在當(dāng)下攻擊者和惡意行為橫行的網(wǎng)絡(luò)時(shí)代里，大部分企業(yè)都需要將云端配置的安全性作為一個(gè)重要先決條件。

[[389955]]

不僅如此，SaaS安全配置管理(SaaS Security Posture Management, SSPM)也是如今企業(yè)安全的重點(diǎn)。最近，Malwarebytes就自己因SolarWinds泄露事件遭到國(guó)家黑客攻擊的事件發(fā)布了聲明，他們的調(diào)查中也提及了對(duì)Microsoft Office 365和Azure環(huán)境的特權(quán)接入濫用情況。

很多時(shí)候，SaaS并未處于保護(hù)之下，但是像配置錯(cuò)誤、不合適的協(xié)議、缺乏身份驗(yàn)證、憑證接入問(wèn)題、密鑰管理等SaaS配置錯(cuò)誤會(huì)讓企業(yè)難以防范賬號(hào)劫持、內(nèi)部威脅等其他攻擊。

Gartner在2020年的技術(shù)成熟度曲線中將SSPM定義為能持續(xù)評(píng)估安全風(fēng)險(xiǎn)以及管理SaaS應(yīng)用的安全配置的解決方案。許多人沒(méi)有意識(shí)到，保護(hù)企業(yè)SaaS應(yīng)用需要從兩面進(jìn)行。

雖然說(shuō)SaaS的供應(yīng)商確實(shí)提供了一部分安全能力，保護(hù)企業(yè)和用戶(hù)數(shù)據(jù)，依然會(huì)因?yàn)槠髽I(yè)對(duì)配置和使用者角色的管理產(chǎn)生安全隱患和配置缺陷。

即使是最佳情況，安全團(tuán)隊(duì)的人員需要每天手動(dòng)檢查和修復(fù)設(shè)置，而在軟件升級(jí)、新用戶(hù)添加或者新應(yīng)用上線的時(shí)候，又得回頭再做一遍;而最差的情況，企業(yè)完全無(wú)視這些威脅，盲目地運(yùn)營(yíng)——畢竟他們無(wú)法從自己看不到的東西中保護(hù)自己。

從這點(diǎn)來(lái)看，一個(gè)合適的SSPM解決方案需要對(duì)企業(yè)的SaaS配置提供可視化、檢測(cè)和修復(fù)能力，幫助安全團(tuán)隊(duì)節(jié)省大量的時(shí)間，減少工作量和壓力。

SSPM解決方案需要對(duì)所有SaaS應(yīng)用提供主動(dòng)、可持續(xù)的自動(dòng)化監(jiān)測(cè)?？梢酝ㄟ^(guò)內(nèi)置的知識(shí)庫(kù)把握當(dāng)下SaaS的最高安全級(jí)別，從而達(dá)成快速部署和易于使用的特點(diǎn)。

SSPM解決方案還需要提供：

• 24/7監(jiān)控：SaaS的配置并非一次評(píng)估就結(jié)束了;一旦策略被制定，應(yīng)該要持續(xù)地監(jiān)控和應(yīng)用。
• 超過(guò)40種集成：盡管說(shuō)部分應(yīng)用相比其他應(yīng)用使用頻率更高，但是任何的錯(cuò)誤配置或者錯(cuò)誤的用戶(hù)權(quán)限和特權(quán)都會(huì)產(chǎn)生安全缺口，造成信息泄露。因此，企業(yè)需要監(jiān)控所有的SaaS應(yīng)用，包括視頻會(huì)議平臺(tái)、客戶(hù)支持工具、HR管理系統(tǒng)、面板、工作空間、文件分享應(yīng)用、通信應(yīng)用、市場(chǎng)平臺(tái)等等。
• 修復(fù)：發(fā)現(xiàn)問(wèn)題只是一部分，而修復(fù)是防止SaaS配置錯(cuò)誤風(fēng)險(xiǎn)的關(guān)鍵下一步。部分解決方案可以建立故障單，然后直接發(fā)給相關(guān)人員進(jìn)行修復(fù);在某些簡(jiǎn)單場(chǎng)景下，還能直接從SSPM操作臺(tái)修復(fù)。
• 內(nèi)置安全框架以及基線：SSPM需要可以基于企業(yè)自身的策略、行業(yè)合規(guī)標(biāo)準(zhǔn)和最佳實(shí)踐進(jìn)行風(fēng)險(xiǎn)檢查。
• 快速易部署：SSPM需要能夠快速接入企業(yè)的SaaS應(yīng)用生態(tài)系統(tǒng)，然后能在數(shù)分鐘內(nèi)將企業(yè)面臨的安全風(fēng)險(xiǎn)易于理解地展示在面板上。
• 為安全團(tuán)隊(duì)而建，卻被所有業(yè)務(wù)相關(guān)所用：SSPM最好能夠簡(jiǎn)潔、直觀，能讓安全團(tuán)隊(duì)輕松就看到、監(jiān)測(cè)和修復(fù)他們公司所有的SaaS配置情況以及用戶(hù)角色信息。另一方面，系統(tǒng)最好能夠讓安全團(tuán)隊(duì)將特定SaaS應(yīng)用關(guān)聯(lián)給特定擁有者，從而能讓這個(gè)擁有者不僅能對(duì)SaaS應(yīng)用有可視化能力，還可以對(duì)應(yīng)用直接修復(fù)，免去安全團(tuán)隊(duì)的工作負(fù)擔(dān)。

企業(yè)的安全性系于SaaS安全配置或者用戶(hù)角色的最薄弱環(huán)節(jié)，而企業(yè)恰恰有可能有著許多SaaS配置錯(cuò)誤，以及不合適的使用者角色以及特殊權(quán)限。

點(diǎn)評(píng)

“上云”和“快速迭代”可以說(shuō)是當(dāng)下IT當(dāng)中的兩個(gè)熱詞。但是無(wú)論是上云還是快速迭代，都對(duì)傳統(tǒng)的安全模式帶來(lái)了挑戰(zhàn)：上云意味著會(huì)有新的網(wǎng)絡(luò)結(jié)構(gòu)和環(huán)境，快速迭代意味著IT環(huán)境不再一成不變。而這兩者的結(jié)合就對(duì)企業(yè)的安全帶來(lái)了新的挑戰(zhàn)。企業(yè)可以根據(jù)自己的需求，適當(dāng)開(kāi)始考慮如何對(duì)自己的云端引用布防。