Danielala – shutterstock.com
Das SaaS Security Capability Framework (SSCF) der Cloud Security Alliance (CSA) soll SaaS-Anbietern dabei helfen, Zero-Trust-Prinzipien in ihre Umgebungen zu integrieren und Kunden angesichts steigender Risiken durch Dritte konsistentere Sicherheitskontrollen zu bieten. Die Veröffentlichung der Leitlinien folgt auf die jüngsten Angriffe auf Salesforce-SaaS-Anwendungen, die die Aufmerksamkeit der Security-Branche erregt haben.
Das neue Regelwerk dient als Industriestandard, der die technischen Mindestanforderungen an die Sicherheit von SaaS-Anwendungen definiert, insbesondere für solche, die unter das sogenannte Shared Security Responsibility Model fallen.
Das SSCF legt Kontrollen in sechs Sicherheitsbereichen fest:
Änderungskontrolle und Konfigurationsmanagement;
Datensicherheit und Datenschutz-Lebenszyklusmanagement;
Identitäts- und Zugriffsmanagement;
Interoperabilität und Portabilität;
Protokollierung und Überwachung;
Security-Incident-Management, E-Discovery und Cloud-Forensik.
Diese Bereiche sind darauf ausgelegt, allgemeine Geschäftsanforderungen in konkrete SaaS-Sicherheitsfunktionen umzusetzen, die Kunden tatsächlich konfigurieren und auf die sie sich verlassen können. Dazu zählen beispielsweise Protokollübermittlung, SSO-Durchsetzung, Richtlinien für sichere Konfigurationen und Benachrichtigung bei Vorfällen.
Der Ansatz soll geschäftsorientierte Sicherheitsframeworks wie ISO 27001 ergänzen, aber nicht ersetzen.
Expertenstimmen zum neuen SaaS-Framework
Brian Soby, Mitbegründer und CTO des SaaS-Sicherheitsanbieters AppOmni und Hauptautor des SSCF, bezeichnete das SaaS Security Capability Framework als bedeutenden Fortschritt für die Branche. „Es bietet einen klaren, einheitlichen und dringend benötigten Standard, der Unternehmen dabei hilft, veraltete Risikobewertungen hinter sich zu lassen und Zero-Trust-Prinzipien wirklich in ihre SaaS-Umgebungen zu integrieren.“
David Brown, SVP of International Business beim Firewall-Policy-Management-Unternehmen FireMon, spricht zwar ebenfalls von einem Fortschritt aber verweist darauf: „Ein Rahmenwerk reduziert jedoch nur dann Risiken, wenn es in operative Kontrollen umgesetzt wird, insbesondere in kontinuierliche Sichtbarkeit der Netzwerkrichtlinien, strenge Ausgangs-Kontrollen und automatisierte Compliance-Prüfungen.“
Brown ergänzt: „Unternehmen, die die SSCF-Anforderungen mit einer Echtzeit-Überprüfung der Netzwerkkonfiguration kombinieren, können nachweisen, dass die Kontrollen funktionieren, und SaaS-bezogene Risiken erheblich reduzieren.“
Kontinuierliche Validierung erforderlich
Ein wachsender Anteil des Internetverkehrs wird von nicht-menschlichen Akteuren generiert: Bots, Agenten und automatisierte Systeme, die mit SaaS-Anwendungen auf eine Weise interagieren, die bei herkömmlichen Überwachungsmethoden oft übersehen wird.
„Das SSCF bietet einen dringend benötigten Maßstab dafür, wie ‚Sicherheit durch Standardeinstellungen‘ in SaaS-Umgebungen aussehen sollte“, betont Mayur Upadhyaya, CEO von APIContext. „Sein Fokus auf technische Kontrollen im Rahmen des Kundenbereichs ist zeitgemäß, insbesondere da die Grenzen zwischen internen Benutzern, Integrationen von Drittanbietern und maschinengesteuertem Datenverkehr immer mehr verschwimmen.“
Upadhyaya fügte hinzu: „Ein Framework wie SSCF kann nur dann effektiv sein, wenn es diesen erweiterten Bereich widerspiegelt und eine kontinuierliche Validierung fördert, nicht nur statische Konfigurationen.“ (jm)
No Responses