زمان اولویت بندی امنیت SaaS فرا رسیده است

آیا تمرکز ما بر امنیت IaaS به قیمت امنیت SaaS تمام شد؟ بدانید که باید در برابر چه چیزی محافظت کنید، به خصوص مجوزهای بیش از حد کاربر و UI ها، API ها و ادغام های پیکربندی نادرست.

ما به دنبال تقویت امنیت برای ابرهای زیرساخت به‌عنوان سرویس هستیم، زیرا آن‌ها بسیار پیچیده هستند و قطعات متحرک زیادی دارند. متأسفانه، بسیاری از سیستم‌های نرم‌افزار به‌عنوان سرویس که برای بیش از ۲۰ سال استفاده می‌شوند، اکنون در فهرست اولویت‌های امنیت ابری قرار گرفته‌اند.

سازمان‌ها در مورد امنیت SaaS مفروضات زیادی ایجاد می‌کنند. در اصل، سیستم‌های SaaS برنامه‌هایی هستند که از راه دور اجرا می‌شوند، با داده‌های ذخیره شده در سیستم‌های پشتیبان که ارائه‌دهنده SaaS از طرف مشتری رمزگذاری می‌کند. حتی ممکن است ندانید که چه پایگاه داده ای داده های حسابداری، CRM یا موجودی شما را ذخیره می کند – و به شما گفته شد که واقعاً نباید به آن اهمیت دهید. پس از همه، ارائه دهنده کل سیستم را برای شما اجرا می کند، و کاربران و مدیران فقط از طریق برخی از مرورگرهای وب از آن استفاده می کنند. در واقع، SaaS به این معنی است که شما بسیار دورتر از سایر اشکال محاسبات ابری از مؤلفه‌ها انتزاع شده‌اید.

SaaS، همانطور که در بیشتر مطالعات بازاریابی نشان داده شده است، بزرگترین بخش از بازار رایانش ابری است. این به خوبی درک نشده است زیرا این روزها تمرکز بر روی ابرهای IaaS مانند AWS، مایکروسافت و گوگل است که توجه را از دنیای عمدتاً تکه تکه ابرهای SaaS که عمدتاً فرآیندهای تجاری خدماتی هستند که از طریق آنها به آن دسترسی دارید، جلب کرده اند. یک مرورگر اما SaaS هم‌اکنون شامل سیستم‌های پشتیبان‌گیری و بازیابی و سایر سرویس‌هایی است که بیشتر شبیه IaaS هستند اما با استفاده از رویکرد SaaS برای محاسبات ابری ارائه می‌شوند. آنها شما را از پرداختن به تمام جزئیات نابسامان حذف می کنند، کاری که ابر باید انجام دهد.

من گمان می‌کنم که امنیت ابری SaaS به محض اینکه چند نقض خوب منتشر شده در رسانه‌ها منتشر شود، اولویت بیشتری پیدا کند. شما می توانید شرط بندی کنید که این موارد واقعاً رخ می دهند، اما مگر اینکه عموم مردم مستقیماً تحت تأثیر قرار گیرند، معمولاً نقض ها به یک بیانیه مطبوعاتی نمی رسند.

وقتی نوبت به امنیت SaaS می‌رسد، باید به چه چیزی توجه کنیم؟

مشکلات امنیتی SaaS اصلی خطای انسانی است. تنظیمات اشتباه زمانی رخ می دهد که مدیران به طور مکرر به کاربر حقوق دسترسی یا مجوز اعطا می کنند. افرادی که شاید نباید به آنها حقوق اعطا می شد، ممکن است در نهایت رابط های SaaS مانند API یا دسترسی رابط کاربری را به اشتباه پیکربندی کنند. اگرچه در صورت محدود شدن حقوق، این مسئله چندان مشکلی ایجاد نمی کند، اغلب افرادی که تنها به دسترسی ساده به داده ها به یک موجودیت داده واحد (مانند موجودی) نیاز دارند، به همه داده ها دسترسی دارند. این می تواند برای نقض مخرب داده مورد سوء استفاده قرار گیرد که بسیار قابل اجتناب است.

معمولاً این مشکل مربوط به دسترسی به داده است که فروشنده SaaS از طریق رابط های کاربر و دسترسی API فراهم می کند. با این حال، مشکلاتی نیز با لایه‌های یکپارچه‌سازی داده‌ها که مشتریان SaaS برای همگام‌سازی داده‌ها در فضای ابری SaaS با سایر پایگاه‌های اطلاعاتی میزبان ابری IaaS نصب می‌کنند، یا به احتمال زیاد، بازگشت به سیستم‌های قدیمی که هنوز در داخل نگهداری می‌شوند، به وجود می‌آیند. این لایه‌های یکپارچه‌سازی داده‌ها اغلب به‌راحتی به دلیلی که ذکر شد، یعنی سوءاستفاده از حقوق دسترسی، نقض می‌شوند. خود لایه‌های یکپارچه‌سازی داده‌ها، که بسیاری از آنها نیز توسط SaaS ارائه می‌شوند، ممکن است دارای آسیب‌پذیری باشند. در هر صورت، داده های شما همچنان نقض می شود.

درک سایر مسائل امنیتی آسانتر است. یکی از کارمندان تصمیم می گیرد تا برخی از ناراحتی های شرکت را برطرف کند و بیشتر داده های میزبانی شده توسط SaaS را در یک درایو USB کپی کرده و آن را از ساختمان حذف می کند. مانند اعطای امتیازات دسترسی بیشتر از نیازهای شخصی، این موضوع به راحتی با محدودیت ها و آموزش بیشتر برطرف می شود.

از طرف ارائه‌دهندگان SaaS، مشکلاتی شامل عدم شفافیت، مانند خروج کارکنان خود از ساختمان با داده‌های مشتری، یا نقض‌هایی که گزارش نشده است، می‌شود. غیرممکن است که بدانید چند مورد از این موقعیت‌ها رخ داده‌اند، اما اگر به شما گزارش صفر داده‌اید، ممکن است نشانه‌ای از این باشد که ارائه‌دهنده SaaS شما اطلاعاتی را که ممکن است برای آن‌ها مضر باشد نگه می‌دارد.

امنیت SaaS یک رویکرد قدیمی و جدید و پشته فناوری است. این اولین امنیت ابری بود که روی آن کار کردم، و از آن زمان تاکنون راه زیادی را پیموده ایم. با این حال، امنیت SaaS به اندازه سایر حوزه‌های امنیت ابری، بودجه، عشق یا آموزش دریافت نکرده است. ممکن است زمانی هزینه آن را بپردازیم، مگر اینکه اکنون موارد را اصلاح کنیم.