如何为企业的SaaS用户通信构建安全性

如何为企业的SaaS用户通信构建安全性-51CTO.COM

​现代SaaS应用程序提供商每天都在处理敏感的用户信息，从客户姓名和电子邮件地址到应用程序代码和第三方API机密。因此，对于Web应用程序而言，遵守最高安全标准比以往任何时候都更加重要，这不仅是为了维护企业声誉和避免经济损失，而且也是为了保护用户的利益。

客户通信是SaaS安全性中经常被忽视的组成部分之一。以下将介绍企业应该密切关注客户通信的安全性的原因，并对企业发送给用户的电子邮件、推送通知和其他通信实施严格的安全措施。此外还提供一些建议，帮助企业走上安全之旅。

现代SaaS应用程序中的安全性是什么样的?

许多现代SaaS应用程序托管在云平台上，并通过Web界面和API访问。他们还可能依赖第三方托管服务，例如通过AWS公司提供的云服务。此类服务的示例包括数据库、计算资源和机器学习模型的部署。在为应用程序设计安全控制时，需要考虑所有这些组件。

在传统的内部部署软件中，软件供应商只开发软件，而不负责托管或信息存储服务。软件的最终用户(或者更确切地说是他们的IT部门)在部署他们购买的软件时负责其数据的安全。然而在云中的数据安全由SaaS提供商负责。SaaS应用程序可以成为最终用户应用程序堆栈的核心部分，并因此处理个人识别信息(PII)，例如客户和员工记录、应用程序代码或第三方机密和API密钥。因此，针对当今SaaS服务的专门安全措施对于保护所有敏感信息至关重要。

在云中运行的早期SaaS应用程序需要哪些类型的安全措施?在理想情况下，应用程序应该从一开始就以安全思维方式构建。如果企业的应用程序依赖于云服务商或其他服务提供商，尤其是AWS等云计算巨头，他们将拥有严格的安全性。但是企业需要确保其应用程序和云计算提供商之间的每个可能的连接点都受到保护，应该明确描述这些云服务商的责任和数据所有权。企业需要检查云计算云提供商的文档以了解安全最佳实践，并始终遵循这些实践。

企业需要在应用程序和基础设施中实施的措施包括加密(对数据进行加密，以便只有拥有正确密钥的人才能解密信息)和令牌化(将敏感信息交换为使用的令牌)。虽然令牌化或加密不能保证完全防止违规，但它们可以防止实际可用的信息在发生数据违规时被盗。

所有客户数据也应该进行安全备份。对于企业而言，数据丢失事件可能与网络攻击事件一样糟糕，因此从现代SaaS应用程序中的备份恢复信息的能力对于成功的服务恢复至关重要。

为了快速响应任何事件或安全漏洞并及早预防问题，还需要对整个基础设施进行持续监控。

为什么安全性对于客户沟通尤为重要

SaaS提供商的客户通信基础设施必须能够访问姓名、电子邮件和电话号码等个人识别信息(PII)，以便能够向其用户发送任何有价值的信息，并保持他们的参与。因为如果恶意行为者设法获取个人信息，他们可以非常有效地使用这些信息，因此需要保护用户数据。任何客户数据的泄露，无论是由恶意行为者故意造成的，还是由SaaS公司本身无意造成的，都可能对所有相关方造成灾难性的后果。

政府意识到企业处理个人识别信息(PII)会有数据泄露的风险，制定了保护客户数据的指导方针。例如在欧盟，通用数据保护条例(GDPR)于2018年生效。它概述了安全管理用户数据的具体准则，以及如果企业不遵守这些准则将受到的处罚。例如加利福尼亚州颁布了2018年《加利福尼亚州消费者隐私法》(CCPA)，以使该州居民能够更好地控制企业收集和处理客户个人信息的方式。其严格的规定类似于GDPR法规。2021年，弗吉尼亚州也效仿严格的隐私法，授权《消费者数据保护法》(CDPA)于2023年生效。

SaaS提供商必须比以往任何时候都更加关注数据保护和安全性，这不仅要保护他们的业务和用户的数据，还要避免对可能被阻止的违规行为进行大规模处罚。

与通信相关的安全漏洞有多常见?

安全漏洞的数量和范围逐年增长，并且自从转向远程工作以来显著增加。根据身份盗窃资源中心2022年的一项研究，2021年的数据泄露数量比2020年高出68%，比之前的历史最高水平高出23%。这一增长是惊人的。他们研究中的有趣的一点是，受害者的数量实际上已经减少，据称是因为黑客更加关注商业机密和专业数据。

2021年8月，Microsoft Exchange电子邮件服务器被黑客通过安全漏洞进行攻击。在微软公司知道这些漏洞的几个月内，这些漏洞并没有得到修复，而且微软公司自己的客户也没有被适当地告知这些漏洞的严重性。另外，在过去的几年中，微软的Office 365服务出现了大量恶意获取机密信息的鱼叉式网络钓鱼攻击。

在2022年3月18日，企业用来管理营销和销售的CRM工具Hubspot通过员工账户遭到黑客攻击。行业媒体在3月的报道，专门为企业提供云计算软件用于访问管理的Okta公司在两个月前就遭到了黑客攻击。Okta公司将违规行为归咎于一家提供客户支持并获得Okta内部信息访问权限的签约公司。

解决通信安全问题的最佳方法是什么?

随着黑客不断改进其攻击方法，云计算应用程序的安全性也越来越突出，例如互联网安全中心的控制v8指南，针对最佳安全实践的建议也在不断制定。针对客户通信的严格安全实践(如通知)尤其重要，因为它们是黑客利用未察觉用户进行攻击的很容易的切入点。

作为通知提供者，安全服务商在安全措施方面投入了大量精力。以下分享了有关一般安全控制最佳实践的主要建议。

(1) 内部审核和流程

第一个建议是在企业内建立内部审查和流程，这可以是安全审查清单的形式。内部审查应涵盖密码创建和多因素身份验证、特权访问管理和一般访问控制，以及新员工入职流程的政策。更具体地说，审核企业的员工在内部的访问权限，将访问权限限制在需要知道的基础上，并为对特权帐户的任何受限访问设置批准工作流程。最后，确保企业的员工使用多重身份验证并创建强密码。

安全审查清单还应包括评估基础设施的范围，例如网络、设备以及与第三方提供商的任何其他连接。在企业进行评估时，为问题或违规创建事件响应计划，并使用它们来检测其基础设施中任何可能的漏洞。确保定期测试这些事件响应计划，以确保它们保持最新状态。

这些步骤应该被合并到企业的文档中，作为它们正在实施的过程的证明。而拥有清晰的文档意味着员工更有可能遵守企业的安全协议。

当企业为上述项目编写文档和具体审查流程时，还应为公众定义其隐私政策。在发生违规之前，让企业的用户了解其收集和处理的数据以及这对他们意味着什么可能会有所帮助。

(2) 持续监控

第二个建议是对企业的基础设施进行持续监控。如果没有进行监控，企业对安全漏洞的响应可能为时已晚。监控不仅使其开发团队能够在出现任何问题或警报时快速做出响应，而且还可以提供有关如何改进整体安全控制的见解。由于SaaS应用程序结合了多个不同的提供程序或组件，因此能够可视化应用程序的总体运行状况尤为重要。企业应该监控用户访问和行为以及管理访问和行为，因为两者都可能表明SaaS应用程序存在漏洞。目前，市场上有许多安全监控提供商。例如使用Datadog来观察应用程序的组件。

(3) 自动化

第三个建议是软件自动化可以帮助简化企业的安全流程。如果企业需要允许临时访问特权帐户或信息，可以将审批工作流程实施自动化以提高效率。协作控制也可以实现自动化，这样员工就不会无意中共享机密信息。如果企业希望证明其符合数据管理合规标准，例如SOC2、ISO270001或GDPR等法规，还可以选择由Vanta或Drata公司等服务提供商进行的自动监控。

(4) 外部审计

如果想加强安全控制，第四个建议是让第三方服务审核其基础设施和流程是否存在任何漏洞。企业可以聘请顾问或使用应用程序漏洞扫描程序，其示例包括Probely或Tenable。如果希望获得任何合规性认证，这些安全审计可以通过为其提供对最佳实践的主动见解来提供先机。

以安全为核心进行开发

随着数据泄露数量的增加和安全攻击变得更加复杂，将最新的安全实践集成到其应用程序和企业中是绝对必要的。要采取更多安全控制措施并专注于发展其业务，尤其是在世界各地颁布了严格的法律和法规的情况下，将会对违规行为施加严厉的处罚和罚款。

正如以上回顾的那样，数据泄露的风险现在包括企业声誉、财务损失以及对用户的身份盗用等方面的进一步损害。企业的客户通信可能是网络攻击者利用的主要漏洞来源之一，任何SaaS提供商在发展过程中都要将安全放在首位。