El caso de una lista de materiales SaaS

08:10 13/09/2021 | 1 Lượt xem

La orden ejecutiva de ciberseguridad del presidente Biden sobre la mejora de la ciberseguridad de la nación ha generado un gran revuelo con respecto a las cuentas de material de software (SBOM). Si bien abogamos por mejorar la seguridad de la cadena de suministro de software a través de una mayor transparencia en torno a los componentes que contiene, la publicidad que rodea a los SBOM necesita orientación para abordar una serie de problemas clave de implementación.

Además de la falta de respuestas sobre lo que harán los consumidores con los SBOM una vez que los reciban, es aún menos claro cómo desarrollarlos para modelos de implementación administrados por proveedores, como software como servicio (SaaS). Especialmente a medida que la industria avanza hacia el uso casi omnipresente de SaaS, esta ambigüedad plantea un obstáculo para el uso efectivo de SBOM como herramienta de gestión de riesgos.

Una estructura SaaSBOM

Para afrontar este desafío, proponemos un marco para la aparición de una lista de materiales SaaS (SaaSBOM). Explicar lo que comprendería este documento merece una discusión dedicada, porque simplemente ponerse de acuerdo sobre qué es exactamente el “software” en cuestión para un producto SaaS dado es un desafío. Al recibir artefactos de un proveedor, un cliente que planea alojarlos internamente definitivamente puede saber qué elementos ha descargado y rastrearlos en consecuencia. Al consumir SaaS, esta certeza es casi imposible.

Por ejemplo, ¿el “software” incluye ofertas de infraestructura como servicio (IaaS) o plataforma como servicio (PaaS) del proveedor de servicios en la nube en el que se ejecuta el producto? ¿Qué pasa con herramientas como Ansible, Chef y Terraform que utiliza el proveedor para operar y mantener la implementación? ¿Se puede acceder a los componentes de la canalización de integración de productos / entrega continua (CI / CD) a través del inicio de sesión único (SSO)? ¿El sistema de recursos humanos que se conecta al proveedor de identidad de la empresa facilitando dicha capacidad SSO? Incluso si fuera posible una contabilidad perfecta, es probable que se produzcan cambios diarios, si no minuto a minuto, en el entorno de los que el proveedor, y mucho menos el cliente, no sería consciente de inmediato.

A la luz de estas incertidumbres, sugerimos que los proveedores de SaaS utilicen cada oferta de producto que venden individualmente como unidad base de análisis. Para construir un SaaSBOM, un proveedor debe analizar cuidadosamente la pila de tecnología de la que depende la confidencialidad, integridad y disponibilidad de los datos en dicha oferta. El método para representar los componentes alojados por el proveedor es relativamente simple y los estándares existentes para el intercambio de datos de paquetes de software (SPDX) o la identificación de software (SWID) son apropiados para esta tarea.

Sin embargo, cuando el producto depende de otros proveedores de SaaS, PaaS o IaaS, proporcionar las listas de materiales de esas organizaciones también puede ayudar a aclarar la cadena de dependencias. Esto necesariamente crearía una situación parecida a una muñeca rusa, donde se pueden anidar múltiples SaaSBOM (o PaaSBOM o IaaSBOM) para otro producto. Dicho registro solo podría incluir aquellos componentes de la cadena de suministro de software que los proveedores conocen y probablemente perderían múltiples dependencias de terceros. Dicho esto, es inevitable cierto sacrificio al construir un modelo viable.

Construyendo SBOM desde la perspectiva del cliente

Desarrollar la imagen más completa posible, separada lógicamente por oferta comercial, permitirá a los proveedores crear SaaSBOM desde la perspectiva de sus clientes. Si bien ciertamente hay espacio para la interpretación, lo que significa que los clientes no pueden exigir razonablemente garantías contractuales en cuanto a la composición exacta del SaaSBOM, alguna información junto con los vacíos claramente establecidos es mejor que nada.

Las empresas que proporcionen estos detalles podrán posicionarlos como habilitadores de una diligencia debida técnica eficaz, que proporciona información más útil que las herramientas de verificación inferiores, como los cuestionarios de seguridad y las auditorías externas por sí solas. Los equipos de seguridad de la información de los proveedores también apreciarán la oportunidad de realizar un inventario completo de los sistemas que utilizan sus organizaciones, identificando y limitando la TI en la sombra. Finalmente, el requisito de tener una comprensión clara de las interdependencias en la red del proveedor, y el incentivo para minimizarlas para reducir la complejidad de SaaSBOM, tendrá un efecto secundario beneficioso al fomentar la segmentación y el aislamiento de componentes, en línea con los principios de arquitectura de confianza cero. .

Grabar, rastrear y mantener información voluminosa y que cambia rápidamente en un SaaSBOM requiere automatización. Es probable que cualquier esfuerzo que dependa de la contabilidad manual se desintegre rápidamente, y el desarrollo de fuentes legibles por máquina para consumo interno y externo debería convertirse eventualmente en una práctica estándar. Debido a la inaplicabilidad de los marcos SPDX o SWID a SaaS, organizaciones como Cloud Security Alliance y Cloud Native Computing Foundation pueden ayudar enormemente a la comunidad impulsando el desarrollo de un nuevo formato que abarque las consideraciones anteriores.

A raíz de los ataques patrocinados por el estado contra las cadenas de suministro digitales corporativas y gubernamentales, así como las interrupciones de los proveedores de infraestructura que han sacudido la economía global, la gestión del riesgo de información planteada por terceros se volverá cada vez más crítica. Especialmente con el creciente dominio de SaaS como modelo de implementación, es vital desarrollar un estándar claro para SaaSBOM. El mero acuerdo sobre cómo definir el alcance de dicho documento es el primer paso para analizar los riesgos que plantean las diversas tecnologías y servicios que componen las cadenas de suministro de software modernas.

Copyright © 2021 IDG Communications, Inc.

Related Posts

Agregar fondos a archivos PDF

Este artículo explicará cómo agregar un fondo a un PDF con Foxit PDF Editor. Para agregar un nuevo fondo, haga lo siguiente: 1. Abra un documento al que desee agregar un fondo y elija...

lên đầu trang