2021年网络安全行政命令：对云和SaaS安全意味着什么

针对针对针对美国联邦IT系统及其供应链的恶意行为者，总统发布了“关于改善国家网络安全的行政命令（行政命令）”

尽管该行政命令针对的是联邦部门和机构，但它可能会在联邦技术供应流中产生连锁反应。私营公司和企业将依靠行政命令来建立他们的最佳实践。

在高层，行政命令包括信息共享要求、向云和零信任架构的推进，以及增强整个软件供应链的透明度。

了解白宫关于改善国家网络安全的行政命令的基本原则

行政命令的大部分内容侧重于与之相关的行政任务，包括重新定义合同语言、设定时间表，以及定义机构角色和责任。对于那些不向联邦政府提供技术的企业来说，行政命令可能并不重要。

事实上，联邦IT供应链之外的公司可以使用几个基本原则，包括：

• 更好地分享情报
• 通过云和零信任实现机构基础设施现代化
• 保护联邦IT软件供应链

行政命令是怎么说的

行政命令的文本很长，包含了与法律相关的所有监管术语。不过，把它分解成小块可以提供一个很好的概述。

更好的信息共享

简而言之，这一条的要点是“每个人都需要打得很好，不要再躲在合同后面。”简而言之，当威胁行为人发现并利用漏洞时，行政命令旨在为机构和供应商创造一个更有意义的信息共享机会。

转向云，创建零信任架构

虽然这一条基本上是不言而喻的，但行政命令中的要求在整个联邦范围内造成了一点恐慌，因为很多时间线都非常短。例如，在60天内，联邦机构需要：

• 对资源进行优先级排序，以尽快移动到云
• 计划实施零信任架构（ZTA）
• 让事情尽可能安全，并修复网络风险

最后，在180天内，他们都需要在静止和传输过程中采用多因素身份验证（MFA）和加密。随着各机构采用软件即服务（SaaS）应用程序，以使其IT堆栈、身份和访问控制配置（包括多因素身份验证）现代化，这将成为主要的风险缓解策略。

确保供应链的安全

甚至不需要列出最近的供应链黑客和违规行为，这是所有要求中最不令人惊讶的。让很少人惊讶的是，本节包括几个关键要点：

• 为软件安全评估创建标准
• 建立安全软件开发的标准和程序
• 建立一份“软件材料清单”，列出开发人员使用的所有技术“成分”

行政命令对企业意味着什么

对于机构来说，这需要做一些工作。对于企业来说，这可能是未来的一个预兆。问题是，尽管行政命令是一个很好的开端，但实施零信任的两个主要要求，即MFA和加密，并没有真正消除所有云安全漏洞。

根据2021个数据泄露调查报告（DRBIR）错误配置仍然是云架构的主要威胁向量。软件即服务（SaaS）应用程序使用的增加实际上触发了两种不同的攻击模式：

• 基本Web应用程序攻击：专注于直接目标，从访问电子邮件和web应用程序数据到重新调整web应用程序的用途以分发恶意软件、污损或分布式拒绝服务（DDoS）攻击。
• 杂项错误：通常由内部参与者或合作伙伴参与者进行的非故意行为，包括向错误的收件人发送数据。

根据DBIR，基本的web应用程序攻击包括凭证盗窃和暴力攻击。与此同时，杂项错误子集还包括基于云的文件存储被放置到互联网上而不受控制。

这些攻击向量显示了SaaS安全管理对整个云安全的重要性。许多企业缺乏对其配置的可见性，而SaaS应用程序的激增使得手动配置监控几乎不可能。随着企业继续进行数字化转型，配置监控和管理只会变得更加困难。

云安全，即使专注于建立零信任架构，也需要结合SaaS应用程序安全。随着供应链中的机构和企业整合SaaS应用程序，需要解决错误配置带来的安全风险。

增强SaaS安全播放列表

随着机构和企业开始寻找解决方案，增强SaaS安全性应该列在“主动采取的步骤”清单上。

整合所有应用：在漫长而曲折的道路上旅行

开展业务需要许多应用程序，尤其是跨远程劳动力的应用程序。尽管购买周期可能很长，但将应用程序添加到堆栈中相对容易。您的IT团队使用API创建与云基础设施的一些连接，然后添加用户。人们可以开始谈正事。

了解有关如何在SaaS应用程序中防止错误配置风险的更多信息

长期管理SaaS应用程序安全性是一大挑战。你有很多应用程序，每一个都有独特的配置和语言。任何组织都不可能拥有精通每种应用程序语言和配置的专家。如果您可以将所有应用程序集成到一个平台中，从而创建一种标准化的配置方法，那么您就踏上了保护云基础设施的漫长而曲折的道路上的第一步。

验证访问并强制执行策略：停止Believin'

虽然Travely可能会说“不要阻止believin”，但零信任架构意味着不相信任何人或任何事，直到他们提供正确的证据。例如，MFA不适用于使用传统身份验证协议（如IMAP和POP3）的系统。如果您需要保护您的SaaS堆栈并满足这些短时间要求，您需要了解所有用户访问，尤其是特权访问持有者，如超级管理员或服务帐户。

企业需要跨所有SaaS应用程序制定统一的策略，以确保持续的法规遵从性。这意味着能够按角色、权限、风险级别和平台分析每个用户在所有SaaS平台上的访问权限，并在搜索时进行混合和匹配，以便在需要时获得所需的洞察力。

消除SaaS的错误配置

持续监控SaaS安全：你应该知道

SaaS安全最困难的部分是它不断变化，比如员工与第三方共享文档，或者向协作平台添加新的非公司用户。问题在于，行政命令和大多数其他合规授权都认为，你应该知道自己的风险状况，因为你在持续监控自己的安全。

您需要提供实时风险识别、基于上下文的警报和风险优先级的始终在线SaaS安全性。

自动化补救活动：永远不会让你失望

没有一个人可以手动管理SaaS安全性。

手动管理如此多的用户、如此多的应用程序和如此多的地点所带来的风险，将使IT部门只能使用浓缩咖啡和能量饮料，不幸的是，很可能会错过一个关键风险。

在一个基于云的平台上自动化SaaS安全流程是管理流程的最有效方式。SaaS平台管理解决方案满足您在云中的安全需求，因此您可以以云端速度自动化您的安全，降低风险，并加强您的安全性和法规遵从性。

Adaptive Shield：SaaS性能安全管理是缺失的一环

Adaptive Shield可以全面了解云安全中最复杂的问题之一。此SaaS安全态势管理解决方案使企业能够持续监控整个SaaS产业中的错误配置风险：从覆盖恶意软件、垃圾邮件和网络钓鱼的配置，到可疑行为和错误配置的用户权限。

Adaptive Shield将技术控制与CIS基准保持一致，并可以将控制的合规性映射到NIST 800-53以及其他框架。

Adaptive Shield SaaS security platform管理解决方案还与单一登录（SSO）解决方案（如Azure、Ping和Okta）进行本机连接，以帮助跟踪整个组织内的MFA使用情况。

随着SaaS应用程序成为现代企业的规则，而不是例外，云安全依赖于持续监控危险的SaaS错误配置。

了解有关如何在SaaS应用程序中防止错误配置风险的更多信息