Düzinelerce hatta yüzlerce SaaS uygulamasında güvenliği yönetmek büyük bir baş ağrısı haline geldi. Her aracın kendi ayarları, izinleri ve günlükleri vardır ve çoğu üçüncü taraf risk süreçleri, uygulamanın kendisi değil, yalnızca satıcının genel güvenliğine bakar. Bu, hem ekibiniz hem de tedarikiniz için sınırlı görünürlük ve ekstra iş ile kendi başınıza kapanmanız gereken boşlukları bırakır.
Bulut Güvenlik İttifakı (CSA), bunu yeni bir SaaS Güvenlik Yetenek Çerçevesi (SSCF) ile değiştirmek istiyor. 24 Eylül’de piyasaya sürülen bu çerçeve, SaaS satıcılarının ürünlerine inşa etmesi gereken standart bir güvenlik kontrolü kümesi ortaya koyuyor. SaaS’ı güvence altına almak söz konusu olduğunda herkesin aynı dili konuşmasına yardımcı olmak için MongoDB ve GuidePoint Security gibi şirketleri içeren CSA’nın SaaS Çalışma Grubu’ndan girdi ile oluşturuldu.
Appomni CTO ve SSCF baş yazarı Brian Soby, “SaaS güvenlik yeteneği çerçevesi endüstri için önemli bir adımdır” dedi. “Kuruluşların modası geçmiş risk değerlendirmelerini geçmelerine ve sıfır güven ilkeleri oluşturmalarına yardımcı olacak tutarlı ve çok ihtiyaç duyulan bir standart sunuyor.”
SaaS güvenliğinin neden bir taban çizgisine ihtiyacı var?
SaaS pazarı o kadar hızlı büyüdü ki, satıcıların sunması gereken uygulama düzeyinde güvenlik özellikleri için hiçbir zaman standart olmamıştır. Sonuç bir yetenek patchwork. Bir uygulama size günlük ve ayrıntılı erişim kontrolleri verebilirken, diğeri yalnızca temel bilgileri sunar. Güvenlik ekipleri, her uygulama için farklı araç ve süreçleri dengeliyor, bu da onları yavaşlatıyor ve riski artırıyor.
İşletmeler bu acıyı yeni bir satıcı getirmeye çalıştıklarında hissediyorlar. Her bir yerleşik süreç, özel anketler, uzun inceleme döngüleri ve çok sayıda ileri geri ile benzersiz bir proje haline gelir. Başlangıçlar ters problemle karşı karşıya. İşletmelerin hangi güvenlik özelliklerini beklediğini tahmin etmeleri gerekir, genellikle satın alma kontrollerini geçmek için parça parça bir şeyler inşa eder.
SSCF bunu her iki taraf için de basitleştirmeyi amaçlıyor. İşletmelere satıcıları değerlendirmek ve satıcıların satış sürecine başlamadan önce müşterilerinin ne bekleyeceklerini anlamalarına yardımcı olmak için tutarlı bir yol sunar.
SaaS güvenliğinin altı kilit alanı
SSCF’nin 1.0 sürümü, her biri SaaS güvenliğinin temel bir alanını kapsayan altı alan içerir:
- Kontrol ve Yapılandırma Yönetimini Değiştir (CCC): Değişiklikleri güvenli bir şekilde yönetmek ve yapılandırmaları güvenli tutmak.
- Veri Güvenliği ve Gizlilik Yaşam Döngüsü Yönetimi (DSP): Dosya yüklemeleri ve gizlilik ayarlarını güvenli bir şekilde işleme.
- Kimlik ve Erişim Yönetimi (IAM): Kullanıcıları yönetmek, güçlü kimlik doğrulamasını uygulamak ve erişimi kontrol etmek.
- Birlikte çalışabilirlik ve taşınabilirlik (IPY): Veri ihracatının kontrol edilmesi ve diğer hizmetlerle entegrasyonları yönetmek.
- Günlük ve İzleme (günlük): Müşterilere güvenlik etkinliklerini yakalayan kullanılabilir, zamanında günlükler sunar.
- Güvenlik Olay Yönetimi, E-Keşif ve Bulut Adli Tıp (SEF): Olaylar sırasında iletişim kurmanın yollarını ayarlamak.
Her etki alanı ayrıntılı kontroller içerir. Bazıları MFA’nın uygulanması, anonim erişimi devre dışı bırakma ve 24 saat içinde günlüklerin teslim edilmesi gibi zor gereksinimlerdir. Diğerleri, satıcıların izlemesi gereken en iyi uygulamaları tanımlayan uygulama yönergeleridir.
Paylaşılan sorumluluğa odaklanın
Çerçeve Paylaşılan Güvenlik Sorumluluk Modeli (SSRM) üzerine inşa edilmiştir. SaaS sağlayıcıları bu kontrolleri oluşturmak ve sunmaktan sorumludur. Müşteriler, kullanıcılarını ve verilerini güvence altına almak için doğru şekilde kullanmaktan sorumludur.
Sadece müşterilerin görebileceği ve yapılandırabileceğine odaklanarak, SSCF SOC 2 veya ISO 27001 gibi diğer standartlarla örtüşmekten kaçınır. Örneğin, verilerin istirahatindeki şifreleme satıcının işi olmaya devam eder ve zaten başka bir yerde ele alınır. SSCF, müşterilere erişim politikaları, denetim günlükleri ve kullanıcı etkinliği gibi şeyleri yönetmek için araçlar vermeye odaklanır.
Daha fazla bilgi edin: