2021年的SaaS安全

E安全12月30日讯    据报道，通过SaaS业务模式向基于订阅的服务的迁移已成为常态，它是从本地数据中心、应用程序等大规模转移的一部分，这种转移已经进行了多年。新冠疫情的流行加速了这一转变，随着公司寻找虚拟协作和会议工具，SaaS订阅数量也随之增加。

1

‍未来一年，与应用程序交互的新方式需要对安全架构进行新的思考。SaaS访问的IP白名单只适用于员工在访问云解决方案之前先登录网络的情况，但直接连接到云解决方案的趋势正在增加。

它将以云本地解决方案回应，重申对关键功能的控制，如补丁管理、配置管理和终端保护设备，没有连接到公司网络。他们还将寻找BYOD安全策略，并采用更现代的安全架构方法，包括基于云的安全和访问管理保护，如与SaaS应用程序的多因素身份验证和联合。

2021年的额外安全架构措施可能包括审查SIEM日志集成以及与云访问安全代理的合作。IT部门通过安全体系结构在安全策略实施和业务需求之间取得平衡是至关重要的。

2

‍‍‍‍‍‍IT领导者很清楚，未经审查的SaaS解决方案会带来各种风险，包括敏感信息的暴露、数据所有权问题和法规遵从性问题。2021年，更多的公司将发现，这需要采取多学科战略。

主动的治理方法需要一个过程，包括一个多学科团队，该过程确保可见性，并直接处理风险，使风险暴露在可接受的级别内。公司必须根据完整性、机密性和可用性对数据进行分类，以在安全性和成本之间找到理想的平衡，并确定可接受的风险级别。

云服务提供商与公司共同承担保护数据安全的责任，因此明确谁对什么负责是很重要的。公司通常管理用户访问、终端设备和数据，而SaaS供应商则监督应用程序、虚拟机、数据库等。

为了实现他们的治理目标，IT领导者将寻找提供多种配置选项的SaaS供应商，包括密码设置/身份联合和授权模型，以及可用性计划，以满足与恢复时间和恢复点相关的目标。

3

‍‍‍‍‍‍考虑到员工正在采用的云解决方案数量之多，将供应商的安全措施与公司在每一点上的定义要求进行比较是一项艰巨的任务。2021年，公司将更有可能从更高的层面来评估和重新评估供应商，比如供应商的安全认证和保证报告(ISO 27001, SOC1/SOC2等)。

IT领导者还将依赖问卷来记录安全实践，使用来自云安全联盟等组织的最佳实践来定义需求。测试也将发挥作用，要么是通过供应商共享的第三方渗透测试，要么是供应商愿意满足客户进行自己测试的要求。

公司应该意识到，许多SaaS提供商将使用子提供商，如AWS、微软Azure或谷歌云，来承载他们的服务。这将带来许多好处，因为SaaS提供者可以利用这些提供者的构建安全功能。与此同时，SaaS用户应该评估SaaS供应商在与底层云提供商交互时是否履行了保护数据安全的职责。

此外，它将要求供应商升级客户的功能，包括识别联邦或密码设置、定义用户角色、隔离职责等能力。它还需要在必要时以一种安全的方式进行系统到系统集成的能力，并确保数据位置满足任何适用的法规要求，例如遵守GDPR。