 |
|
|
|
Безопасный SaaS. Как избежать утечки данных
Безопасный SaaS Тема SaaS сегодня, пожалуй, одна из наиболее обсуждаемых среди специалистов ИТ. Soft as a Service – это доступно, удобно и недорого. Все с этим соглашаются, но не спешат использовать Что дает SaaS? Прежде всего экономию денег. Вместо того, чтобы отдавать огромную сумму за продукт, клиент ограничивается «абонентской платой», которая в десятки, а то и сотни раз меньше стоимости коробочного решения. Второй важный момент – это мобильность. Доступ к программе возможен из любой точки земного шара – нужен компьютер и Интернет. Далее – экономия на обслуживании ПО. Поставщики SaaS постоянно совершенствуют свои программы, а обновления, как правило, клиент получает бесплатно. В Америке и Европе очевидность выгоды SaaS ни для кого уже не секрет. По оценкам аналитиков, доля рынка ПО, продающегося по модели Soft as a Service, неуклонно растет. В России картина другая. Несмотря на очевидные преимущества такого ПО, многие компании не торопятся переходить на работу «в браузере». Самая распространенная причина – сомнение в сохранности и конфиденциальности данных. Рассмотрим возможные сценарии утечки информации. Сценарий первый – взлом сервера Поставщики софта хранят данные в международных дата-центрах с повышенным уровнем защиты информации. Обеспечение безопасности и сохранности данных – это одна из главных задач любого дата-центра. Работа ведется в нескольких направлениях – защита от физического повреждения серверов (системы охраны, кондиционирования, пожаротушения и пр.), защита информации (резервное копирование, системы предотвращения распространения вирусов, защита от DDOS-атак, SFTP-протокол, ограничение доступа по IP-адресам к протоколу FTP на случай кражи пароля и пр.), предупреждение мошенничества (система защиты от недобросовестных сотрудников), служба технической поддержки… Такое качество защиты может позволить себе только крупная компания с внушительным IT-бюджетом. Очевидно, что малый бизнес, как правило, не имеет возможности построить себе свой собственный дата-центр со всеми современными средствами его защиты. Получается, что данные, хранящиеся на серверах компании – поставщика SaaS-решения, защищены лучше, чем те, что хранятся на жестких дисках офисных компьютеров. Сценарий второй – перехват данных Чтобы избежать утечки данных на этапе их передачи, поставщики SaaS-решений используют https-протокол. HTTPS не является отдельным протоколом. Это обычный http, но работающий через шифрованные транспортные механизмы SSL и TLS. Его задача – обеспечить защиту от атак во время сетевого соединения. Этот же протокол используют и многие другие компании для защиты информации. Сценарий третий – подмена сайта Сегодня одна из распространенных методик получения доступа к данным – это подмена сайта. Для обеспечения безопасности поставщиками услуг приобретается сертификат, который призван обеспечить уверенность клиента в том, что при обращении на сайт поставщика софта он попадает по указанному адресу. Использование такого сертификата делает невозможной подделку аккаунта и гарантирует, что пользователь вводит свой логин и пароль не на сервере злоумышленника. Сценарий четвертый – недобросовестность сотрудника К сожалению, подкуп сотрудника или внедрение «засланного казачка» в штат компании – один из методов конкуренции. Каждая компания выстраивает защиту от этого по-своему. В нашем SaaS-продукте «Мегаплан» мы используем настройки прав доступа сотрудников. Человек, получающий доступ в систему, будет видеть только ту информацию, к которой ему предоставлен доступ. Таким образом, даже «продав» кому-то свой логин и пароль от системы, он не сможет нанести значительный урон компании. *** Чтобы быть наверняка уверенным в том, что ваши данные не потеряются, SaaS-компании предоставляют возможность их выгрузки в формате exel или csv, а также резервного копирования системы. Только хранить их мы не рекомендуем на ваших офисных компьютерах. Почему – читайте выше. |
Комментарии отсутствуют
| Добавить комментарий |
|
Комментарии могут оставлять только зарегистрированные пользователи |
|
