Il est temps de donner la priorité à la sécurité SaaS

Nous avons mis un stage d’honneur à renforcer la sécurité des clouds d’infrastructure en tant que services, car ils sont si complexes et comportent de nombreuses pièces mobiles. Malheureusement, les nombreux systèmes logiciels en tant que services utilisés depuis as well as de 20 ans ne figurent as well as sur la liste des priorités de sécurité du cloud.

Les organisations font beaucoup d’hypothèses sur la sécurité SaaS. Essentiellement, les systèmes SaaS sont des programs qui s’exécutent à length, avec des données stockées sur des systèmes dorsaux que le fournisseur SaaS chiffre pour le compte du shopper. Vous ne savez peut-être même pas quelle foundation de données stocke vos données de comptabilité, de CRM ou d’inventaire, et on vous a dit que vous ne devriez pas vraiment vous en soucier. Après tout, le fournisseur gère l’ensemble du système pour vous, et les utilisateurs et les administrateurs l’exploitent simplement via un navigateur World wide web. En effet, SaaS signifie que vous êtes beaucoup moreover éloigné des composants que d’autres formes de cloud computing.

SaaS, comme indiqué dans la plupart des études internet marketing, est la moreover grande partie du marché du cloud computing. Ce n’est pas bien compris puisque l’accent est mis ces jours-ci sur les clouds IaaS tels qu’AWS, Microsoft et Google, qui ont détourné l’attention du monde largement fragmenté des clouds SaaS, qui sont principalement des processus métier en tant que assistance auxquels vous accédez by using un navigateur. Mais le SaaS comprend désormais également des systèmes de sauvegarde et de récupération et d’autres products and services qui ressemblent davantage à IaaS mais sont fournis à l’aide de l’approche SaaS du cloud computing. Ils vous évitent de vous occuper de tous les petits détails, ce que le cloud devrait faire.

Je soupçonne que la sécurité du cloud SaaS deviendra furthermore une priorité une fois que quelques violations bien publiées seront diffusées dans les médias. Vous pouvez parier que cela se produit effectivement, mais à moins que le public ne soit directement affecté, les violations ne font généralement pas l’objet d’un communiqué de presse.

À quoi devons-nous faire notice en matière de sécurité SaaS ?

Les problèmes de sécurité au cœur du SaaS sont une erreur humaine. Des erreurs de configuration se produisent lorsque les administrateurs accordent trop fréquemment des droits d’accès ou des autorisations aux utilisateurs. Les personnes qui n’auraient peut-être pas dû obtenir de droits peuvent finir par mal configurer les interfaces SaaS, telles que l’API ou l’accès à l’interface utilisateur. Bien que ce ne soit pas vraiment un problème si les droits sont limités, trop souvent, les personnes qui n’ont besoin que d’un easy accès aux données d’une seule entité de données (telle que l’inventaire) ont accès à toutes les données. Cela peut être exploité dans des violations de données dévastatrices qui sont hautement évitables.

Il s’agit normalement d’un problème d’accès aux données que le fournisseur SaaS fournit by using les interfaces utilisateur et l’accès API. Cependant, des problèmes surviennent également avec les couches d’intégration de données que les clients SaaS installent pour synchroniser les données dans le cloud SaaS avec d’autres bases de données IaaS hébergées dans le cloud ou, plus probablement, avec des systèmes hérités qui sont toujours détenus en interne. Ces couches d’intégration de données sont souvent facilement violées pour la raison que nous venons de mentionner : une mauvaise gestion des droits d’accès. Les couches d’intégration de données elles-mêmes, dont la plupart sont également fournies en manner SaaS, peuvent présenter des vulnérabilités. Dans tous les cas, vos données sont toujours piratées.

D’autres problèmes de sécurité sont additionally faciles à comprendre. Un employé décide d’éliminer certaines frustrations de l’entreprise et copie la plupart des données hébergées en SaaS sur une clé USB et les supprime du bâtiment. Tout comme accorder additionally de privilèges d’accès qu’une personne n’en a besoin, cela est facilement résolu avec des limits et as well as d’éducation.

Du côté des fournisseurs de SaaS, les problèmes incluent un manque de transparence, comme le fait que leurs propres employés sortent du bâtiment avec des données shopper, ou des violations qui n’ont pas été signalées. Il est extremely hard de savoir combien de ces situations se sont produites, mais si aucune ne vous a été signalée, cela peut indiquer que votre fournisseur SaaS retient des informations qui pourraient lui être préjudiciables.

La sécurité SaaS est à la fois une approche et une pile technologique anciennes et nouvelles. C’était la première sécurité cloud sur laquelle j’ai travaillé, et nous avons parcouru un extensive chemin depuis lors. Cependant, la sécurité SaaS n’a pas reçu autant de financement, d’amour ou d’éducation que d’autres domaines de la sécurité du cloud. Nous pouvons payer pour cela à un instant donné, à moins que nous ne réparions les choses maintenant.