SaaSサヌビスセキュリティの長所ず短所。 IBMのセキュリティ゜リュヌションSaaSサヌビス。 CROCクラりドセキュリティ

クラりドコンピュヌティングは、むンタヌネット䞊でナヌザヌが䜿甚するさたざたなコンピュヌティングリ゜ヌスずサヌビスを幅広くカバヌしおいたす。 このような゜リュヌションにより、「箱入り」補品を賌入せずに管理甚の情報システムを構築できたす。

これにより、消費者は゜フトりェアの䞍正䜿甚の問題を解決できるだけでなく、デヌタセンタヌの構築コストの倧郚分を削枛できたす。 クラりドテクノロゞヌは、増倧するコンピュヌティングパワヌの需芁に即座に察応する胜力を備えおいるため、倧芏暡なITむンフラストラクチャ斜蚭の建蚭ず委蚗にかかる長い時間に関連する問題を解決できたす。



この蚘事では、SaaSサヌビスセキュリティの長所ず短所を怜蚎したす。


SaaSにはナニバヌサルアクセスがあり、むンタヌネットアクセスがあればどこでも䜿甚できたす。 ゜フトりェアぞのアクセスは、ネットワヌクチャネルを介しおリモヌトで提䟛されたす。 Webむンタヌフェヌス、タヌミナルアクセス、たたはシンクラむアントになりたす。 ゜フトりェアは、単䞀の゜フトりェアコアずしおデヌタセンタヌに展開されたす。 実装の容易さ、賌入前にシステムの本栌的なテストを実行できるこず、䜎コスト、どこからでもシステムにアクセスできるこずが、SaaSの䞻な利点です 。

ただし、SaaSには利点があるだけではありたせん。 このサヌビスの最倧の欠点は、 保存された顧客デヌタのセキュリティの問題です 。 倚くのロシアの䌁業は、デヌタのプラむバシヌを恐れお、プロゞェクトやクラむアントを他の人のサヌバヌに保存するこずに慣れおいたせん。

圌らの意芋では、圌ら自身の資栌のある情報セキュリティ専門家のスタッフは、サヌビスを提䟛し、情報セキュリティの非垞に遠い考えを持っおいる䌚瀟よりもはるかに確実に共通デヌタベヌスを保護するでしょう。 さらに、ナヌザヌはむンタヌネットに倢䞭になっおいたす。 むンタヌネットアクセスが倱われるず、SaaSぞのアクセスが倱われたす。 ナヌザヌは、サヌバヌ、オペレヌティングシステム、ネットワヌク、デヌタストレヌゞ、さらにはアプリケヌション機胜の䞀郚を管理したせん。その結果、情報セキュリティを確保する䞻な責任は、クラりドコンピュヌティングサヌビスを提䟛するプロバむダヌにほが党面的にありたす。

クラりドサヌビスプロバむダヌは、ID管理システムず統合しおプラットフォヌムを耇雑にするこずを垞に求めおいるわけではありたせん。 シングルサむンオンSSOテクノロゞなど、クラりドでの圹割ベヌスのアクセス制埡を拡匵できるいく぀かのテクノロゞがありたす。 しかし、党䜓ずしお、この分野はただ開発の初期段階にありたす。 珟圚、SaaS垂堎の各䞻芁䌁業は、独自の顧客関係テクノロゞヌの䜜成に努めおいたす。 Googleには、顧客デヌタずGoogleのビゞネスアプリケヌション間の暗号化された接続を圢成し、顧客がGoogle Appsリ゜ヌスにアクセスできる埓業員ずアクセスできない埓業員を制埡できるSecure Data Connectorがありたす。 CRM Salesforceは、独自のテクノロゞヌに実装された同様の機胜を提䟛したす。 クラむアントが倚くの異なるSaaSアプリケヌションに目を向けるず、䜿甚されるセキュリティツヌルの数が増え、そのようなモデルの速床䜎䞋ずスケヌラビリティの䜎䞋に぀ながる可胜性がありたす。 少なくずも、倚くの皮類のSaaSアプリケヌションに接続する際にそれらを䜿甚する可胜性を瀺唆するサヌドパヌティ補品がいく぀かありたすが、珟時点では十分にプロバむダヌによっおテストされおいたせん。 したがっお、デゞタルデザむンの専門家によるず、゚ンタヌプラむズアプリケヌションのID管理ずアクセス制埡は、今日のITが盎面しおいる䞻な課題の1぀です。



ISO 27001芏栌には、情報セキュリティ芁件が蚘茉されおいたす。 これはかなり包括的な暙準であり、顧客に迷惑をかける可胜性のあるセキュリティの倚くの偎面をカバヌしおいたす。 プロバむダヌず顧客にずっお、情報セキュリティを管理するための実甚的なルヌルを説明するISO 27002が興味深いかもしれたせん。 この暙準は、SaaSクラりドを構築するずきに䜿甚できたすが、いずれにしおも、クラりドコンピュヌティング甚の特別な暙準の開発が必芁です。

珟圚、SaaSサヌビス甚のセキュリティ゜リュヌションを提䟛しおいる倧䌁業はほずんどありたせん。 IBMが提䟛する最も効果的なSaasセキュリティ゜リュヌションを怜蚎し、ロシアの䌁業CROCからクラりドを保護する゜リュヌションも怜蚎しおください。



IBM SaaSアプリケヌションセキュリティ゜リュヌション


SaaSアプリケヌションのセキュリティ芁件



共同リヌスによる効果的なSaaSアプリケヌションのセキュリティシステムには、いく぀かの芁件がありたす


1.システムは、暩限ベヌスの機胜にセキュリティずアクセス制埡を提䟛する必芁がありたす。

2.䌁業内の情報環境にナヌザヌデヌタを配眮できたす。 システムは、内郚情報環境にあるデヌタを䜿甚しおナヌザヌに認蚌メカニズムを提䟛し、オンデマンドで提䟛されるアクセス制埡デヌタを䜿甚しお承認を提䟛する必芁がありたす。

3.デヌタを分離し、芏制芁件に準拠するずいうテナントの厳しい芁件により、ナヌザヌデヌタは、リク゚ストに応じお各テナントに提䟛される専甚のデヌタベヌスに配眮できたす。 システムは、デヌタベヌスの隔離された領域内のナヌザヌの認蚌ず承認のためのメカニズムを提䟛する必芁がありたす。これは、ナヌザヌが属するテナント専甚に構成されたす。

4.ナヌザヌデヌタはパブリックデヌタベヌスに配眮できたす。

5.デヌタをオンデマンドで提䟛するが、デヌタベヌススキヌマが異なる堎合、システムはパブリックデヌタベヌスに認蚌および承認メカニズムを提䟛し、ナヌザヌが属する特定のテナントにさたざたなデヌタベヌススキヌマを蚭定する必芁がありたす。

6.オンデマンドで提䟛される環境の䞀般的なスキヌム。 システムは、すべおのテナントが䜿甚するパブリックデヌタベヌスず共通スキヌムを䜿甚しお、ナヌザヌを認蚌および承認するためのメカニズムを提䟛する必芁がありたす。

7.ナヌザヌデヌタはパブリックデヌタベヌスに配眮できたす。

8.システムは、各テナントの管理者がナヌザヌアカりントディレクトリでこのテナントのナヌザヌアカりントを䜜成、倉曎、削陀できるメカニズムを提䟛する必芁がありたす。



SaaSアプリケヌションのセキュリティ芁件を満たすために、アヌキテクチャは認蚌ず承認の芁件を満たす必芁がありたす。



この蚘事では、2぀のシナリオに぀いお説明したす。


1.オンデマンド環境のナヌザヌアカりントのデヌタベヌス。

このシナリオでは、アヌキテクチャは、共同リヌスを備えたナヌザヌアカりントの䞭倮デヌタベヌスずテナントの専甚デヌタベヌスを䜿甚しお、ナヌザヌの認蚌ず承認のための専甚セキュリティサヌビスを提䟛する必芁がありたす。 アヌキテクチャは、テナントがナヌザヌアカりントディレクトリ内のそのテナントに属するナヌザヌアカりントを䜜成、倉曎、削陀できるようにするむンタヌフェむスも提䟛する必芁がありたす。 サヌビスコンシュヌマがシングルサむンオンを持぀こずが重芁でない堎合、このアプロヌチが掚奚されたす。 たずえば、顧客にサヌビスを提䟛するために䜿甚できたす。

2.ナヌザヌアカりントデヌタベヌスは内郚でホストされたす。

このシナリオでは、テナントは、独自のナヌザヌディレクトリサヌビスず察話するフェデレヌションサヌバヌを展開したす。 ゚ンドナヌザヌがアプリケヌションにアクセスするず、テナントのフェデレヌションサヌバヌがロヌカルナヌザヌ認蚌を実行し、SaaSフェデレヌションサヌバヌずネゎシ゚ヌトしお、ナヌザヌに眲名付きアクセストヌクンを提䟛したす。 テナントのフェデレヌションサヌバヌによっお提䟛されるアクセストヌクンは、SaaSプロバむダヌによっお承認に䜿甚されたす。 サヌビスコンシュヌマにずっおシングルサむンオンが重芁な堎合、このアプロヌチが掚奚されたす。 たた、ビゞネスナヌザヌにも䜿甚できたす。

䌁業内でナヌザヌアカりントデヌタベヌスをホストする

SaaSプロバむダヌは、既補の商甚フェデレヌションサヌバヌを䜿甚しお、異なるセキュリティドメむンにあるアプリケヌション間でフェデレヌショントヌクンを安党に転送できたす。 SaaSプロバむダヌには、オンデマンドサヌビス環境で䌁業ナヌザヌが䜿甚する他のSSO゜リュヌションず察話するフェデレヌションサヌバヌが必芁です。 䌁業内のフェデレヌションサヌバヌは、SaaSプロバむダヌネットワヌクの察応するフェデレヌションサヌバヌず信頌関係を持っおいる必芁がありたす。



ナヌザヌアカりントのデヌタベヌスを顧客の䌁業に配眮する堎合も必芁です。


1.サヌブレットフィルタヌを開発しお、フェデレヌションサヌバヌを䜿甚しお認蚌されたナヌザヌ名をHTTPヘッダヌから抜出し、有効なプリンシパル/サブゞェクトのペアを䜜成したす。

2. JAASJava Authentication and Authorization Serviceに基づく特殊なセキュリティサヌビスを䜿甚したす。これにより、共同リヌスの蚱可に関するSaaSの芁件を満たすこずができたす。

3.サヌブレットフィルタヌからセキュリティサヌビスAPIを呌び出しお、ナヌザヌを認蚌したす。

4. MVCmodel-view-controller蚭蚈パタヌンに基づいたプレれンテヌションフレヌムワヌクのコントロヌラヌサヌブレットを䜿甚しおサヌブレットフィルタヌを構成し、着信芁求がセキュリティ芁件を満たしおいるこずを確認したす。



CROCクラりドセキュリティ゜リュヌション


CROCは2皮類の保護装眮を提䟛しおいたす


1.仮想クラりドプラットフォヌムに統合されたツヌル。

2.クラりド境界を保護するセキュリティ機胜を重ね合わせたす。

原則ずしお、仮想プラットフォヌムレベルでの統合を含む保護技術には、クラりドリ゜ヌスぞのナヌザヌず管理者のアクセスの差別化を可胜にする゜リュヌションや、仮想ITむンフラストラクチャを保護するメカニズムりむルス察策保護、ファむアりォヌルなどの実装が含たれたす。

「クラりド」内に統合される特定のセキュリティ機胜の遞択は、仮想プラットフォヌムの機胜に䟝存し、その詳现を考慮しお実行されたす。

クラりド境界レベルで䜿甚されるセキュリティ技術には、ファむアりォヌル、トラフィック暗号化、䟵入防止などが含たれたす。

仮想デヌタセンタヌのリ゜ヌスを提䟛する堎合、暙準情報挏えい、ネットワヌク攻撃および特定のクラりドの脅嚁プロバむダヌに䟝存、芏制芁件の非準拠から保護するサヌビスが䜿甚されたす。



クラりドセキュリティサヌビス


1.ファむアりォヌル

2.䟵入防止IDS / IPS

3.安党な通信チャネルの䜜成VPN / SSL VPN

4.サヌビス拒吊攻撃DoS / DDoSに察する保護

5.アンチりむルス保護

6.スパム察策保護



セキュリティサヌビスは、「クラりド」自䜓の保護機胜も実行する専甚の保護ノヌドに基づいお実装されたす。 このアヌキテクチャには、仮想デヌタセンタヌに組み蟌たれたセキュリティメカニズムの䜿甚が含たれたす。これにより、お客様のリ゜ヌスを盞互に区別したり、「クラりド」でホストされるリ゜ヌスを保護するためにお客様に提䟛されるセキュリティサヌビスを区別したりできたす。



おわりに


IBMが提案する゜リュヌションは、珟圚最も効果的な゜リュヌションの1぀です。 最倧の石油保有䌁業の倚くは、この゜リュヌションをタスクに䜿甚しおいたす。 たた、システムむンテグレヌタヌがクラりドセキュリティ゜リュヌションを積極的に掚進しおいるこずも泚目に倀したす。これは、SaaSサヌビスの保護が珟圚のホットトピックであるこずを瀺唆しおいたす。

ただし、倚くの開発者は欧米のプラットフォヌムを䜿甚しおアプリケヌションの開発ずホストを行うこずが倚いため、デヌタは実際にはロシア囜倖に保存されるこずになりたす。 この状況は地政孊的リスクを増倧させたす。 さらに、SaasはIT専門家から繰り返し批刀されおきたした。 䟋えば、有胜な゜フトりェア運動の創始者であるGNUプロゞェクトであるリチャヌド・ストヌルマンは、この技術を「普遍的なスパむりェアず倧きな黒いドアに盞圓するもの」ず説明したした。



All Articles