SaaSサービスセキュリティの長所と短所。 IBMのセキュリティソリューションSaaSサービス。 CROCクラウドセキュリティ

クラウドコンピューティングは、インターネット上でユーザーが使用するさまざまなコンピューティングリソースとサービスを幅広くカバーしています。 このようなソリューションにより、「箱入り」製品を購入せずに管理用の情報システムを構築できます。

これにより、消費者はソフトウェアの不正使用の問題を解決できるだけでなく、データセンターの構築コストの大部分を削減できます。 クラウドテクノロジーは、増大するコンピューティングパワーの需要に即座に対応する能力を備えているため、大規模なITインフラストラクチャ施設の建設と委託にかかる長い時間に関連する問題を解決できます。

この記事では、SaaSサービスセキュリティの長所と短所を検討します。

SaaSにはユニバーサルアクセスがあり、インターネットアクセスがあればどこでも使用できます。 ソフトウェアへのアクセスは、ネットワークチャネルを介してリモートで提供されます。 Webインターフェース、ターミナルアクセス、またはシンクライアントになります。 ソフトウェアは、単一のソフトウェアコアとしてデータセンターに展開されます。 実装の容易さ、購入前にシステムの本格的なテストを実行できること、低コスト、どこからでもシステムにアクセスできることが、SaaSの主な利点です 。

ただし、SaaSには利点があるだけではありません。 このサービスの最大の欠点は、 保存された顧客データのセキュリティの問題です 。 多くのロシアの企業は、データのプライバシーを恐れて、プロジェクトやクライアントを他の人のサーバーに保存することに慣れていません。

彼らの意見では、彼ら自身の資格のある情報セキュリティ専門家のスタッフは、サービスを提供し、情報セキュリティの非常に遠い考えを持っている会社よりもはるかに確実に共通データベースを保護するでしょう。 さらに、ユーザーはインターネットに夢中になっています。 インターネットアクセスが失われると、SaaSへのアクセスが失われます。 ユーザーは、サーバー、オペレーティングシステム、ネットワーク、データストレージ、さらにはアプリケーション機能の一部を管理しません。その結果、情報セキュリティを確保する主な責任は、クラウドコンピューティングサービスを提供するプロバイダーにほぼ全面的にあります。

クラウドサービスプロバイダーは、ID管理システムと統合してプラットフォームを複雑にすることを常に求めているわけではありません。 シングルサインオン（SSO）テクノロジなど、クラウドでの役割ベースのアクセス制御を拡張できるいくつかのテクノロジがあります。 しかし、全体として、この分野はまだ開発の初期段階にあります。 現在、SaaS市場の各主要企業は、独自の顧客関係テクノロジーの作成に努めています。 Googleには、顧客データとGoogleのビジネスアプリケーション間の暗号化された接続を形成し、顧客がGoogle Appsリソースにアクセスできる従業員とアクセスできない従業員を制御できるSecure Data Connectorがあります。 CRM Salesforceは、独自のテクノロジーに実装された同様の機能を提供します。 クライアントが多くの異なるSaaSアプリケーションに目を向けると、使用されるセキュリティツールの数が増え、そのようなモデルの速度低下とスケーラビリティの低下につながる可能性があります。 少なくとも、多くの種類のSaaSアプリケーションに接続する際にそれらを使用する可能性を示唆するサードパーティ製品がいくつかありますが、現時点では十分にプロバイダーによってテストされていません。 したがって、デジタルデザインの専門家によると、エンタープライズアプリケーションのID管理とアクセス制御は、今日のITが直面している主な課題の1つです。



ISO 27001規格には、情報セキュリティ要件が記載されています。 これはかなり包括的な標準であり、顧客に迷惑をかける可能性のあるセキュリティの多くの側面をカバーしています。 プロバイダーと顧客にとって、情報セキュリティを管理するための実用的なルールを説明するISO 27002が興味深いかもしれません。 この標準は、SaaSクラウドを構築するときに使用できますが、いずれにしても、クラウドコンピューティング用の特別な標準の開発が必要です。

現在、SaaSサービス用のセキュリティソリューションを提供している大企業はほとんどありません。 IBMが提供する最も効果的なSaasセキュリティソリューションを検討し、ロシアの企業CROCからクラウドを保護するソリューションも検討してください。

IBM SaaSアプリケーションセキュリティソリューション

SaaSアプリケーションのセキュリティ要件

共同リースによる効果的なSaaSアプリケーションのセキュリティシステムには、いくつかの要件があります

1.システムは、権限ベースの機能にセキュリティとアクセス制御を提供する必要があります。

2.企業内の情報環境にユーザーデータを配置できます。 システムは、内部情報環境にあるデータを使用してユーザーに認証メカニズムを提供し、オンデマンドで提供されるアクセス制御データを使用して承認を提供する必要があります。

3.データを分離し、規制要件に準拠するというテナントの厳しい要件により、ユーザーデータは、リクエストに応じて各テナントに提供される専用のデータベースに配置できます。 システムは、データベースの隔離された領域内のユーザーの認証と承認のためのメカニズムを提供する必要があります。これは、ユーザーが属するテナント専用に構成されます。

4.ユーザーデータはパブリックデータベースに配置できます。

5.データをオンデマンドで提供するが、データベーススキーマが異なる場合、システムはパブリックデータベースに認証および承認メカニズムを提供し、ユーザーが属する特定のテナントにさまざまなデータベーススキーマを設定する必要があります。

6.オンデマンドで提供される環境の一般的なスキーム。 システムは、すべてのテナントが使用するパブリックデータベースと共通スキームを使用して、ユーザーを認証および承認するためのメカニズムを提供する必要があります。

7.ユーザーデータはパブリックデータベースに配置できます。

8.システムは、各テナントの管理者がユーザーアカウントディレクトリでこのテナントのユーザーアカウントを作成、変更、削除できるメカニズムを提供する必要があります。



SaaSアプリケーションのセキュリティ要件を満たすために、アーキテクチャは認証と承認の要件を満たす必要があります。

この記事では、2つのシナリオについて説明します。

1.オンデマンド環境のユーザーアカウントのデータベース。

このシナリオでは、アーキテクチャは、共同リースを備えたユーザーアカウントの中央データベースとテナントの専用データベースを使用して、ユーザーの認証と承認のための専用セキュリティサービスを提供する必要があります。 アーキテクチャは、テナントがユーザーアカウントディレクトリ内のそのテナントに属するユーザーアカウントを作成、変更、削除できるようにするインターフェイスも提供する必要があります。 サービスコンシューマがシングルサインオンを持つことが重要でない場合、このアプローチが推奨されます。 たとえば、顧客にサービスを提供するために使用できます。

2.ユーザーアカウントデータベースは内部でホストされます。

このシナリオでは、テナントは、独自のユーザーディレクトリサービスと対話するフェデレーションサーバーを展開します。 エンドユーザーがアプリケーションにアクセスすると、テナントのフェデレーションサーバーがローカルユーザー認証を実行し、SaaSフェデレーションサーバーとネゴシエートして、ユーザーに署名付きアクセストークンを提供します。 テナントのフェデレーションサーバーによって提供されるアクセストークンは、SaaSプロバイダーによって承認に使用されます。 サービスコンシューマにとってシングルサインオンが重要な場合、このアプローチが推奨されます。 また、ビジネスユーザーにも使用できます。

企業内でユーザーアカウントデータベースをホストする

SaaSプロバイダーは、既製の商用フェデレーションサーバーを使用して、異なるセキュリティドメインにあるアプリケーション間でフェデレーショントークンを安全に転送できます。 SaaSプロバイダーには、オンデマンドサービス環境で企業ユーザーが使用する他のSSOソリューションと対話するフェデレーションサーバーが必要です。 企業内のフェデレーションサーバーは、SaaSプロバイダーネットワークの対応するフェデレーションサーバーと信頼関係を持っている必要があります。

ユーザーアカウントのデータベースを顧客の企業に配置する場合も必要です。

1.サーブレットフィルターを開発して、フェデレーションサーバーを使用して認証されたユーザー名をHTTPヘッダーから抽出し、有効なプリンシパル/サブジェクトのペアを作成します。

2. JAAS（Java Authentication and Authorization Service）に基づく特殊なセキュリティサービスを使用します。これにより、共同リースの許可に関するSaaSの要件を満たすことができます。

3.サーブレットフィルターからセキュリティサービスAPIを呼び出して、ユーザーを認証します。

4. MVC（model-view-controller）設計パターンに基づいたプレゼンテーションフレームワークのコントローラーサーブレットを使用してサーブレットフィルターを構成し、着信要求がセキュリティ要件を満たしていることを確認します。

CROCクラウドセキュリティソリューション

CROCは2種類の保護装置を提供しています

1.仮想クラウドプラットフォームに統合されたツール。

2.クラウド境界を保護するセキュリティ機能を重ね合わせます。

原則として、仮想プラットフォームレベルでの統合を含む保護技術には、クラウドリソースへのユーザーと管理者のアクセスの差別化を可能にするソリューションや、仮想ITインフラストラクチャを保護するメカニズム（ウイルス対策保護、ファイアウォールなど）の実装が含まれます。

「クラウド」内に統合される特定のセキュリティ機能の選択は、仮想プラットフォームの機能に依存し、その詳細を考慮して実行されます。

クラウド境界レベルで使用されるセキュリティ技術には、ファイアウォール、トラフィック暗号化、侵入防止などが含まれます。

仮想データセンターのリソースを提供する場合、標準（情報漏えい、ネットワーク攻撃）および特定のクラウドの脅威（プロバイダーに依存、規制要件の非準拠）から保護するサービスが使用されます。

クラウドセキュリティサービス

1.ファイアウォール

2.侵入防止（IDS / IPS）

3.安全な通信チャネルの作成（VPN / SSL VPN）

4.サービス拒否攻撃（DoS / DDoS）に対する保護

5.アンチウイルス保護

6.スパム対策保護



セキュリティサービスは、「クラウド」自体の保護機能も実行する専用の保護ノードに基づいて実装されます。 このアーキテクチャには、仮想データセンターに組み込まれたセキュリティメカニズムの使用が含まれます。これにより、お客様のリソースを相互に区別したり、「クラウド」でホストされるリソースを保護するためにお客様に提供されるセキュリティサービスを区別したりできます。

おわりに

IBMが提案するソリューションは、現在最も効果的なソリューションの1つです。 最大の石油保有企業の多くは、このソリューションをタスクに使用しています。 また、システムインテグレーターがクラウドセキュリティソリューションを積極的に推進していることも注目に値します。これは、SaaSサービスの保護が現在のホットトピックであることを示唆しています。

ただし、多くの開発者は欧米のプラットフォームを使用してアプリケーションの開発とホストを行うことが多いため、データは実際にはロシア国外に保存されることになります。 この状況は地政学的リスクを増大させます。 さらに、SaasはIT専門家から繰り返し批判されてきました。 例えば、有能なソフトウェア運動の創始者であるGNUプロジェクトであるリチャード・ストールマンは、この技術を「普遍的なスパイウェアと大きな黒いドアに相当するもの」と説明しました。