Модель "Программное обеспечение как услуга" (SaaS) стабильно набирает популярность как в корпоративной сфере, так и среди домашних пользователей. Согласно отчету компании Gartner , выпущенному в июле 2011 г., доходы поставщиков услуг по модели SaaS достигли в 2010 г. 10 миллиардов долларов и продолжают расти. Эксперты Gartner прогнозируют, что в 2011 г. это значение превысит показатель предыдущего года на 20% и достигнет 12,1 миллиарда долларов.
В компании Gartner модель SaaS определяют как программное обеспечение, "принадлежащее одному или нескольким поставщикам услуг, которые предоставляют его и удаленно управляют им. Поставщик услуг предоставляет приложение, основанное на едином наборе общего кода и определений данных, используемое по модели "один ко многим" всеми клиентами, заключившими контракт, которые оплачивают услуги по факту их оказания или по подписке на основе метрик" . Примером, который фигурирует практически в любой статье или презентации, является веб-сайт Salesforce.com. Хотя это основной поставщик программного обеспечения по модели SaaS, следует отметить, что она может иметь множество различных реализаций. Управление взаимоотношениями с клиентами и кадровыми ресурсами, резервное копирование в "облачной среде", платформы для совместной работы и выставления счетов, управление службой поддержки клиентов, управляемые службы, фильтрация веб-содержимого или электронной почты - вот далеко не полный список.
Экономические преимущества этой модели как для поставщиков, так и для клиентов очевидны: существенное снижение затрат на подготовку пользователя к работе по модели SaaS в сравнении с затратами на приобретение приложения, его лицензирование и развертывание в рамках локальной модели. Поставщик услуг по модели SaaS может оперативнее обновлять программное обеспечение и службы и управлять ими благодаря централизации; упрощается процесс улучшения приложений, поскольку поставщик имеет ясное представление о шаблонах использования; масштабируемость и оплата по мере использования также привлекательны для клиентов и поставщиков. Кроме того, возможности интеграции гораздо шире, потому что многие поставщики услуг по модели SaaS уже предоставляют функции социального медиавзаимодействия или соответствующие открытые интерфейсы (API).
Хотя модель SaaS и является гибкой и экономически выгодной альтернативой традиционным программным средам, ей присущи и некоторые факторы риска. При переходе на внешнюю серверную платформу с внутренней предприятие неизбежно жертвует многими возможностями контроля своей операционной среды. В рамках модели SaaS практически единственным выбором, предоставляемым пользователю, является решение о том, следует загружать ли определенные данные или нет; все остальное он не контролирует. При этом, конечно, сохраняется юридическая ответственность пользователя за безопасность его данных.
Угрозы в средах SaaS многочисленны, и они в значительной степени связаны с преимуществами модели. Как уже было сказано, поставщик услуг может собрать сведения об использовании платформы клиентом, как правило, с помощью средств веб-аналитики, а также получить доступ ко всем данным клиента, и это само по себе создает угрозу неавторизованного доступа или мониторинга.
Из централизации системы и использования единой конфигурации для множества клиентов следует, что уязвимость, затрагивающая одного из них, с высокой вероятностью поставит под угрозу и безопасность остальных. Брешь в системе безопасности компании Epsilon - один из недавних примеров; уязвимость затронула множество компаний из рейтинга Fortune 500, использующих одного и того же поставщика услуг SaaS. Возможности использования уязвимостей весьма широки. Большинство поставщиков услуг SAAS используют распространенные протоколы и программные стеки (HTTP, XML/SOAP, JSON, CSS и JavaScript), которые при неграмотной реализации или настройке регулярно подвергаются атакам. Кроме того, чем больше возможностей настройки и интеграции внешних функций предоставляет платформа (а это ключевое преимущество поставщиков SaaS), тем выше вероятность, что из-за какого-либо из клиентов появится уязвимость, от которой могут пострадать другие. Все это вытекает из самой сущности многопользовательских сред.
5 ключевых вопросов о безопасности, которые следует задать своему поставщику услуг по модели SaaS:
1 - Проверка возможности проникновения - Как среда проверяется на возможности проникновения, как часто это делается и может ли клиент независимо осуществить такую проверку в своей части среды? Без регулярно проводимых проверок на наличие возможности проникновения нельзя получить реалистичное представление о состоянии системы безопасности.
2 - Безопасность данных - Как шифруются данные, хранящиеся и передающиеся в пределах ресурсов общего доступа в центре обработки данных поставщика услуг SaaS? Кто имеет доступ к ключам? Поддерживается ли разделение обязанностей и разделение ключей и данных? Может ли поставщик услуг предоставить отчет SAS 70?
3 - Многопользовательская среда - Доступна ли возможность использования однопользовательской конфигурации? Включает ли эта конфигурация помимо приложения и хранилище данных?
4 -Восстановление в случае сбоев- Какие процедуры резервного копирования и восстановления предусмотрены на случай аварии, внешнего проникновения и утраты данных? Где хранятся резервные копии (и шифруются ли они) и как они восстанавливаются?
5 - Аутентификация пользователей - Какова процедура входа в приложение SaaS? Используется ли несколько факторов? Возможна ли интеграция процедуры входа со структурами аутентификации, уже используемыми клиентом?