在冠狀病毒疫情蔓延期間，云遷移和SaaS的采用激增。實(shí)際上，根據(jù)最近發(fā)布的一項(xiàng)調(diào)查報(bào)告，疫情使40%的企業(yè)加快了向云平臺的遷移。很多企業(yè)依靠這些平臺和工具的靈活性來提高生產(chǎn)力，而無需考慮員工的工作位置。

[[374037]]

互連環(huán)境

企業(yè)還經(jīng)常將這些應(yīng)用程序連接到關(guān)鍵業(yè)務(wù)流程，以傳輸有價(jià)值的客戶數(shù)據(jù)、個(gè)人身份信息(PII)、財(cái)務(wù)和其他敏感信息，以幫助流程順利運(yùn)行。但隨著越來越多的業(yè)務(wù)流程從內(nèi)部部署擴(kuò)展到云計(jì)算平臺，企業(yè)開始對其互聯(lián)應(yīng)用生態(tài)系統(tǒng)的風(fēng)險(xiǎn)失去可見性。

問題在于，在互連的環(huán)境中，配置錯(cuò)誤的系統(tǒng)或安全漏洞可能會使企業(yè)面臨風(fēng)險(xiǎn)，并且IT、網(wǎng)絡(luò)安全、開發(fā)和審計(jì)團(tuán)隊(duì)越來越難以了解哪些應(yīng)用程序和服務(wù)支持關(guān)鍵業(yè)務(wù)流程，它們是如何相互連接，以及更改如何影響合規(guī)性、安全性、可用性。

隨著遠(yuǎn)程工作成為現(xiàn)實(shí)，現(xiàn)在是提出三個(gè)關(guān)鍵問題的時(shí)候了，以確保企業(yè)都了解潛在風(fēng)險(xiǎn)以及如何降低風(fēng)險(xiǎn)。

1. 錯(cuò)誤配置如何造成風(fēng)險(xiǎn)?

實(shí)施數(shù)字化轉(zhuǎn)型，以及云服務(wù)和API消費(fèi)的穩(wěn)步增長，使得集成和連接來自不同供應(yīng)商的兩個(gè)或多個(gè)不同系統(tǒng)變得異常容易。但無論是使用Salesforce還是SAP公司的API，企業(yè)都可能面臨巨大的風(fēng)險(xiǎn)。

這是因?yàn)樵S多業(yè)務(wù)應(yīng)用程序反映了基于底層技術(shù)構(gòu)建的復(fù)雜工作流和流程。因此，雖然集成很容易，但企業(yè)現(xiàn)在正在使用兩個(gè)高度可配置的應(yīng)用程序融合在一起。能力越強(qiáng)，風(fēng)險(xiǎn)就越大。定制這些應(yīng)用程序可能會引入不同的漏洞，這些漏洞可能會影響集成、身份驗(yàn)證、審核、加密、用戶授權(quán)等領(lǐng)域。

為了識別這些風(fēng)險(xiǎn)，企業(yè)首先需要對底層技術(shù)有更深入的了解。第二步是創(chuàng)建一個(gè)包括云計(jì)算和內(nèi)部部署資產(chǎn)的資產(chǎn)圖，以了解哪些應(yīng)用程序運(yùn)行的環(huán)境以及正在傳輸什么數(shù)據(jù)。

最后，企業(yè)需要依賴安全性和合規(guī)性合作伙伴來分析每個(gè)應(yīng)用程序及其支持的數(shù)據(jù)，以更好地了解保護(hù)和合規(guī)性方面的差距。例如，根據(jù)GDPR法規(guī)中查看人力資源數(shù)據(jù)，根據(jù)SOX查看財(cái)務(wù)信息，或者PCI查看信用卡信息，成為提供某種程度控制的驅(qū)動因素。

歸根結(jié)底，這些不一致可能會危及應(yīng)用程序和數(shù)據(jù)的完整性，而無論部署如何，仍應(yīng)由客戶負(fù)責(zé)數(shù)據(jù)安全，因此，獲得配置控制是必不可少的。

2. 如何才能掌握用戶權(quán)限?

授權(quán)和訪問控制是企業(yè)風(fēng)險(xiǎn)管理和內(nèi)部控制的基本組成部分。誰有權(quán)使用任務(wù)和職責(zé)分離(SoD)是至關(guān)重要的過程，可確保關(guān)鍵職能分散在多名員工或多個(gè)部門中，以減輕欺詐和錯(cuò)誤的風(fēng)險(xiǎn)。

然而，隨著企業(yè)將應(yīng)用程序從內(nèi)部部署環(huán)境轉(zhuǎn)移到云計(jì)算環(huán)境，以及各部門在IT權(quán)限之外購買SaaS應(yīng)用程序，維護(hù)權(quán)限的準(zhǔn)確視圖變得非常困難。此外，惡意攻擊在云計(jì)算應(yīng)用中更為普遍，這使得在應(yīng)用程序中嚴(yán)格控制用戶授權(quán)至關(guān)重要。從內(nèi)部的角度來看，權(quán)限的失效可以使員工或居心不良者能夠輕松地從一個(gè)應(yīng)用程序遷移到另一個(gè)應(yīng)用程序。

由于某些過程跨越多個(gè)應(yīng)用程序，因此關(guān)聯(lián)用戶的能力對于有效控制授權(quán)和SoD至關(guān)重要。為了進(jìn)一步應(yīng)對這種復(fù)雜性，企業(yè)安全團(tuán)隊(duì)還應(yīng)該考慮采用可以在應(yīng)用程序之間提供廣泛用戶活動視圖的技術(shù)，能夠標(biāo)記異常行為或在權(quán)限未經(jīng)許可升級時(shí)發(fā)出警報(bào)。

3. 確保持續(xù)合規(guī)的關(guān)鍵是什么?

Gartner公司預(yù)計(jì)數(shù)據(jù)隱私法規(guī)將會有重大突破，對于運(yùn)行內(nèi)部部署、基于云計(jì)算和SaaS應(yīng)用的企業(yè)來說，合規(guī)性可能是一個(gè)挑戰(zhàn)，許多應(yīng)用程序都受到嚴(yán)格監(jiān)管，以確保個(gè)人身份信息(PII)和財(cái)務(wù)數(shù)據(jù)得到保護(hù)。

傳統(tǒng)上，負(fù)責(zé)確保法規(guī)標(biāo)準(zhǔn)的審核團(tuán)隊(duì)都會進(jìn)行檢查以確保合規(guī)性。如今，諸如人力資源等不同業(yè)務(wù)部門經(jīng)常使用SaaS應(yīng)用程序(例如SuccessFactors和Workday)，由于審計(jì)團(tuán)隊(duì)難以找到真實(shí)的來源，因?yàn)槊總€(gè)應(yīng)用程序通常是相互連接的，因此使人工流程變得更加復(fù)雜。這些人工審核在屏幕截圖和Excel電子表格之間可能花費(fèi)大量時(shí)間和成本，并且只顯示某一“時(shí)間點(diǎn)”的檢查結(jié)果。

自動化是簡化這些繁瑣任務(wù)的關(guān)鍵。良好的解決方案可以智能地分析應(yīng)用程序之間的連接，以全面了解合規(guī)性錯(cuò)誤的根源以及如何解決這些錯(cuò)誤，并推動組織達(dá)到“持續(xù)合規(guī)性”的水平，從而使他們可以簡化整個(gè)業(yè)務(wù)應(yīng)用程序中最關(guān)鍵的控制以節(jié)省成本和時(shí)間，同時(shí)獲取審計(jì)師是否遵守各種法規(guī)的證據(jù)。

SaaS和云計(jì)算應(yīng)用程序已經(jīng)成為數(shù)字化轉(zhuǎn)型的關(guān)鍵因素，使員工無論在哪里工作都能提高工作效率。但是，這些應(yīng)用程序也會帶來嚴(yán)重的合規(guī)性和安全風(fēng)險(xiǎn)，如果處理不當(dāng)，可能會使企業(yè)的數(shù)據(jù)泄露，并且面臨巨額罰款。隨著企業(yè)不斷采用SaaS，他們必須了解這些關(guān)鍵問題，以幫助降低風(fēng)險(xiǎn)、增強(qiáng)安全性，并保持持續(xù)合規(guī)性。