One lock in a series is unlocked / weakness / vulnerability

Nous avons mis un place d’honneur à renforcer la sécurité des clouds d’infrastructure en tant que company, motor vehicle ils sont si complexes et comportent de nombreuses pièces mobiles. Malheureusement, les nombreux systèmes logiciels en tant que services utilisés depuis moreover de 20 ans ne figurent furthermore sur la liste des priorités de sécurité du cloud.

Les organisations font beaucoup d’hypothèses sur la sécurité SaaS. Essentiellement, les systèmes SaaS sont des purposes qui s’exécutent à length, avec des données stockées sur des systèmes dorsaux que le fournisseur SaaS chiffre pour le compte du customer. Vous ne savez peut-être même pas quelle foundation de données stocke vos données de comptabilité, de CRM ou d’inventaire, et on vous a dit que vous ne devriez pas vraiment vous en soucier. Après tout, le fournisseur gère l’ensemble du système pour vous, et les utilisateurs et les administrateurs l’exploitent simplement by way of un navigateur Web. En effet, SaaS signifie que vous êtes beaucoup additionally éloigné des composants que d’autres formes de cloud computing.

SaaS, comme indiqué dans la plupart des études internet marketing, est la additionally grande partie du marché du cloud computing. Ce n’est pas bien compris puisque l’accent est mis ces jours-ci sur les clouds IaaS tels qu’AWS, Microsoft et Google, qui ont détourné l’attention du monde largement fragmenté des clouds SaaS, qui sont principalement des processus métier en tant que services auxquels vous accédez via un navigateur. Mais le SaaS comprend désormais également des systèmes de sauvegarde et de récupération et d’autres solutions qui ressemblent davantage à IaaS mais sont fournis à l’aide de l’approche SaaS du cloud computing. Ils vous évitent de vous occuper de tous les petits détails, ce que le cloud devrait faire.

Je soupçonne que la sécurité du cloud SaaS deviendra furthermore une priorité une fois que quelques violations bien publiées seront diffusées dans les médias. Vous pouvez parier que cela se produit effectivement, mais à moins que le general public ne soit directement affecté, les violations ne font généralement pas l’objet d’un communiqué de presse.

À quoi devons-nous faire focus en matière de sécurité SaaS ?

Les problèmes de sécurité au cœur du SaaS sont une erreur humaine. Des erreurs de configuration se produisent lorsque les administrateurs accordent trop fréquemment des droits d’accès ou des autorisations aux utilisateurs. Les personnes qui n’auraient peut-être pas dû obtenir de droits peuvent finir par mal configurer les interfaces SaaS, telles que l’API ou l’accès à l’interface utilisateur. Bien que ce ne soit pas vraiment un problème si les droits sont limités, trop souvent, les personnes qui n’ont besoin que d’un simple accès aux données d’une seule entité de données (telle que l’inventaire) ont accès à toutes les données. Cela peut être exploité dans des violations de données dévastatrices qui sont hautement évitables.

Il s’agit normalement d’un problème d’accès aux données que le fournisseur SaaS fournit by way of les interfaces utilisateur et l’accès API. Cependant, des problèmes surviennent également avec les couches d’intégration de données que les clientele SaaS installent pour synchroniser les données dans le cloud SaaS avec d’autres bases de données IaaS hébergées dans le cloud ou, as well as probablement, avec des systèmes hérités qui sont toujours détenus en interne. Ces couches d’intégration de données sont souvent facilement violées pour la raison que nous venons de mentionner : une mauvaise gestion des droits d’accès. Les couches d’intégration de données elles-mêmes, dont la plupart sont également fournies en mode SaaS, peuvent présenter des vulnérabilités. Dans tous les cas, vos données sont toujours piratées.

D’autres problèmes de sécurité sont in addition faciles à comprendre. Un employé décide d’éliminer certaines frustrations de l’entreprise et copie la plupart des données hébergées en SaaS sur une clé USB et les supprime du bâtiment. Tout comme accorder in addition de privilèges d’accès qu’une personne n’en a besoin, cela est facilement résolu avec des constraints et plus d’éducation.

Du côté des fournisseurs de SaaS, les problèmes incluent un manque de transparence, comme le fait que leurs propres employés sortent du bâtiment avec des données client, ou des violations qui n’ont pas été signalées. Il est extremely hard de savoir combien de ces predicaments se sont produites, mais si aucune ne vous a été signalée, cela peut indiquer que votre fournisseur SaaS retient des informations qui pourraient lui être préjudiciables.

La sécurité SaaS est à la fois une approche et une pile technologique anciennes et nouvelles. C’était la première sécurité cloud sur laquelle j’ai travaillé, et nous avons parcouru un long chemin depuis lors. Cependant, la sécurité SaaS n’a pas reçu autant de financement, d’amour ou d’éducation que d’autres domaines de la sécurité du cloud. Nous pouvons payer pour cela à un moment donné, à moins que nous ne réparions les choses maintenant.

Copyright © 2022 IDG Communications, Inc.

Leave a Reply