Wat is SaaS? Hint: het is niet hetzelfde als een ‘cloud’.
Gepubliceerd
op
mei 03, 2023
Deel dit blog
Geschreven door
Keeper Security
De federale overheid van de VS is vastbesloten om zero-trust-cybersecurity in alle overheidsinstanties te implementeren. In 2021 gaf het Witte Huis een Executive Order (EO) 14028 uit, waarin federale instanties werden aangespoord om zero-trust-netwerkarchitecturen te gebruiken. Enkele maanden later kwam de Cybersecurity and Infrastructure Security Agency (CISA) met een ontwerpmodel voor zero-trust-maturity. Begin 2022 heeft het Office of Management and Budget (OMB) het memorandum M-22-09 uitgebracht, waarin wordt voorgeschreven dat overheidsinstellingen tegen het einde van het fiscale jaar 2024 aan specifieke zero-trust-standaarden en -doelstellingen moeten voldoen. Later dat jaar publiceerde het Department of Defense (DoD) zijn eigen zero-trust-strategie en -roadmap.
Dat zijn veel veranderingen in een korte tijd, vooral gezien het feit dat de overheidsinstanties meestal erg langzaam veranderingen doorvoeren. Ondanks al deze druk van hogerop zijn de besluitvormers bij overheidsinstanties nog steeds huiverig voor de introductie van cloudgebaseerde technologie waarmee ze zero-trust-doelen kunnen bereiken: Software-as-a-Service (SaaS)-oplossingen. Er zijn veel misvattingen over de onderliggende technologie; met name een hardnekkige mythe dat ‘SaaS’ betekent dat gebruikersgegevens in de cloud worden opgeslagen, waar cybercriminelen er toegang toe hebben.
In dit artikel wordt uitgelegd wat SaaS echt betekent en worden deze zorgen weggenomen.
Wat is SaaS?
SaaS is een methode voor softwarelevering waarbij een externe leverancier de servers, databases en code waaruit een applicatie bestaat, host en onderhoudt. Klanten krijgen via internet toegang tot SaaS-applicaties, meestal via een webbrowser. Sommige SaaS-apps bieden ook desktopapps, mobiele apps en browserextensies.
Vrijwel iedereen gebruikt elke dag SaaS-producten, zonder dat ze het zelf weten. Voorbeelden van SaaS-producten zijn Gmail, Salesforce en zelfs socialmedia-apps zoals Instagram.
Is SaaS hetzelfde als cloudcomputing?
Nee. SaaS is niet hetzelfde als cloudcomputing.
‘Cloudcomputing’ is een overkoepelende term die verwijst naar elke oplossing die op afstand wordt gehost en via internet aan klanten wordt geleverd. ‘SaaS’ betekent niet meer dan dat de applicatie in de cloud wordt gehost in en via de cloud wordt geleverd. Dat betekent echter niet dat een applicatie geen lokale componenten heeft, noch dat uw gegevens ergens in de ruimte hangen, waar iedereen er toegang tot kan krijgen.
SaaS-platforms hebben vaak zowel lokale als cloudgebaseerde componenten. Misschien nog belangrijker is dat als de SaaS-provider een zero-knowledge-beveiligingsarchitectuur gebruikt, uw gegevens nooit onbeveiligd in de cloud worden opgeslagen. Ze worden lokaal op uw apparaat opgeslagen; zelfs de SaaS-provider heeft er geen toegang toe, laat staan iemand anders.
Wat is zero-trust?
Zero-trust is een modern beveiligingssysteem dat ongeautoriseerde toegang tot gegevens en services voorkomt door gebruikers te laten bewijzen dat ze daadwerkelijk de bevoegde persoon of eigenaar zijn voordat ze toegang krijgen tot een netwerk. Bovendien krijgen gebruikers, zelfs zodra ze op een netwerk zijn geverifieerd, net genoeg toegang tot systemen en gegevens om hun werk te doen, en niet meer.
Zero-trust geeft IT-beheerders volledig inzicht in alle gebruikers, systemen en apparaten. Het stelt mensen, applicaties en services in staat om veilig te communiceren, zelfs in netwerkomgevingen. Het maakt niet uit of gebruikers thuis verbinding maken, of in hotels, koffieshops of op luchthaven, of zelfs als ze hun eigen apparaten gebruiken. Beheerders kunnen precies zien wie er verbinding maakt met het netwerk, waar en waar ze toegang toe hebben. Gebruikers hebben helemaal geen toegang totdat ze grondig zijn geverifieerd.
Wat is zero-knowledge?
Zero-knowledge is een beveiligingsarchitectuur die niet past in het traditionele voorbeeld van wat velen beschouwen als ‘cloudcomputing’, waarbij gegevens alleen in de cloud worden opgeslagen. In plaats daarvan zorgt het voor de hoogste niveaus van gegevensbeveiliging en privacy door de volgende principes te volgen:
Data wordt versleuteld en ontcijferd op apparaatniveau (niet op de server)
De applicatie slaat nooit platte tekst (voor mensen leesbaar) gegevens in de cloud op
De server ontvangt gegevens nooit als platte tekst
U bent de enige persoon die uw gegevens kan bekijken
Voor het delen van gegevens wordt openbare sleutelcryptografie voor veilige sleuteldistributie gebruikt
Wanneer gegevens met een ander apparaat worden gesynchroniseerd, blijven de gegevens versleuteld totdat ze op het andere apparaat worden ontcijferd
Geweldig. Maar wat betekent dat allemaal, in gewone taal?
Was die informatie voor u iets te technisch? U bent de enige niet! Zero-knowledge is een lastig concept, zelfs voor mensen die goed op de hoogte zijn van technologie. Hier is een metafoor voor het uitleggen van zero-knowledge in gewone taal:
Stel voor dat er een magische doos is met een magische sleutel. Zodra u iets in de doos doet en deze met deze sleutel op slot doet, verandert de inhoud in stof. Alleen de magische sleutel kan de inhoud herstellen, dus zelfs als iemand de doos zou kraken, is er alleen stof te vinden.
Dit werkt net zo met een zero-knowledge SaaS-provider:
U plaatst een item in de magische doos die u vervolgens met de magische sleutel vergrendelt.
U geeft de magische doos aan de SaaS-provider, maar u houdt de magische sleutel.
Wanneer u het item terug wilt, geeft de SaaS-provider u de vergrendelde doos.
U gebruikt uw magische sleutel, die u de hele tijd hebt bewaard, om de doos te openen en uw item op te halen.
In dit geval bevat de ‘magische doos’ uw versleutelde gegevens (die net zo nuttig zijn als stof) en is de magische sleutel uw ontcijfersleutel, waartoe alleen u toegang heeft, omdat die op uw apparaat is opgeslagen, niet in de cloud.
Bovendien ligt deze magische sleutel niet zomaar ergens waar hij kan worden gestolen. De sleutel is afgeleid van uw wachtwoord en bestaat dus niet eens totdat u uw wachtwoord en een tweede authenticatiefactor, zoals een hardware- of CAC-kaart, invoert. Nadat u bent uitgelogd of wanneer de sessie is verlopen, verdwijnt de sleutel weer totdat u zich opnieuw hebt geverifieerd.
Wat zijn de grootste voordelen van zero-knowledge SaaS?
Zero-knowledge SaaS-oplossingen stellen organisaties in staat om te genieten van alle voordelen van cloudcomputing, gekoppeld aan de hoogste niveaus van beveiliging, privacy en totale controle over hun gegevens. Deze voordelen zijn:
Lagere kosten: robuuste SaaS-platforms kunnen in vrijwel elke tech-stack worden geïntegreerd, zonder dat er extra software of hardware nodig is. De SaaS-leverancier is verantwoordelijk voor het onderhoud en alle upgrades.
Eenvoudige integratie met gecentraliseerde identiteitssystemen: de zero-trust-strategie van de federale overheid, zoals beschreven in EO 14028 en OMB M-22-0-9, legt aanzienlijke nadruk op sterke identiteits- en toegangscontroles van ondernemingen, waaronder multifactorauthenticatie (MFA). Zero-knowledge SaaS-platforms kunnen eenvoudiger worden geïntegreerd met moderne identiteitsbeheersystemen dan traditionele oplossingen op locatie.
Verbeterde beveiliging: EO 14028 vereist dat alle gegevens tijdens het verzenden versleuteld zijn. Zero-knowledge-oplossingen zijn met die functie ontworpen.
Snelle installatie en implementatie: zonder hardware die geconfigureerd hoeft te worden of afzonderlijk software die op de computer van elke gebruiker hoeft te worden gedownload, zijn SaaS-oplossingen veel eenvoudiger te installeren en te configureren dan oplossingen op locatie.
Schaalbaarheid en flexibiliteit: SaaS-producten kunnen worden aangepast aan elke organisatie en omdat ze op abonnementsbasis worden verkocht, kunnen klanten hun licenties eenvoudig aanpassen wanneer hun bedrijfsbehoeften veranderen.
Besluitvormers van overheden hoeven niet bang te zijn voor SaaS-producten, zolang ze een oplossing kiezen die zero-knowledge is en natuurlijk door FedRAMP is geautoriseerd. Zero-knowledge en door FedRAMP geautoriseerde SaaS-oplossingen bieden een betere beveiliging tegen lagere kosten dan traditionele software op locatie. Overheidsinstanties kunnen daarmee ook hun services verbeteren en die op efficiëntere wijze aan het publiek leveren.
Keeper Security
Keeper Security transformeert de manier waarop mensen en organisaties over de hele wereld hun wachtwoorden, geheimen en vertrouwelijke informatie beveiligen. Het gebruiksvriendelijke cyberbeveiligingsplatform van Keeper is gebouwd met zero-trust en zero-knowledge beveiliging om elke gebruiker op elk apparaat te beschermen. Keeper wordt vertrouwd door miljoenen individuen en duizenden organisaties en is de leider op het gebied van wachtwoordbeheer,
geheimenbeheer, geprivilegieerde toegang, veilige toegang op afstand en versleutelde
berichtenuitwisseling.
Haal het nieuwste cyberbeveiligingsnieuws en -updates die direct naar uw inbox worden gestuurd
Deel dit blog
Dit vindt u mogelijk ook leuk
Wat is cijfertekst?
Cijfertekst verwijst naar gegevens die versleuteld en onleesbaar zijn. De enige manier om versleutelde gegevens te lezen, is door deze te ontsleutelen met een encryptiesleutel. Aangezien cijfertekst niet kan worden gelezen zonder een encryptiesleutel, is dit...