并非所有沙盒都适合儿童：如何保护您的SaaS沙盒

在创建沙盒时，人们的思维倾向于认为沙盒是一个可以到处玩、测试东西的地方，不会对生产或运营系统产生影响。因此，人们不会主动认为他们需要担心它的安全性。这种心态不仅是错误的，而且极其危险。

说到软件开发人员，他们的沙盒版本类似于儿童游乐场；一个在不中断生产流程的情况下进行构建和测试的地方。同时，在网络安全领域，“沙盒”一词用于描述用于运行可疑代码和其他元素的虚拟环境或机器。

许多组织在其SaaS应用程序中使用沙盒—；在不中断生产SaaS应用程序的情况下测试更改，甚至连接新应用程序（很像软件开发人员的沙盒）。这种常见做法往往导致错误的安全感，进而导致对其安全影响缺乏思考。本文将带您了解什么是SaaS沙盒，为什么它易受攻击，以及如何保护它。

了解如何获得对SaaS沙盒和应用程序堆栈的可见性和控制。

网络安全与；SaaS沙盒基础

A.网络安全沙盒允许将受保护的资产与未知代码分离，同时仍允许程序员和应用程序所有者查看代码执行后会发生什么。在创建软件即服务沙盒—；它复制SaaS的主要实例，包括其数据。这允许使用SaaS应用程序，而不会影响或破坏可操作的SaaS—；在生产中。

开发人员可以使用沙盒来测试API、安装附加组件、连接其他应用程序等等；而不用担心它会影响组织的实际用户。管理员可以更改配置、测试SaaS功能、更改角色等。这允许用户更好地了解SaaS的更改将如何进行，然后在可操作且关键的SaaS实例上实现它。这也为创建指导方针、培训员工、构建工作流等提供了时间。

总而言之，对于所有软件和SaaS使用来说，使用沙盒是一个很好的概念；但就像SaaS世界中所有伟大的事情一样，问题是内部潜伏着重大的安全风险。

沙盒安全真实世界风险；现实

一家大型私立医院在建立一个演示站点（即沙盒）测试新的预约设置系统时，无意中泄露了50000名患者的数据。他们使用了医疗中心的真实数据库，让患者的数据暴露在外。

通常，沙盒是使用真实数据创建的，有时甚至是生产环境的完整克隆，并进行定制。其他时候，沙盒直接连接到生产数据库。如果攻击者由于安全漏洞而成功渗透沙盒，他们将获得大量信息。（这种信息泄露可能会产生问题，特别是如果您是欧盟公司或因GDPR处理欧盟数据。如果您在美国或为美国公司处理医疗信息，则可能违反HIPPA。）

了解SSPM如何帮助您自动化SaaS沙盒的安全性。

即使是使用合成数据（建议所有公司使用）的组织也可能面临攻击风险。攻击者可以使用沙盒进行侦察，以了解组织如何设置其安全功能及其可能的弱点。由于沙盒在某种程度上反映了操作系统的配置方式，攻击者可以利用这些知识渗透生产系统。

如何保护SaaS沙盒

非安全沙盒问题的解决方案相当简单–；逐步保护沙盒，就像它是一个生产系统一样。

Step 1.管理和控制对沙盒的访问，并限制用户对沙盒进行访问。例如，不是每个有权访问生产的用户都应该有权访问沙盒。控制哪些用户可以创建和访问沙盒是确保SaaS环境安全的第一步。

Step 2. 将操作系统中配置的相同安全设置实现为沙盒版本；从要求MFA到实施SSO和IDP。许多SaaS应用程序都有为特定SaaS程序量身定制的附加安全功能，应该在沙盒中进行镜像。例如，Salesforce具有独特的安全功能，如：内容嗅探保护、默认数据敏感级别、通过自定义域进行身份验证等。

Step 3.删除生产数据并用合成（即合成）数据替换。沙盒通常用于测试配置、流程、流（如APEX）等方面的更改。他们不需要真实的数据来测试更改-任何具有相同格式的数据都足够了。因此，请避免复制生产数据，而使用数据掩码。

Step 4.让您的沙盒与生产环境中的安全改进保持一致。通常情况下，沙盒既不会每天刷新也不会同步，这会使其容易受到生产中最小化的威胁。为了降低风险并确保您的沙盒达到其目的，沙盒应每天同步。

自动化您的SaaS安全

安全团队还可以实施和利用SSPM（SaaS安全态势管理）解决方案，以自动化其SaaS的安全流程并解决上述挑战，以监控和防止威胁渗入SaaS沙盒。

SSPM，如Adaptive Shield，发挥了作用，使安全团队能够识别、分析沙盒和整个SaaS应用程序堆栈中的错误配置，并对其进行优先级排序，还可以通过访问核心应用程序、设备到SaaS用户姿势管理等，为第三方应用程序提供可见性。

探索如何自动化您的沙盒和SaaS应用程序堆栈的安全性。

注：本文由Adaptive Shield高级产品分析师Hananel Livneh撰写。