SaaS作為軟體交付模式日益受到青睞，但同時也因共享安全責任模式帶來的複雜性，使其成為攻擊者日益青睞的目標。雲端安全聯盟（CSA）的最新舉措，正是為了解決這個關鍵問題，並推動SaaS生態系統的標準化。

SaaS 的安全性由共享責任模型提供，提供者負責雲端的安全性—保護核心應用程式及其運作的基礎架構。客戶負責雲端中的安全性—保護自己的資料、使用者帳戶和存取權限，並正確配置各個提供者提供的安全設定。 問題在於供應商之間缺乏一致性。每家供應商提供的設定可能各有不同，需要客戶投入的精力也不同——這種情況適用於每款正在使用的SaaS產品，給客戶帶來了沉重的負擔。由於大多數公司都採用了許多，有時甚至數百個SaaS應用，每個應用程式都必須單獨配置。這需要投入巨大的精力，而複雜性往往與安全性背道而馳。 雲端安全聯盟( CSA) SaaS 工作小組推出新框架的可協助 SaaS 客戶自信地駕馭共享責任模式，這個框架旨在透過開發 SaaS 安全能力架構 (SSCF) 來解決（或至少是改善）這種複雜性。如果客戶能夠存取所有 SaaS 產品中的一套標準化配置掛鉤，那麼成功保護其 SaaS 使用安全所需的工作量、時間和複雜性將大大減少。 SaaS 安全控制框架的範圍側重於 SaaS 平台和服務中面向客戶的安全控制，這些控制措施可以被 SaaS 客戶直接影響、管理或利用…以履行其在共享安全責任模型下的安全實施責任。

CSA所發布的SSCF 1.0版定義了六個主要的SaaS安全領域，這些領域皆與CSA的領域命名規範保持一致，並附帶了目的與用途的詳細說明。每個領域都要求包含特定的控制措施，例如在身分與存取管理（IAM）領域，就定義了多達21項關鍵控制，涵蓋了使用者存取可見性等實務要求。SSCF的本質是要求SaaS供應商提供標準化的客戶端工具來實施這些控制措施，以便客戶能更有效地履行他們在配置和使用SaaS應用程式方面的責任。儘管這為SaaS供應商帶來了新的實施負擔，但長遠來看，能提供符合SSCF標準化控制選項的供應商，無疑會在市場上更具競爭力。對於大型企業客戶而言，SSCF提供了標準化的安全驗證依據；對於較小的SaaS供應商，則能減少為支援各式客戶要求而分散的資源投入。業內專家強調，SSCF透過建立客戶端安全控制的首個行業標準，有效填補了SaaS安全領域長期存在的「黑箱」問題。在企業普遍建立複雜的零信任架構之際，SSCF的出現，旨在消除因SaaS應用程式安全控制不足所造成的巨大、不必要的風險，最終目標是透過建立標準化的安全實踐，增進全球SaaS生態系統的信任、效率與完整性，實現供應商和客戶的雙贏局面。

資料來源：https://www.securityweek.com/csa-unveils-saas-security-controls-framework-to-ease-complexity/