Khi tạo một Sandbox, tư duy có xu hướng là Sandbox được coi là một nơi để chơi xung quanh, thử nghiệm mọi thứ và sẽ không có ảnh hưởng gì đến hệ thống sản xuất hoặc vận hành. Do đó, mọi người không chủ động nghĩ rằng họ cần phải lo lắng về tính bảo mật của nó. Suy nghĩ này không chỉ sai lầm mà còn vô cùng nguy hiểm.
Khi nói đến các nhà phát triển phần mềm, phiên bản hộp cát của họ tương tự như sân chơi của trẻ em – một nơi để xây dựng và thử nghiệm mà không phá vỡ bất kỳ quy trình sản xuất nào. Trong khi đó, trong thế giới an ninh mạng, thuật ngữ ‘hộp cát' được sử dụng để mô tả một môi trường ảo hoặc máy được sử dụng để chạy mã đáng ngờ và các phần tử khác.
Nhiều tổ chức sử dụng Hộp cát cho các ứng dụng SaaS của họ – để kiểm tra các thay đổi mà không làm gián đoạn ứng dụng SaaS sản xuất hoặc thậm chí để kết nối các ứng dụng mới (giống như Hộp cát của nhà phát triển phần mềm). Thực tế phổ biến này thường dẫn đến cảm giác an toàn sai lầm và do đó, thiếu suy nghĩ về các tác động bảo mật của nó. Bài viết này sẽ hướng dẫn bạn về hộp cát SaaS là gì, tại sao nó dễ bị tấn công và cách bảo mật nó.
Tìm hiểu cách bạn có thể có được khả năng hiển thị và kiểm soát đối với hộp cát SaaS và ngăn xếp ứng dụng của mình.
Hộp cát an ninh mạng cho phép tách nội dung được bảo vệ khỏi mã không xác định, trong khi vẫn cho phép lập trình viên và chủ sở hữu ứng dụng xem điều gì xảy ra sau khi mã được thực thi. Các khái niệm bảo mật tương tự được sử dụng khi tạo SaaS Sandbox – nó sao chép phiên bản chính của SaaS bao gồm cả dữ liệu của nó. Điều này cho phép chơi xung quanh ứng dụng SaaS mà không ảnh hưởng hoặc làm hỏng SaaS đang hoạt động – trong quá trình sản xuất.
Các nhà phát triển có thể sử dụng hộp cát để kiểm tra API, cài đặt tiện ích bổ sung, kết nối các ứng dụng khác và hơn thế nữa – mà không cần lo lắng về việc nó ảnh hưởng đến người dùng thực tế của tổ chức. Quản trị viên có thể thay đổi cấu hình, kiểm tra các tính năng của SaaS, thay đổi vai trò và hơn thế nữa. Điều này cho phép người dùng hiểu rõ hơn những thay đổi đối với SaaS sẽ diễn ra như thế nào trước khi triển khai nó trên một phiên bản SaaS hoạt động và quan trọng. Điều này cũng cho phép thời gian để tạo hướng dẫn, đào tạo nhân viên, xây dựng quy trình làm việc và hơn thế nữa.
Nói chung, sử dụng Sandbox là một khái niệm tuyệt vời cho tất cả các phần mềm và việc sử dụng SaaS; nhưng giống như tất cả những điều tuyệt vời trong thế giới SaaS, vấn đề là có một rủi ro bảo mật lớn đang rình rập bên trong.
Thực tế và rủi ro trong thế giới thực về bảo mật hộp cát
Một bệnh viện tư nhân lớn đã vô tình tiết lộ dữ liệu của 50.000 bệnh nhân khi họ xây dựng một trang demo (tức là một Sandbox) để thử nghiệm một hệ thống đặt lịch hẹn mới. Họ đã sử dụng cơ sở dữ liệu thực của trung tâm y tế, để lộ dữ liệu của bệnh nhân.
Thường thì một Hộp cát được tạo bằng cách sử dụng dữ liệu thực, đôi khi thậm chí là một bản sao hoàn chỉnh của môi trường sản xuất, với các tùy chỉnh của nó. Lần khác, Hộp cát được kết nối trực tiếp với cơ sở dữ liệu sản xuất. Nếu kẻ tấn công xâm nhập được vào Sandbox vì bảo mật lỏng lẻo, chúng sẽ có quyền truy cập vào hàng loạt thông tin. (Việc rò rỉ thông tin này có thể có vấn đề, đặc biệt nếu bạn là công ty EU hoặc xử lý dữ liệu của EU do GDPR. Nếu bạn đang xử lý thông tin y tế ở Hoa Kỳ hoặc cho một công ty ở Hoa Kỳ, bạn có thể vi phạm HIPPA.)
Tìm hiểu cách SSPM có thể giúp bạn tự động hóa bảo mật cho hộp cát SaaS của mình.
Ngay cả các tổ chức sử dụng dữ liệu tổng hợp, được khuyến nghị cho tất cả các công ty, vẫn có thể gặp rủi ro bị tấn công. Kẻ tấn công có thể sử dụng Hộp cát để do thám nhằm hiểu rõ hơn về cách một tổ chức thiết lập các tính năng bảo mật và các điểm yếu có thể có của tổ chức. Vì Sandbox phản ánh ở một mức độ nào đó cách hệ thống hoạt động được cấu hình, kẻ tấn công có thể sử dụng kiến thức này để thâm nhập vào hệ thống sản xuất.
Cách bảo mật hộp cát SaaS của bạn
Giải pháp cho vấn đề của Hộp cát không an toàn khá đơn giản – bảo mật Hộp cát từng bước như thể nó là một hệ thống sản xuất.
Bước 1. Quản lý và kiểm soát quyền truy cập vào Hộp cát và giới hạn quyền truy cập của người dùng vào Hộp cát. Ví dụ: không phải mọi người dùng có quyền truy cập vào sản xuất cũng phải có quyền truy cập vào Hộp cát. Kiểm soát người dùng nào có thể tạo và truy cập Hộp cát là bước đầu tiên để giữ an toàn cho môi trường SaaS của bạn.
Bước 2. Triển khai các cài đặt bảo mật tương tự được định cấu hình trong hệ thống hoạt động cho phiên bản Hộp cát; từ yêu cầu MFA đến thực hiện SSO và IDP. Nhiều ứng dụng SaaS có các tính năng bảo mật bổ sung được thiết kế riêng cho ứng dụng SaaS cụ thể đó và phải được sao chép trong Sandbox. Ví dụ: Salesforce có các tính năng bảo mật độc đáo như: Bảo vệ xem qua nội dung, Mức độ nhạy cảm dữ liệu mặc định, Xác thực thông qua miền tùy chỉnh, v.v.
Bước 3. Xóa dữ liệu sản xuất và thay thế bằng dữ liệu tổng hợp (tức là đã tạo thành). Hộp cát thường được sử dụng để kiểm tra các thay đổi trong cấu hình, quy trình, luồng (chẳng hạn như APEX), v.v. Chúng không yêu cầu dữ liệu thực để thử nghiệm các thay đổi – bất kỳ dữ liệu nào có cùng định dạng đều có thể đủ. Do đó, hãy tránh sao chép dữ liệu sản xuất và thay vào đó hãy sử dụng Data Mask.
Bước 4. Giữ cho Hộp cát của bạn luôn nội tuyến với các cải tiến bảo mật được thực hiện trong môi trường sản xuất. Thường thì Sandbox không được làm mới hoặc đồng bộ hóa hàng ngày, khiến nó dễ bị tấn công bởi các mối đe dọa đã được giảm thiểu trong quá trình sản xuất. Để giảm rủi ro và đảm bảo Hộp cát của bạn đang phục vụ mục đích của nó, Hộp cát phải được đồng bộ hóa mỗi ngày.
Tự động hóa bảo mật SaaS của bạn
Các nhóm bảo mật cũng có thể triển khai và sử dụng các giải pháp SSPM (Quản lý tư thế bảo mật SaaS), để tự động hóa các quy trình bảo mật SaaS của họ và giải quyết các thách thức được nêu chi tiết ở trên, để theo dõi và ngăn chặn các mối đe dọa xâm nhập hộp cát SaaS.
Một SSPM, như Lá chắn thích ứng, ra đời để cho phép các nhóm bảo mật xác định, phân tích và ưu tiên các cấu hình sai trong Hộp cát và trên toàn bộ ngăn xếp ứng dụng SaaS, cũng như cung cấp khả năng hiển thị cho các ứng dụng của bên thứ 3 có quyền truy cập vào các ứng dụng cốt lõi, Thiết bị -to-SaaS Quản lý tư thế người dùng và hơn thế nữa.
Khám phá cách tự động hóa bảo mật cho ngăn xếp ứng dụng Sandbox và SaaS của bạn.
Lưu ý: Bài viết này được viết bởi Hananel Livneh, Nhà phân tích sản phẩm cấp cao tại Adaptive Shield.
