Bir kuruluşun ağının, sistemlerinin ve verilerinin güvenliğini ve bunlara erişimi iyileştirmenin bir yolu olarak sıfır güven kavramı son yıllarda ilgi görmüştür. Temel öncül, varsayılan olarak hiçbir kullanıcıya veya cihaza güvenilmemesi ve verilere ve kaynaklara tüm erişimin kritik iş gereksinimlerine göre verilmesi gerektiği ve bu tür ihtiyaçların sürekli olarak doğrulanması gerektiğidir.
Sıfır güven, güvenliğe yönelik etkili bir yaklaşım olsa da, özellikle benimsenmesinin hızlı hızı, SaaS uygulamalarının kuruluşlar arasında dağıtılmış mülkiyeti nedeniyle onu bir hizmet olarak yazılım (SaaS) için uygulamaya geldiğinde bazı zorluklar ortaya çıkarabilir. ve bir SaaS satıcısı ile bir müşteri arasındaki paylaşılan sorumluluk modeli.
SaaS güvenlik sorunlarına yönelik geleneksel yaklaşım, SaaS uygulamalarına erişimi yönetmek için bir bulut erişim güvenliği aracısı (CASB) ve/veya kimlik sağlayıcısı (IdP) kullanmak olmuştur. IdP’ler, birçok kuruluş tarafından insan kullanıcıların kimliğini bir uygulamada veya sistemde merkezi olarak doğrulamak için kullanılır ve birçok güçlü kimlik doğrulama yöntemini zorunlu kılar.
Bazı kuruluşlar ayrıca, kullanıcılar ve eriştikleri hizmetler arasına oturmak için bir CASB ekleyerek, yalnızca yetkili kullanıcıların belirli kaynaklara erişebilmesini sağlamak ve kötü niyetli faaliyetlere karşı koruma sağlamak için ayrıntılı güvenlik politikaları ve kontrolleri uygular. Bu birleşik çözümler, sıfır güven ilkelerinin Microsoft 365, Salesforce, ServiceNow ve Workday gibi SaaS uygulamalarına uygulanmasını basitleştirmeye yardımcı olur ve hem kimlik doğrulama hem de yetkilendirme noktalarında erişim ve güvenliği yönetmeyi kolaylaştırır.
Bununla birlikte, CASB’ler ve IdP’ler tek başına veya birlikte, yine de yetersizdir çünkü SaaS uygulamaları, sıfır güven modelini “kırabilecek” işbirliği ve otomasyon unsurları da dahil olmak üzere giderek daha karmaşık hale gelmiştir, örneğin:
- OAuth, API’ler ve düşük/kodsuz – mevcut IdP çözümleri tarafından yönetilmeyen insan dışı kimlikler gibi üçüncü taraf entegrasyonları ve güçlü insan kimlik doğrulama yöntemleri uygulamadan üçüncü taraf sağlayıcılara temel SaaS uygulamalarına doğrudan programatik erişim sağlar
- Dosyaların OneDrive, SharePoint, Google Drive, Box, Dropbox vb. harici ortak çalışanlarla paylaşılmasını, e-postaların harici kullanıcılara iletilmesini ve hassas veri havuzlarının (ör. kaynak kodu havuzları) herkese açık olarak paylaşılmasını sağlayan harici veri paylaşım ayarları
- Yükleniciler, satıcılar ve diğer harici taraflarla işbirliğine izin veren ve kullanıcıların kurumsal kimlik sağlayıcısını ve güvenlik korkuluklarını zorlamadan yönetilmeyen cihazlardan iş açısından kritik kaynaklara erişmesini sağlayan harici kullanıcı kimlikleri
Ek olarak, SaaS uygulamaları geleneksel uygulamalardan çok daha karmaşıktır ve iş kullanıcılarının demokratikleştirilmiş bir modelde BT olmadan bunları yönetme özerkliğine izin verir. Bu SaaS uygulamaları, kullanıcıları geçmişte idari eylemler olarak kabul edilen ve potansiyel yanlış yapılandırmalara neden olan işlemleri gerçekleştirmeye teşvik eder.
Her SaaS uygulamasının kendi izin modeli ve karmaşık yapılandırmaları vardır ve bunların çoğu SaaS uygulamasının güvenlik duruşunu etkileyebilir. Bu, kullanıcıların sıfır güven modelini kırmak için yanlışlıkla SaaS uygulamalarını yapılandırmasını neredeyse kolaylaştırır. Örneğin, birçok kuruluşta Salesforce yöneticileri, iş süreçlerini iyileştirmelerine olanak tanıyan otomasyon betiklerini ve hizmet hesaplarını etkinleştirmek için kiracılarında yerel kullanıcılar oluşturur. Bu tür hesaplar düzgün bir şekilde yapılandırılmazsa, IdP aracılığıyla kimlik doğrulaması yapmadan doğrudan Salesforce’a erişebilir ve dolayısıyla kritik bir güvenlik kontrolünü atlayabilir.
Son olarak, güvenlik ekipleri, SaaS uygulamalarının altında yatan altyapı üzerinde kontrolden yoksundur. Şirket içi sistemleri kullanırken, bir kuruluş donanım, yazılım ve ağ yapılandırması üzerinde tam denetime sahip olur ve bu da güvenlik denetimlerini uygulamayı ve ilkeleri uygulamayı kolaylaştırır. SaaS hizmetlerinin güvenliğini sağlamaya yönelik paylaşılan sorumluluk modeli nedeniyle, altyapı hizmet sağlayıcı tarafından yönetilir ve bu da ona sıfır güven ilkelerinin uygulanmasını imkansız değilse bile daha zor hale getirebilir. Ayrıca, bu güvenlik satıcılarının kim olduğu görülmeden, güvenlik ekiplerinin güvenlik duruşlarını inceleme fırsatı bile olmuyor. Bu, güvenlik ekiplerini SaaS satıcısı tarafından etkinleştirilen ve çoğu durumda istenen ilkeleri uygulamak için yeterli olmayabilen yapılandırmaları yönetmekle sınırlar.
Modern SaaS için ölçeklenebilir bir sıfır güven modeli oluşturmanın anahtarı nedir?
SaaS uygulamalarını günlük olarak benimseyen, yöneten ve kullanan iş kullanıcılarıyla etkileşim ve işbirliği. Güvenlik ekipleri, onlarla yakın bir şekilde çalışarak, kuruluşlarının çeşitli ve karmaşık SaaS ortamındaki tüm uygulamalara ilişkin görünürlük elde edebilir ve SaaS uygulamalarını benimseme ve yapılandırma hızını ya da işletmenin kendi hızını kesintiye uğratmadan sıfır güven güvenlik korkuluklarının yürürlükte olmasını sağlayabilir.
Bu tür bir katılım olmadan, güvenlik ekipleri, SaaS hizmetlerini işi kesintiye uğratmayacak bir şekilde güvenceye almak için kritik olan bu SaaS uygulamalarının günlük iş kullanımıyla ilgili kritik bağlamdan yoksundur. Bununla, iş kullanıcılarından değerli içgörüler elde edebilir, tüm kuruluşu SaaS güvenlik en iyi uygulamaları konusunda eğitebilir ve güvenlik ekibinin dışındakileri SaaS güvenlik iş akışlarına ve süreçlerine çekerek güvenlik kaynaklarını tüm kuruluşa genişletebilirler.