Come classificare la forza di sicurezza di un'app SaaS cloud

Prima di tutto è necessario capire quali minacce e vulnerabilità vengono protette e misurare il livello di sicurezza rispetto ai rischi identificati (ad esempio, è inutile avere la possibilità di crittografare i dati riservati se non si dispone di tali dati). Quindi è necessario completare i seguenti passaggi:

1. Identificare i rischi e i possibili vettori di minacce. NIST SP 800-53 con il suo approccio alla valutazione del rischio sarebbe utile iniziare con che.
2. Definisci i controlli di sicurezza applicabili. Cloud Security Matrix e Il questionario di auto-valutazione di Cloud Security Alliance sarebbe utile.
3. Mappare i controlli di sicurezza ai rischi identificati al passaggio 1. Di conseguenza, riceverai una matrice con informazioni sulla protezione della tua soluzione e lacune di sicurezza esistenti.

Questi passaggi sono applicabili a un nuovo servizio o a quello esistente. Naturalmente, anche altre tecniche di SDLC sicure come test di penetrazione, analisi del codice statico, scansione dinamica, ecc. Dovrebbero essere implementate e dovrebbero essere eseguite regolarmente.

Questo è un problema chiave nell'utilizzo dei servizi cloud. Dal momento che non si possiede l'attrezzatura, non è possibile eseguire semplicemente i propri test di penetrazione senza che il fornitore di servizi cloud fornisca il consenso e molto probabilmente il supporto. Quindi probabilmente dovrai usare misure più morbide e più qualitative.

1. Assicurarsi che se si sta distribuendo il proprio software tramite un provider cloud per operare come SaaS, è possibile eseguire tutti i tipi di controlli di sicurezza internamente, poiché non è possibile ottenere l'accesso gratuito ai sistemi del provider.
2. Lavora con il fornitore prima di firmare un contratto per assicurarti di sapere quali metodi di test di sicurezza usano o se sarai in grado di usarlo. Questo sarebbe un indicatore del livello di fiducia e supporto che avrai con loro.
3. Se non si dispone di un accordo preesistente tramite il contratto, sarà necessario collaborare direttamente con il fornitore. Possono offrire informazioni dalle proprie scansioni di vulnerabilità o altri test. È probabile che si oppongano molto a te cercando di eseguire scansioni di vulnerabilità in quanto potrebbero esserci altre applicazioni o dati aziendali sui sistemi che digitalizzi.
4. Valuta quale delle certificazioni cloud che ritieni migliore ti mostri il giusto livello di fiducia. Molti di questi certificati sono concessi solo dopo una revisione indipendente, quindi offrono una certa garanzia.

Il registro STAR del CSA può aiutare con un certo livello di quantificazione, ma dovresti anche cercare altri come, serie ISO 27000, SSAE e certificazioni PCI.

La quantificazione diretta dei livelli di sicurezza è molto più difficile di quanto sembri e purtroppo non ci sono molte opzioni.

Puoi eseguire una scansione di nessus sul sistema. ( link )

Inoltre, è una buona pratica avere un quadro di prova di api di riposo. Sarebbe utile per automatizzare e controllare il software contro vulnerabilità note.