|
|
Обзор подготовлен
По мере роста интереса к модели Software-as-a-service (SaaS) увеличивается и озабоченность по поводу безопасности такого решения. До сих пор совокупная стоимость владения была основным аргументом при рассмотрении SaaS. Но теперь, когда «облака» стали использоваться все чаще для стратегических и критически важных бизнес-приложений, безопасность вышла на первое место.
В ежегодном исследовании Gartner, проводимом среди ИТ-директоров и касающемся инвестиций в технологии, облачные вычисления резко переместились с шестнадцатой позиции на вторую. И сейчас основной задачей является обеспечение безопасности SaaS. В самом деле, подавляющее большинство клиентов, узнав об облаке, говорят, что они скорее создадут виртуальный центр обработки данных на своей территории–private cloud, поскольку плохо знакомы с вопросами безопасности SaaS и возможностями их решения.
«В связи с этим обеспечение безопасности облачных вычислений будет основным направлением деятельности вендоров в ближайшем будущем», — считает Джонатан Пенн (Jonathan Penn), аналитик Forrester Research. «Разработчики, занимающиеся безопасностью, привыкли продавать свои продукты напрямую предприятиям. Однако со временем они будут использовать облачных провайдеров для поставки своих продуктов на рынок», — добавляет он.
В модели SaaS приложение запускается на облачной инфраструктуре и доступно через веб-браузер. Клиент не управляет сетью, серверами, операционными системами, хранением данных и даже некоторыми возможностями приложений. По этой причине в модели SaaS основная обязанность по обеспечению безопасности практически полностью ложится на провайдеров.
Есть несколько рисков безопасности при использовании SaaS, которые необходимо учитывать при принятии решения о переходе на такую модель работы.
Провайдеры облачных услуг далеко не всегда стремятся усложнять свою платформу интеграцией с системой управления идентификацией. Существуют несколько технологий третьих компаний, позволяющих расширить управление доступом на основе ролей в облаке, например через технологию единого доступа (single sign-on, SSO). Но в целом эта область находится все еще на ранней стадии развития.
В настоящий момент каждый из крупных игроков на рынке SaaS стремится создать свою технологию взаимосвязи с клиентом. У Google есть Secure Data Connector, который формирует шифрованное соединение между данными клиентов и бизнес-приложениями Google и позволяет клиенту контролировать, какие сотрудники могут получать доступ к ресурсам GoogleApps, а какие нет. Salesforce обеспечивает похожий функционал, реализованный на собственной технологии.
При обращении клиентов к множеству различных SaaS-приложений растет и количество используемых инструментов безопасности, что может привести к неповоротливости и плохой масштабируемости такой модели. Существуют несколько сторонних продуктов,которые, по крайней мере,предполагают возможность их использования при подключении к множеству типов SaaS-приложений, но на данный момент они еще не достаточно опробованы провайдерами.
Поэтому управление идентификационными данными и контролем доступа для корпоративных приложений, по мнению экспертов Digital Design, остается одной из основных проблем, стоящих перед ИТ сегодня.
К сожалению, эволюция SaaS опережает деятельность по созданию и модификации необходимых отраслевых стандартов, многие из которых не обновлялись уже много лет. «Мы прошли аудит SAS 70», - первое, что обычно говорят провайдеры облачных услуг, рекламируя свои услуги с точки зрения их безопасности. Этот стандарт не является специализированным для облачных вычислений (и даже не является стандартом информационной безопасности), но он стал основным в отсутствиесоответствующих регламентирующих актов. На деле это просто базовый свод для операционного аудита.
Лучшим, по сравнению с SAS 70, является ISO 27001, описывающий требования в области информационной безопасности. Это достаточно всеобъемлющий стандарт, охватывающий многие аспекты безопасности, которые могут беспокоить клиентов. Для провайдеров и клиентов может быть интересен ISO 27002, описывающий практические правила управления информационной безопасностью.
Эти стандарты можно использовать при построении облака SaaS, но в любом случае необходима разработка специального стандарта для облачных вычислений.
Провайдеры облачных услуг утверждают, что у них больше возможностей по обеспечению защиты данных, чем у типичного клиента, и безопасность в SaaS, на самом деле, находится на более высоком уровне, чем принято думать. Но это трудно проверить, поскольку провайдеры SaaS, как правило, достаточно скрытны в этом отношении.В частности, многие из них публикуют очень мало информации о своих центрах обработки данных, утверждая, что таким образом можно скомпрометировать безопасность.
По этой причине возможности по анализу безопасности SaaS более ограничены по сравнению с обычными «домашними» системами. Конечно, можно придумать ряд способов преодолеть данные ограничения. Например, при согласии провайдера клиент может привести своих экспертов и попытаться «взломать» систему для оценки ее безопасности. Но в любом случае, необходимо четко прорабатывать, согласовывать и прописывать в SLA все гарантии работы сервиса SaaS.
Основное преимущество модели SaaS – доступность бизнес-приложений отовсюду, где есть подключение к сети интернет – также создает новые риски. Например, если организовать корпоративную электронную почту на базе сервиса Gmail, то любой сотрудник сможет войти в систему из кафе с небезопасного компьютера. В этом случае данные попадают за пределы периметра безопасности компании-клиента, что не может не беспокоить ИТ-службу.
Предприятия, которые используют или планируют использовать SaaS, должны обратить особое внимание на регулирование подключения к облаку, считают специалисты Digital Design. Это может быть контроль доступа с определенных IP адресов или обязательное подключение через VPN. Доступ также может регулироваться с помощью специализированных устройств – шлюзов безопасности, которые играют роль посредников между клиентами и облачными услугами. Еще один вариант – разграничение доступа к бизнес-приложениям таким же образом, как обычно это делается для определенных ресурсов Интернет – чатов или социальных сетей.
Дополнительным риском можно назвать низкую ИТ-квалификацию сотрудников, которым необходим доступ к облачным сервисам, особенно при доступе из-за пределов периметра безопасности клиента. И если для решения этой проблемы для внутренних пользователей возможно использовать веб-фильтрацию и мониторинг, то для внешних необходимо провести обучение.
В различных странах существует ряд нормативов, которые требуют, чтобы конфиденциальные данные оставались внутри страны. И хотя хранение данных в пределах определенной территории, на первый взгляд, не является сложной задачей, провайдеры облачных сервисов часто не могут этого гарантировать. В системах с высокой степенью виртуализации данные и виртуальные машины могут перемещаться из одной страны в другую для различных целей – балансировки нагрузки, обеспечения отказоустойчивости.
Некоторые крупные игроки на рынке SaaS (такие, как Google, Symantec) могут дать гарантию хранения данных в соответствующей стране. Но это, скорее, исключения, в целом выполнение этих требований встречается пока довольно редко. Даже если данные остаются в стране, у клиентов нет возможности проверить это. Кроме того, не надо забывать и о мобильности сотрудников компаний. Если специалист, работающий в Москве, командируется в Нью-Йорк, то лучше (или, как минимум, быстрее), чтобы он получал данные из ЦОД в США. Обеспечить это – задача уже на порядок сложнее.
На самом деле, безопасность SaaS – не такая уж и утопия, как может казаться. Конечно, многое требует улучшения, хотя и сегодняшние методы защиты данных могут вполне удовлетворить клиента.
Безопасность SaaS часто рассматривается изолированно. Но нельзя забывать, что защита данных в рамках собственной инфраструктуры до сих пор остается острой проблемой для многих компаний, а путь к идеальной (желаемой) системе безопасности лежит через значительные затраты времени и денег. Риски утечки информации, приписываемые SaaS, присущи и многим другим аспектам ИТ. Особенно это заметно по мере роста использования персональных мобильных устройств, используемых работниками. Такие гаджеты – настоящая головная боль для службы безопасности любой организации. Очевидно, что многие, отрицательно отзывающиеся о безопасности SaaS, забывают, что их собственная инфраструктура также не идеальна. Но такого негативного мнения для многих достаточно, чтобы отложить рассмотрение вопроса об использования SaaS в собственной организации на неопределённый срок.
Конечно, не все услуги «одинаково полезны». Некоторые провайдеры и в самом деле могут неприятно удивить своим качеством. Поэтому выбор поставщика услуг должен всегда основываться на внимательном анализе соответствия возможностей и гарантий бизнес-требованиям компании. «Правильный» SaaS провайдер обсудит применяемые стратегии безопасности со своими клиентами. Если с качеством предоставления услуг все в порядке, то приложения SaaS обеспечат такой же уровень безопасности, как и решения, работающие в собственной инфраструктуре предприятия.
Алексей Иванов