Преимущества и недостатки безопасности SaaS сервиса. Решение по безопасности SaaS сервиса от компании IBM. Обеспечение безопасности облака от компании КРОК

в 6:17, , рубрики: cloud computing, IBM, it security, SaaS, SaaS / S+S, информационная безопасность, КРОК, Облачные вычисления, метки: , , , , , ,

Облачные вычисления охватывают большой спектр различных вычислительных ресурсов и услуг, используемых пользователями через Интернет. Такие решения позволяют строить информационные системы для управления без приобретения «коробочных» продуктов.
Это дает возможность потребителям решить проблемы несанкционированного использования программного обеспечения, а также снизить большой процент затрат на построение центров обработки данных. Облачные технологии имеют возможность мгновенно реагировать на увеличение спроса по вычислительным мощностям, что позволяет решить вопросы, связанные с длительным временем построения и ввода в эксплуатацию крупных объектов IT инфраструктуры.

В данной статье мы рассмотрим преимущества и недостатки безопасности SaaS сервиса

SaaS имеет повсеместный доступ, его можно использовать в любом месте, где есть выход в интернет. Доступ к ПО предоставляется удаленно по сетевым каналам. Это может быть Веб-интерфейс, терминальный доступ или тонкие клиенты. Программное обеспечение развертывается в центре обработки данных в виде единого программного ядра. Простота внедрения, возможность сделать полноценное тестирование системы перед покупкой, низкая стоимость и возможность доступа к системе из любой точки – основные плюсы SaaS.
Однако, у SaaS есть не только достоинства. Самым большим недостатком сервиса является вопрос безопасности хранимых данных клиентов. Многие российские компании не привыкли хранить свои проекты и клиентские базы на чужих серверах из-за боязни конфиденциальности данных.
По их мнению, штат собственных квалифицированных специалистов по информационной безопасности, защитит общие базы куда надежнее, чем компания, предоставляющая услугу и имеющая очень отдаленное представление об информационной безопасности. Кроме того, пользователи зависимы от интернета. В случаи потери доступа в интернет – теряется доступ к SaaS. Пользователь не управляет серверами, операционными системами, сетью, хранением данных и даже некоторыми возможностями приложений, в результате чего основная обязанность по обеспечению информационной безопасности практически полностью ложится на провайдеров, предоставляющих услуги по облачным вычислениям.
Провайдеры облачных услуг далеко не всегда стремятся усложнять свою платформу интеграцией с системой управления идентификацией. Существуют несколько технологий, позволяющих расширить управление доступом на основе ролей в облаке, например через технологию единого доступа (single sign-on, SSO). Но в целом, эта область находится все еще на ранней стадии развития. В настоящий момент каждый из крупных игроков на рынке SaaS стремится создать свою технологию взаимосвязи с клиентом. У Google есть Secure Data Connector, который формирует шифрованное соединение между данными клиентов и бизнес-приложениями Google и позволяет клиенту контролировать, какие сотрудники могут получать доступ к ресурсам Google Apps, а какие нет. CRM Salesforce обеспечивает похожий функционал, реализованный на собственной технологии. При обращении клиентов к множеству различных SaaS-приложений растет и количество используемых инструментов безопасности, что может привести к неповоротливости и плохой масштабируемости такой модели. Существуют несколько сторонних продуктов, которые, по крайней мере, предполагают возможность их использования при подключении к множеству типов SaaS-приложений, но на данный момент они еще не достаточно опробованы провайдерами. Поэтому управление идентификационными данными и контролем доступа для корпоративных приложений, по мнению экспертов Digital Design, остается одной из основных проблем, стоящих перед ИТ сегодня.

Стандарт ISO 27001 описывает требования в области информационной безопасности. Это достаточно всеобъемлющий стандарт, охватывающий многие аспекты безопасности, которые могут беспокоить клиентов. Для провайдеров и клиентов может быть интересен ISO 27002, описывающий практические правила управления информационной безопасностью. Этот стандарт можно использовать при построении облака SaaS, но в любом случае необходима разработка специального стандарта для облачных вычислений.
В настоящее время очень мало крупных IT компаний предлагает решение по безопасности SaaS-сервисов. Рассмотрим наиболее эффективное решение по безопасности Saas от компания IBM, а также рассмотрим решение по защите «облака» от российской компании КРОК.

Решения по безопасности SaaS-приложений от компании IBM

Требования к безопасности SaaS-приложений

К системе безопасности эффективных SaaS-приложений с совместной арендой предъявляется несколько требований

1. Система должна предоставлять защиту и управление доступом для функций, основанных на полномочиях.
2. Пользовательские данные могут размещаться в информационной среде внутри предприятия. Система должна предоставлять механизмы аутентификации пользователей с использованием данных, размещенных во внутренней информационной среде, и авторизации с использованием данных управления доступом, предоставляемых по требованию.
3. В силу строгих требований арендаторов к изоляции данных и исполнению нормативных требований пользовательские данные могут размещаться в выделенной базе данных, предоставляемой каждому из арендаторов по требованию. Система должна предоставлять механизм аутентификации и авторизации пользователей в изолированной области базы данных, настроенной специально для арендатора, которому принадлежат пользователи.
4. Пользовательские данные могут размещаться в базе данных общего пользования:
5. В среде, предоставляющей данные по требованию, но схемы базы данных могут быть разными.Система должна предоставлять механизм аутентификации и авторизации в базе данных общего пользования, с различными схемами базы данных, настроенными для конкретного арендатора, которому принадлежат пользователи.
6. В общей схеме в среде предоставляемой по требованию. Система должна предоставлять механизм аутентификации и авторизации пользователей с использованием базы данных общего пользования и общей схемы, используемой для всех арендаторов.
7. Пользовательские данные могут размещаться в базе данных общего пользования.
8. Система должна предоставлять механизм, позволяющий администратору каждого арендатора создавать, изменять и удалять учетные записи пользователей данного арендатора в каталоге пользовательских учетных записей.

Для удовлетворения требований к безопасности SaaS-приложений архитектура должна соответствовать требованиям к аутентификации и авторизации.

В данной статье рассматриваются два сценария

1. База данных учетных записей пользователей в среде, предоставляемой по требованию.
В данном сценарии архитектура должна предоставлять специализированные сервисы безопасности для аутентификации и авторизации пользователей с использованием централизованной базы данных пользовательских учетных записей с совместной арендой, а также специализированной базы данных арендатора. Архитектура должна также предоставлять интерфейс, позволяющий арендаторамы создавать, изменять и удалять учетные записи пользователей, принадлежащих данному арендатору, в каталоге пользовательских учетных записей.
Этот подход рекомендуется в случае, если для потребителей сервиса не важно наличие единого входа (single sign-on). Например, его можно использовать для обслуживания покупателей.
2. База данных учетных записей пользователей размещена внутри предприятия.
В данном сценарии арендатор разворачивает сервер федерирования, который взаимодействует с его собственным сервисом каталога пользователей. Когда конечный пользователь обращается к приложению, сервер федерирования арендатора выполняет локальную аутентификацию пользователя и договаривается с сервером федерирования SaaS о предоставлении пользователю подписанного маркера доступа. Маркер доступа, предоставленный сервером федерирования арендатора, используется поставщиком SaaS для авторизации.
Этот подход рекомендуется в случае, если для потребителей сервиса важен единый вход. Его также можно применять для бизнес-пользователей.
Размещение базы данных учетных записей пользователей внутри предприятия
SaaS-поставщик может использовать готовый коммерческий сервер федерирования для защищенной передачи маркера федерирования между приложениями, расположенными в различных доменах безопасности. SaaS-поставщику необходимо сервер федерирования, который взаимодействует с другими SSO-решениями, применяемыми корпоративными пользователями в среде сервисов по требованию. Сервер федерирования внутри предприятия должен иметь доверительные взаимоотношения с соответствующим сервером федерирования сети SaaS-поставщика.

При размещении базы данных учетных записей пользователей на предприятии заказчика также необходимо

1. Разработать сервлетный фильтр для извлечения из HTTP-заголовков имен пользователей, аутентифицированных с использованием сервера федерирования, и создания действительных пар принципал/субъект.
2. Использовать специализированный сервис безопасности на основе JAAS (Java Authentication and Authorization Service), позволяющий удовлетворить требования SaaS в отношении авторизации при совместной аренде.
3. Вызывать API сервиса безопасности из сервлетного фильтра для авторизации пользователя.
4. Настроить сервлетный фильтр при помощи Controller Servlet of Presentation Framework на основе шаблона проектирования модель-представление-контроллер (model-view-controller – MVC), чтобы гарантировать, что входящие запросы удовлетворяют требованиям безопасности.

Решения по безопасности “облака” от компании КРОК

Компания КРОК предлагает два типа средств защиты

1. Средства, интегрируемые внутри виртуальной платформой «облака».
2. Наложенные средства защиты, обеспечивающие защиту облачного периметра.
Как правило, к технологиям защиты, предполагающим интеграцию на уровне виртуальной платформы, относятся решения, позволяющие обеспечить разграничение доступа пользователей и администраторов к ресурсам «облака», а также реализовать механизмы защиты виртуальной ИТ-инфраструктуры (например, антивирусная защита, межсетевое экранирование).
Выбор конкретных средств защиты, интегрируемых внутри «облака», зависит от особенностей виртуальной платформы и осуществляется с учетом ее специфики.
К технологиям защиты, используемым на уровне облачного периметра, относятся межсетевое экранирование, шифрование трафика, предотвращение вторжений и пр.
При предоставлении ресурсов своего виртуального дата-центра используются сервисы, обеспечивающие защиту от стандартных (утечка информации, сетевые атаки) и специфических облачных угроз (зависимость от провайдера, несоблюдение требования регулирующих органов).

Сервисы безопасности «облака»

1. Межсетевое экранирование (Firewall)
2. Предотвращение вторжений (IDS / IPS)
3. Создание защищенных каналов связи (VPN / SSL VPN)
4. Защита от атак типа «отказ в обслуживании» (DoS/DDoS)
5. Антивирусная защита
6. Антиспам-защита

Сервисы безопасности реализуются на базе специализированного узла защиты, выполняющего также функции защиты самого «облака». Архитектура предполагает использование механизмов защиты, встроенных в Виртуальный дата-центр, позволяющих разграничивать ресурсы клиентов между собой, а также сервисов безопасности, предоставляемых клиентам для защиты ресурсов, размещаемых в «облаке».

Заключение

Решение, предложенное от компании IBM, одно из наиболее эффективных в настоящее время. Многие крупнейшие нефтяные холдинги используют подобное решение для своих задач. Также стоит заметить, что системные интеграторы также активно продвигают решения по безопасности облачных вычислений, что говорит о том, что защита SaaS сервисов – актуальная тема в настоящее время.
Но не стоит забывать, многие разработчики часто используют западные платформы для разработки и хостинга своих приложений, что приводит к тому, что данные фактически хранятся за пределами России. Такая ситуация увеличивает геополитические риски. Кроме того, Saas неоднократно подвергался критике со стороны IT специалистов. Например, основатель движения способного ПО, проекта GNU, Ричард Столлман охарактеризовал данную технологию как «эквивалент всеобщего шпионского ПО и большой «черной дверью» (дает оператору сервера неправомерную власть над пользователем).

Автор: avberdnik

Источник

Поделиться

* - обязательные к заполнению поля