У модели SaaS проблемы из-за паролей, PaaS — из-за шифрования, IaaS — из-за пользователей-хулиганов
Облачные вычисления многим кажутся одной большой волной, накрывшей мир бизнеса. Тем не менее есть разные типы облаков, определяющие связанные с ними риски, а также методологии снижения этих рисков. Марк О’Нейл, технический директор компании Vordel, анализирует различные вопросы безопасности SaaS, PaaS и IaaS в издании Computing Technology Review.
ПО как сервис (Software as a Service или SaaS). Проблема номер 1 — управление паролями. В модели SaaS приложения находятся в облаке, поэтому главным риском является использование нескольких учетных записей для доступа к приложениям, считает О’Нейл: “Организации могут решить эту проблему благодаря унификации учетных записей для облачных и локальных систем. При использовании системы единого входа, пользователи получают доступ к рабочим станциям и облачным сервисам с помощью одной учетной записи… Этот подход уменьшает вероятность появления “подвисших” учетных записей, подверженных несанкционированному использованию после увольнения сотрудников”.
Платформа как сервис (Platform as a Service или PaaS). Проблема номер 1 — шифрование данных. Модель PaaS изначально безопасна, но риск заключается в недостаточной производительности системы. Причина в том, что при обмене данными с провайдерами PaaS рекомендуется использовать шифрование, а это требует дополнительных процессорных мощностей, сказал О’Нейл. Тем не менее в любом решении передача “конфиденциальных данных пользователей, таких как домашние адреса, номера социального страхования и записи в медицинских карточках”, должна осуществляться по шифрованному каналу.
Инфраструктура как сервис (Infrastructure as a Service или IaaS). Проблема номер 1 — пользователи-хулиганы. IaaS фокусируется на управлении виртуальными машинами, поэтому риски здесь слегка отличаются от тех, что присущи другим типам облачных сервисов. Главный риск заключается в хулиганском или неправомерном управлении сервисами. Эксплуатация IaaS требует мониторинга администрирования и использования. О’Нейл рекомендует использовать корпоративные фреймворки для управления сервисами, которые помогают предотвращать неправомерный доступ сотрудников к информации или неправомерное использование сервисов: “Это также помогает предотвратить повышение расходов на виртуальные машины или использование в личных целях ресурсов, оплачиваемых компанией”.