已經授權和未授權的SaaS解決方案的廣泛應用帶來了重大的安全風險。現在是企業制定管理這些風險的策略的時候了。

　　SaaS的采用量如今遠遠超過IaaS。盡管如此，很多企業通常只專注于基礎設施安全。他們還應該考慮SaaS治理計劃，實施安全措施，以降低與SaaS使用相關的風險。該計劃包括合規性框架、文件/盡職調查以及持續監測和降低風險的技術措施。

　　圍繞云采用的大部分安全討論都集中在IaaS和PaaS提供商上，例如AWS、MicrosoftAzure和GoogleCloud等公司，這是有充分理由的。很多企業經歷了IaaS采用的巨大增長，并看到了大量與IaaS錯誤配置相關的安全漏洞事件。

　　然而，SaaS實施不力和安全性差所帶來的風險卻被忽視了。根據調研機構Gartner公司的預測，SaaS仍將是最大的公有云細分市場，該預測是在新冠疫情發生之前做出，這表明已經出現了前所未有的SaaS發展熱潮。此外，企業通常傾向于僅使用少數IaaS提供商的產品，例如三大云計算服務提供商(CSP)，同時還使用更多SaaS產品。Blissfully公司在2020年進行的一項研究發現，大型企業使用多達288種不同的SaaS應用程序，中小型企業(SMB)使用的應用程序超過100種。

　　雖然一些企業可能開始完善其IaaS安全性，但對于更廣泛和多樣化的SaaS環境而言，情況可能并非如此。這一現實也使得SaaS提供商的影子IT使用情況比IaaS提供商更普遍，因為市場上有大量SaaS產品，而且可以輕松地使用它們，通常只需支付費用就可以實施。

　　Zylo公司進行的一項研究發現，企業平均每月添加了10種SaaS產品，而IT團隊僅能直接管理其中的25%。這意味著沒有進行管理的SaaS產品將面臨很多風險。盡管SaaS使用量呈指數級增長，但AppOmni公司的一項研究發現，只有32%的受訪者使用工具來確保SaaS中的數據安全。

　　盡管SaaS被廣泛采用，但為什么企業仍然幾乎只關注IaaS安全問題?其中一些原因是由于誤解了責任共擔模型并假設在SaaS環境中云計算服務商負責所有事情。另一個原因是，安全團隊只是在努力跟上企業的云計算使用率以及廣泛的高調IaaS數據泄露的影響。

　　主要的IaaS供應商提供明確的認證和學習路徑，確保專業人士可以學習如何保護他們的平臺并證明這一點。而SaaS供應商并不提供相同的服務。作為安全專業人員，必須繼續發展，直到SaaS產品的安全發展成熟，可以開始緩解未解決的風險。

　　管理SaaS風險的方法

　　為SaaS使用實施安全性應該是數據驅動的。這意味著要查看SaaS產品可以訪問的內部數據、企業內部的訪問級別，以及如果這些數據被無意中暴露或惡意泄露，可能產生的安全和監管后果。這對于在家遠程工作的員工來說尤其如此，因為他們可以通過自己的設備從任何地方訪問數據。

　　該流程的第一步是捕獲企業員工正在使用的SaaS。根據企業的成熟度和技術架構，這可能是人工實施的庫存管理流程，也可能需要云訪問安全代理(CASB)等技術工具，這有助于識別影子SaaS的使用。

　　當企業開始對其SaaS使用進行嚴格的安全檢查時，他們往往會采取兩種方法：一種側重于安全框架，如SOC2、PCI和FedRAMP以及文檔審查。另一種側重于技術評估、強化和持續監控。

　　框架、文檔和報告

　　當企業開始為其審查SaaS產品時(最好是在購買和實施之前)，它往往會涉及流行的框架，例如SOC2、CSACCM和STAR/CAIQ或FedRAMP。

　　SOC2越來越成為SaaS提供商的主要選擇，因為它有助于驗證企業與安全性、可用性、機密性、完整性和隱私相關的內部控制。另一個主要的選擇是云安全聯盟(CSA)的共識評估倡議問卷(CAIQ)，它記錄了XaaS產品中存在哪些控制措施，并與云安全聯盟(CSA)的云控制矩陣(CCM)(一種特定于云計算的安全控制框架)相關聯。在公共部門方面，美國聯邦風險和授權管理計劃(FedRAMP)被廣泛用作授權云計算服務產品(CSO)供政府使用的一種方式，并使用NIST800-53安全控制。

　　企業通常會這樣做，并且應該要求獲得這些認證，因為它們通常包括第三方評估組織(3PAO)流程，其中第三方驗證SaaS組織及其產品是否滿足特定級別的安全要求。這為企業提供了一定程度的保證，即SaaS產品并非完全不安全，并且企業正在圍繞其自己的基礎設施以及如何處理和存儲客戶數據實施基本的安全措施。

　　選擇使用哪種框架在很大程度上取決于企業運營所在的行業以及SaaS供應商的成熟度。考慮這些框架可能會耗費大量時間和資源，而初創SaaS供應商通常不會追求認證，直到他們發展成熟，并且客戶要求獲得認證。還有一個現實是，由于市場上SaaS產品的數量呈指數級增長，一些主要的合規性計劃根本沒有跟上發展步伐，例如FedRAMP。

　　如果SaaS供應商沒有認證或審核，或者即使他們有認證或審核，并且企業將為他們使用的數據高度敏感，企業可能希望深入了解他們的文檔和其他標準，以檢查其適用性。這可能包括內部或外部滲透測試的結果，以及圍繞架構、身份驗證、加密等方面的討論。這些附加活動有助于為企業提供與使用特定SaaS產品的風險相關的保證級別。

　　SaaS覆蓋范圍/功能

　　雖然框架在審查SaaS產品方面是一個很好的開端，但它只是一個開始。企業還應該考慮技術控制、配置和監控作為SaaS治理策略的一部分。每個SaaS產品都有很多獨特的功能、配置和設置，從安全角度來看，企業員工并不熟悉這些功能、配置和設置。

　　進入SaaS安全狀況管理(SSPM)工具，該工具可監控企業的SaaS應用程序的安全狀況。AppOmni和Obsidian是最流行的一些SSPM工具。還有一些供應商提供一些領先的??SaaS產品，例如Box、GitHub、Salesforce和Slack。

　　他們精心設計了安全配置、安全掃描、最佳實踐和建議，以幫助企業加強其SaaS使用。其中許多產品盡可能利用行業資源，例如SaaS產品的CIS基準，包括Microsoft365和GoogleWorkspace，這兩者都可能包含敏感數據。

　　這些強化工作有助于保護企業免受常見的安全問題的影響，例如帳戶泄露、不安全的配置、合規性和訪問管理。他們還可以幫助進行事件響應。這非常有價值，因為企業的員工可能并不具備采用SaaS應用程序所需的特定安全洞察力和專業知識。SSPM供應商不斷為其覆蓋范圍添加更多SaaS產品，并且根據企業的規模，可以幫助制定他們的產品路線圖，以涵蓋在企業中廣泛使用的SaaS。

　　除了技術安全問題外，企業還必須關注SaaS范式中的合規性。共同責任模型在這里仍然適用。

　　AppOmni等平臺可以幫助自動執行與PCI、HIPAA、GDPR和NIST等廣泛適用的框架相關的關鍵合規性控制。對于企業來說，在可能有數百個SaaS應用程序中保持對這些框架的持續合規性是站不住腳的，而這正是增強這些努力的技術解決方案真正發揮作用的地方。