對于越來越多的企業(yè)，軟件即服務(wù)（SaaS）已成為訪問重要業(yè)務(wù)應(yīng)用程序的主要手段。從業(yè)務(wù)發(fā)展的角度來看，“上云”的好處有很多，主要包括：節(jié)省成本、提高敏捷性和靈活擴(kuò)展的功能。但是，任何基于云的應(yīng)用都存在安全風(fēng)險。要保障SaaS應(yīng)用的安全性，企業(yè)需要持續(xù)評估和管理駐留在SaaS服務(wù)平臺中的業(yè)務(wù)和數(shù)據(jù)安全風(fēng)險，采用漏洞掃描、滲透測試、威脅檢測等多種安全方法，同時還需要制定合適的安全措施以保護(hù)數(shù)據(jù)。

鑒于如今的安全威脅不斷變幻，企業(yè)組織應(yīng)該從以下方面，加強(qiáng)對SaaS應(yīng)用的安全態(tài)勢管理和數(shù)據(jù)保護(hù)，修煉好SaaS安全應(yīng)用的基本功。

01選擇可信賴的SaaS服務(wù)商

與任何企業(yè)一樣，SaaS服務(wù)提供商也成為惡意軟件和黑客攻擊的重點(diǎn)目標(biāo)，一旦這些服務(wù)商遭受攻擊，往往會城門失火殃及池魚，讓SaaS服務(wù)的用戶受到影響。因此，企業(yè)在計(jì)劃使用云化的SaaS服務(wù)前，應(yīng)該對SaaS服務(wù)商進(jìn)行必要的安全評估，降低業(yè)務(wù)風(fēng)險?？尚刨嚨腟aaS服務(wù)商會提供強(qiáng)大的安全性平臺（SSP），具有統(tǒng)一、自動化的風(fēng)險感知能力，從而可以較好地保護(hù)關(guān)鍵業(yè)務(wù)應(yīng)用程序和數(shù)據(jù)。選擇這類SaaS服務(wù)商，企業(yè)可以降低應(yīng)用風(fēng)險、防止數(shù)據(jù)泄露，并在不影響業(yè)務(wù)開展的情況下處置內(nèi)部威脅。

檢查清單

?是否提供統(tǒng)一的數(shù)據(jù)訪問控制；

?能否防止SaaS生態(tài)系統(tǒng)中的數(shù)據(jù)丟失；

?是否具有云訪問安全代理（CASB）；

?能否全程保護(hù)SaaS；

?事件響應(yīng)能力。

02進(jìn)行數(shù)據(jù)加密

密碼技術(shù)對保護(hù)SaaS應(yīng)用的數(shù)據(jù)安全起到了至關(guān)重要的作用，因?yàn)樗梢詫aaS數(shù)據(jù)轉(zhuǎn)換成攻擊者無法破解的代碼。企業(yè)可以采用靜態(tài)加密或傳輸中加密等加密方式，前者用于保護(hù)存儲在數(shù)據(jù)庫或文件中的信息，后者則用于確保數(shù)據(jù)在傳輸時的安全。企業(yè)需要保護(hù)加密密鑰并使用可靠的加密算法，這樣企業(yè)才能建立起堅(jiān)實(shí)屏障，防止數(shù)據(jù)泄露和泄漏。為了避免受保護(hù)數(shù)據(jù)被非法解密，企業(yè)需要對數(shù)據(jù)進(jìn)行適當(dāng)?shù)墓芾怼?/p>

檢查清單

?是否已加密傳輸中數(shù)據(jù)和靜態(tài)存儲的數(shù)據(jù)；

?是否實(shí)施訪問控制措施和最小權(quán)限原則，以限制數(shù)據(jù)訪問；

?是否定期審計(jì)和審查用戶對數(shù)據(jù)的訪問；

?是否使用了數(shù)據(jù)丟失防護(hù)（DLP）工具，以防止未經(jīng)授權(quán)的敏感信息共享。

03定期開展安全性審計(jì)

作為SaaS安全最佳實(shí)踐的一部分，企業(yè)需要定期系統(tǒng)性地評估SaaS應(yīng)用服務(wù)的安全態(tài)勢與狀況。在此過程中，系統(tǒng)軟件、硬件或操作過程中的漏洞以及違反監(jiān)管標(biāo)準(zhǔn)的行為將被查出并修復(fù)。安全性審計(jì)工作可以由外部組織或內(nèi)部安全部門進(jìn)行，通過評估、測試和分析系統(tǒng)，幫助企業(yè)發(fā)現(xiàn)錯誤、降低風(fēng)險并加強(qiáng)安全。定期開展安全性審計(jì)對于確保持續(xù)長久的SaaS環(huán)境安全至關(guān)重要。

檢查清單

?是否嚴(yán)格遵守了行業(yè)規(guī)則，比如GDPR、HIPAA和PCI DSS；

?審計(jì)和合規(guī)報告是否有序存檔；

?數(shù)據(jù)保存時間和數(shù)據(jù)刪除方法是否準(zhǔn)確。

04實(shí)施多因素驗(yàn)證

使用多因素身份驗(yàn)證（MFA）技術(shù)是保證SaaS應(yīng)用安全性的最佳實(shí)踐之一。為了驗(yàn)證用戶的真實(shí)性，MFA需要知識（密碼）和擁有的憑證（安全令牌或智能手機(jī)應(yīng)用程序）或身份（指紋或人臉識別）。MFA采用多重身份驗(yàn)證級別，能夠大大降低未經(jīng)授權(quán)訪問的危險，即使攻擊者獲得了其中一個身份驗(yàn)證要素也難以竊取數(shù)據(jù)。MFA在SaaS環(huán)境中的有效應(yīng)用非常重要，因?yàn)樗梢苑乐挂驊{據(jù)泄密而對系統(tǒng)進(jìn)行未經(jīng)授權(quán)的訪問，從而增強(qiáng)安全性。

檢查清單

?所有用戶是否都使用了可靠的多因素身份驗(yàn)證（MFA）；

?使用基于角色的訪問控制（RBAC）來處理用戶權(quán)限；

?立即關(guān)閉不使用的賬戶；

?是否經(jīng)常檢查和更改用戶訪問權(quán)限。

05統(tǒng)一身份訪問管理

統(tǒng)一身份和訪問管理（IAM）技術(shù)主要用于控制誰可以訪問SaaS環(huán)境中哪些數(shù)據(jù)，IAM是個整體的術(shù)語，包括用戶身份驗(yàn)證、基于角色的訪問控制和訪問行為審計(jì)等功能。IAM規(guī)則明確了誰有權(quán)訪問，以及可以在什么情況下對SaaS環(huán)境中的應(yīng)用程序、數(shù)據(jù)或功能進(jìn)行訪問。通過實(shí)施嚴(yán)格的IAM規(guī)則，企業(yè)可以基于角色、職責(zé)和業(yè)務(wù)需求來管理用戶訪問，減小未經(jīng)授權(quán)訪問或意外數(shù)據(jù)泄露的危險。

檢查清單

?是否使用受控制的IAM系統(tǒng)；

?添加和刪除用戶實(shí)現(xiàn)自動化；

?是否設(shè)置單點(diǎn)登錄（SSO）以簡化登錄；

?是否應(yīng)用了強(qiáng)密碼措施。

06數(shù)據(jù)備份和災(zāi)難恢復(fù)

在討論SaaS應(yīng)用的安全性時，會經(jīng)常用到數(shù)據(jù)備份和災(zāi)難恢復(fù)等技術(shù)在緊急情況下防止數(shù)據(jù)丟失、損壞或業(yè)務(wù)中斷。數(shù)據(jù)備份便于企業(yè)在系統(tǒng)崩潰或網(wǎng)絡(luò)攻擊時迅速恢復(fù)重要信息。災(zāi)難恢復(fù)計(jì)劃能夠提供在嚴(yán)重中斷（比如故障切換到輔助系統(tǒng)）后重新啟動操作的全面策略。在SaaS環(huán)境中，實(shí)施數(shù)據(jù)備份和災(zāi)難恢復(fù)是保護(hù)企業(yè)聲譽(yù)以及應(yīng)用安全的關(guān)鍵防線。

檢查清單

?是否定期自動備份SaaS數(shù)據(jù)；

?測試數(shù)據(jù)恢復(fù)流程，以驗(yàn)證數(shù)據(jù)完整性；

?是否制定災(zāi)難恢復(fù)計(jì)劃，防范SaaS應(yīng)用程序中斷。

07應(yīng)用程序開發(fā)安全

SaaS應(yīng)用程序的安全性強(qiáng)調(diào)了在整個應(yīng)用軟件開發(fā)管控流程中加入安全控制措施的重要性。開發(fā)人員不應(yīng)該將安全視為次要問題，而是從代碼編寫時就作為主要問題。這對開發(fā)者提出了多個要求，包括定期執(zhí)行代碼審查、漏洞評估和滲透測試，以盡快檢測和修復(fù)安全漏洞。

開發(fā)人員需要接受安全編程方法和安全測試方面的培訓(xùn)，這樣可以有效地保護(hù)客戶免受網(wǎng)絡(luò)攻擊，并贏得客戶的信任和信心。

檢查清單

?是否能夠及時了解SaaS應(yīng)用程序的安全更改和補(bǔ)??；

?是否及時更新補(bǔ)丁，以堵住安全漏洞；

?在打補(bǔ)丁之前，先在非生產(chǎn)環(huán)境中進(jìn)行測試。

08做好端點(diǎn)安全防護(hù)

端點(diǎn)安全主要保護(hù)用于訪問SaaS程序的各個終端設(shè)備和應(yīng)用。聯(lián)網(wǎng)的PC、平板電腦、手機(jī)及其他任何設(shè)備都屬于端點(diǎn)安全防護(hù)的范疇。防病毒程序、防火墻和加密VPN是保護(hù)端點(diǎn)數(shù)據(jù)安全的常用工具，可以防止未經(jīng)授權(quán)的設(shè)備或網(wǎng)絡(luò)對SaaS基礎(chǔ)設(shè)施發(fā)動攻擊。端點(diǎn)安全通過阻止未經(jīng)授權(quán)的用戶并降低惡意軟件攻擊的可能性，幫助企業(yè)保護(hù)其SaaS應(yīng)用程序及其存儲的數(shù)據(jù)。

檢查清單

?是否保護(hù)了用于訪問SaaS應(yīng)用程序的計(jì)算機(jī)和移動設(shè)備；

?是否使用防病毒和反惡意軟件工具來保護(hù)計(jì)算機(jī)；

?設(shè)置丟失或被盜后是否可以遠(yuǎn)程鎖定或刪除。

09網(wǎng)絡(luò)安全意識培養(yǎng)

網(wǎng)絡(luò)安全意識強(qiáng)調(diào)了對員工和用戶進(jìn)行安全風(fēng)險和最佳實(shí)踐方面的教育。即使采用了最先進(jìn)的技術(shù)防護(hù)措施，人為失誤仍是一大風(fēng)險。定期培訓(xùn)員工可以更好地識別和應(yīng)對網(wǎng)絡(luò)釣魚和惡意軟件攻擊。只有倡導(dǎo)注重安全意識的企業(yè)文化，SaaS應(yīng)用的服務(wù)商和用戶才能降低意外內(nèi)部攻擊的可能性，推廣更安全的使用模式，并加強(qiáng)其產(chǎn)品的安全性。

檢查清單

?是否定期對員工進(jìn)行網(wǎng)絡(luò)安全意識培訓(xùn)；

?是否對用戶進(jìn)行網(wǎng)絡(luò)釣魚和社會工程方面的模擬測試；

?營造安全至上的SaaS應(yīng)用環(huán)境。

10監(jiān)控和警報

監(jiān)控和警報是指不斷監(jiān)控系統(tǒng)活動，并針對異常事件生成警報。系統(tǒng)日志、訪問活動和網(wǎng)絡(luò)流量是監(jiān)控程序主要監(jiān)視的因素。當(dāng)系統(tǒng)識別出潛在的危險或可疑行為時，應(yīng)該立即通知相應(yīng)的管理員。這種預(yù)防方法縮短了攻擊者在安全泄密或系統(tǒng)崩潰時可能利用的機(jī)會窗口。在SaaS框架中，這種監(jiān)控管理對于保護(hù)用戶信息、保持系統(tǒng)順暢運(yùn)行以及防止中斷必不可少。

參考鏈接：https://gbhackers.com/saas-security-checklist/