他人,它必须由客户显式启用。若要确定哪些适用于正在使用的服务,团队需要研究可用的安全措施。如果可以选择,则启用数据加密功能是一个好主意。
最佳实践#3:审查和监督
正如组织审查和验证潜在供应商一样,请确保与 SaaS 提供商一起完成此操作。了解使用情况、他们用于提供服务的安全模型以及可用的可选安全功能。
最佳做法 #4:发现和清点
查找当前可能无法跟踪的新 SaaS 使用情况应在每个 SaaS 安全清单上。SaaS 模型最引人注目的方面之一是能够快速部署应用程序。因此,请警惕意外使用。在可能的情况下,使用手动数据收集方法和自动化工具来跟上使用情况,并维护整个组织使用哪些服务以及由谁使用的可靠清单。
最佳实践 #5:考虑 CASB
在 SaaS 提供商无法提供所需安全级别的情况下,请探索云访问安全代理 (CASB) 工具选项。使用 CASB,组织可以在 SaaS 提供商本机未提供的其他控件上分层。这些工具是解决云提供商安全模型中限制的好方法。
最佳实践 #6:保持态势感知
与往常一样,监控 SaaS 使用情况。检查来自内部工具(如 CASB)的数据,以及服务提供商提供的任何日志或其他信息。
重要的是,IT和安全领导者要明白,SaaS产品不仅仅是“另一个网站”。它们是功能强大的工具,需要与任何其他企业应用程序相同程度的安全性。通过采用这些 SaaS 安全最佳实践和系统性风险管理措施,组织可以确保用户安全地使用 SaaS,并确保 SaaS 的使用受到保护。
人们很容易认为保护 SaaS 从根本上讲是关于用户访问 Web。但是,经过仔细检查,保持SaaS使用安全比看起来要复杂得多。