Das US-amerikanische National Institute of Standards and Technology (NIST) Cybersecurity Framework ist eine der wichtigsten Richtlinien der Welt zur Sicherung von Netzwerken. Es kann auf eine Vielzahl von Anwendungen angewendet werden, einschließlich SaaS.
Eine der Herausforderungen bei der Sicherung von SaaS-Anwendungen besteht darin, dass in jeder Anwendung unterschiedliche Einstellungen vorhanden sind. Daher ist es schwierig, eine Konfigurationsrichtlinie zu entwickeln, die für eine HR-App, die Mitarbeiter verwaltet, eine Marketing-App, die Inhalte verwaltet, und eine R&D-App, die Softwareversionen verwaltet, gilt, und dabei den NIST-Compliance-Standards entspricht.
Es gibt jedoch mehrere Einstellungen, die auf nahezu jede App im SaaS-Stack angewendet werden können. Dieser Artikel untersucht einige universelle Konfigurationen, erklärt ihre Bedeutung und gibt Anleitungen, wie sie so eingestellt werden können, dass die Sicherheit der SaaS-Apps verbessert wird.
Eine Rolle basierende Zugriffskontrolle (RBAC) ist ein Schlüssel zur NIST-Konformität und sollte auf jede SaaS-App angewendet werden. Es gibt zwei Arten von Berechtigungen innerhalb einer SaaS-Anwendung: Funktionszugriff und Datenzugriff. Das Admin-Konto ist das sensibelste innerhalb der App, da es vollen Zugriff auf beide Arten von Berechtigungen hat.
Es ist wichtig, mindestens zwei Admins für jede Anwendung zu haben, um die Redundanz zu gewährleisten. Externe Admins sollten vermieden werden, da sie zusätzliche Unsicherheit in die Sicherheit von SaaS bringen. Alle Admin-Benutzerkonten sollten Multi-Faktor-Authentifizierung (MFA) erfordern. Unternehmen sollten zudem Datenlecks verhindern, indem sie Einstellungen wie das Teilen von Inhalten, Einladungen mit Ablaufdatum und Passwortkomplexität konfigurieren.
Der Artikel betont die Bedeutung von Vorsichtsmaßnahmen bezüglich der Konfiguration von SaaS-Anwendungen, da etwa 25% aller Cloud-bezogenen Sicherheitsvorfälle mit falsch konfigurierten Einstellungen beginnen. Es wird empfohlen, die NIST-Standards auf den SaaS-Stack anzuwenden, um die Sicherheit zu verbessern.