如何给SaaS应用做安全
SaaS(软件即服务)应用在过去几年中得到了迅速发展。截至2023年,全球已有超过30,000家SaaS初创公司。SaaS应用程序已成为无数行业在线业务的重要组成部分和首要选择。凭借着简化的流程,便捷的交付和可扩展性,越来越多的应用数据和业务逻辑已从本地被迁移到了SaaS云端环境中。
然而,SaaS应用的增长与普及也自然成为了无数网络威胁与攻击的诱人目标。面对各种安全挑战,SaaS应用供应商和使用方需要通过全方位的安全措施与测试来积极分析与应对。
SaaS面对的主要风险
由于SaaS应用通常被托管在服务提供商的云服务器上,并让用户设备通过互联网进行访问,因此这种交付模式具有更低的成本和更易维护的优点。不过,攻击者一旦发现SaaS应用上存在安全漏洞,就会想方设法通过获取应用服务的访问权限,如探囊取物般批量获取使用方和客户的数据信息。
目前,此类风险大致包括如下方面:
多租户架构缺陷
在多租户SaaS架构中,来自不同客户的数据驻留在同一台服务器上。一旦租户之间的逻辑隔离不到位,那么某个租户就可能无意、甚至刻意访问到另一个租户的数据,进而出现隐私信息的泄露,机密性的缺失。
任意访问的开放性
由于任何人都可以从任何位置访问SaaS应用,因此攻击者不再受限。他们可以轻松地使用网络钓鱼诈骗,来获取用户凭据,或通过直接破解弱密码,来实现未经授权的访问。
与其他应用的集成
SaaS平台通常使用API来与其他应用集成。如果这些API在设计上具有安全缺陷,那么攻击者便可以将其作为网关,渗透到SaaS应用以外的多个系统,并窃取敏感数据。
故障导致数据丢失
虽然SaaS的云服务保障了应用的可用性,但是云服务器上的数据安全性可能因网络问题、设备故障、甚至是自然灾难而丢失或损坏。对此,安全团队在检查SaaS业务时,应注意数据备份策略的可靠性,以避免因为数据丢失而造成服务的完整性欠缺。
直接遭遇攻击
根据开放式Web应用安全项目(OWASP)列出的典型十大Web应用和API风险,我们可以知道SaaS应用上一旦存在逻辑漏洞和技术问题,就会被黑客通过互联网,发起直接攻击和利用,也就可能产生服务中断、数据泄露、以及隐私侵犯等不利影响。
责任共担
由于多个应用共享同一套云服务系统与后台逻辑,因此服务提供方的配置错误、服务中断等运营故障,就可能会被SaaS系统的共享结构所放大,进而波及到使用方的业务,甚至将网络钓鱼、恶意软件、以及勒索攻击,传播至使用方的业务数据上,使其被动承担相应的责任。
欠合规与监管
纵然SaaS应用的使用方竭力遵循合规与监管的要求,但是一旦疏忽了对其使用到的SaaS供应商的合规性查验,则会面临连带的监管风险,进而导致巨额的罚款、或让公司声誉受损。对此,安全团队应定期审查SaaS供应商对行业标准和法律法规的遵守情况。
鉴于SaaS应用为用户简化了复杂的服务处理与提供机制,而其自身通常会保留使用方和最终用户的大量敏感商业信息与个人数据,因此SaaS安全测试可以通过对SaaS业务的所有组成部分采取深入扫描、利用与评估,以发现并修复应用在界面、网络、通信、API、第三方集成、基础代码、用户输入、以及角色权限等方面的安全漏洞,进而降低SaaS应用的运营风险,改进其安全态势。
可见,SaaS安全测试不但有助于保障企业的云端系统、应用与数据安全,而且能够满足各种严格的合规性要求。
测试关注的组件
对于SaaS应用的安全测试而言,安全团队通常需要关注和检查如下三个方面的基本组件:
连接的安全性
客户端设备与SaaS应用的连接是一个值得关注的重要风险点。鉴于SaaS应用的特点,服务提供商需要为使用方实施必要的信道保护、身份验证、权限管理、以及行为监控等连接上的准入与保障。而本着“从不信任,始终验证”的零信任原则,应用使用方的安全团队有必要通过了解,来为后续的安全测试做好规划。
应用服务的安全性
SaaS应用虽然简化了使用方的自我构建,对于后端复杂的调用逻辑,使用方往往通过API、以及配套的管理控制台来实现调用。不过,在开展应用安全测试之前,使用方的安全人员有必要通过与SaaS服务供应商的交互,获悉其平台应用本身的基本业务类型,了解其技术架构可能存在的挑战,API的权限管控,管理控制台的设置与操作逻辑。
集成交互的安全性
使用方往往需要将由SaaS平台提供的服务与数据,通过API集成等方式,为自己的前端应用提供扩展的功能、自动化的工作流、以及与其他服务的交互。鉴于此类集成往往是一次性完成的,因此使用方的安全团队应当根据职责分离(SoD)和最小权限(PoLP)原则,审查前端应用与SaaS平台集成及交互的必要性与可控性。
WAAP全站防护也是非常符合osi七层网络攻击的防护,全站防护是基于风险管理和WAAP理念打造的安全方案,以“体系化主动安全” 取代安全产品的简单叠加,为各类Web、API业务等防御来自网络层和应用层的攻击,帮助企业全面提升Web安全水位和安全运营效率。全站防护的特性在于:
1.全周期风险管理
基于事前-事中-事后全流程,通过资产发现→策略布防→体系化运营,实现风险管理闭环
2.全方位防护
聚合DDoS云清洗、Web攻击防护、业务安全、API安全、全站隔离5大模块,实现覆盖L3-L7层的全站防护
3.简化安全运营
统一纳管多云环境所有Web业务、一个后台统一控制、打破数据孤岛,大幅降低安全运营复杂度和人力成本
4.防护效果卓越
多模块数据联动,秒级识别低频DDoS、业务欺诈等隐藏恶意行为;主动威胁情报和全站隔离技术实现主动防护、屏蔽0day漏洞威胁
体系化防护架构:引擎融合+风险闭环,并且拥有四大功能:云端部署、风险管理、全站防护以及安全运营。
一、云端部署
一键接入,无需改造现有架构,专家7*24小时在线支撑,实时解决问题
二、风险管理
在事前阶段,结合安全专家服务,帮助企业发现并收敛Web业务安全风险
1.漏洞扫描
通过漏洞扫描器对Web应用资产进行安全扫描,发现Web应用中存在的安全漏洞(OWASP TOP10、弱口令、CVE漏洞等);
2.渗透测试
派出安全专家,以黑客视角对目标系统进行非破坏性漏洞挖掘,清查目标系统潜在的安全隐患;
3.智能化防护策略
平台基于客户业务的智能化分析,可自动适配防护策略,实现开箱即用;
4.API资产盘点
基于流量分析,帮助企业从流量数据中发现尚未掌握的API业务,形成API资产清单,为后续的防护工作做好资产盘点;
5.互联网暴露面资产发现
通过平台和人工服务的方式,对域名、IP及关键字的综合查询及关联分析,提供互联网资产的发现、识 别、监测、稽核等服务,帮助用户发现和梳理互联网资产;
三、全站防护
在事中阶段,从网络安全、应用安全、业务安全、API安全各层面,为Web应用提供全面安全防护闭环
1.DDoS防护
秒级检测专利技术,在边缘实时清洗网络层DDoS攻击;
2.CC防护
基于AI的流量行为分析技术,实现对应用层CC攻击的秒级检测及防御;
3.业务安全
针对业务层面,提供轻量化的信息防爬和场景化风控能力;
4.API安全
针对API应用进行精细化的管理和防护,规避API滥用行为、防止数据泄露;
5.Web攻击防护
覆盖OWASP Top10的各类Web攻击防护,基于CDN的分布式算力提供弹性防护和海量IP封禁,同时支持与源站本地防护联合决策提高防御精度;
6.全站隔离
基于远程浏览器隔离技术使网站源代码不可见,从而主动隐藏网站攻击面,同时结合混淆访问路径、加密交互内容等技术,实现对0day漏洞攻击的有效屏蔽;
7.协同防护
通过全站防护管理平台,对网络L3-L7层各防护模块的安全策略进行统一管理,并通过数据聚合、情报协同,形成真正的纵深防护,简化运营工作的同时进一步提升整体安全的防护水位。
四、安全运营
在事后阶段,以降低风险为目标,全站防护管理平台提供体系化的安全运营能力,帮助企业夯实全周期风险管理闭环
1.全面的安全态势
聚合各防护模块数据,以简洁、贴近业务的形式呈现,用户可总览web安全态势,主动感知和响应已知安全事件;
2.持续优化的托管策略
结合平台实战对抗经验和持续的攻防研究成果,管理平台持续提供推送更高质量的防护规则和策略建议,对业务防护策略进行优化,与黑产持续对抗;
3.安全专家运营
资深安全专家提供策略优化、应急响应、重保等专项安全服务,同时对客户风险的持续监测与防护管理。