Безопасность аренды бизнес-приложений

    На сегодняшний день в России функционирует около сотни сервисов, предоставляющих возможность использования самого разнообразного программного обеспечения в режиме SaaS и количество этих сервисов постоянно растет. При этом показатели рынка SaaS (оборот, клиентская база и т.д.) остаются довольно низкими.

    Важнейшим стопором развития этого рынка является вопрос обеспечения информационной безопасности данных пользователя. На бытовом языке вопросы формулируются примерно так: «Как же я размещу ключевые для моего бизнеса данные где-то у провайдера?», «Что будет, если провайдер прекратит оказывать эти услуги?», «Какие гарантии, что данные не будут утрачены, переданы конкуренту?» и.т.п.

    Я хочу на доступном языке дать ответы на эти вопросы, разложить по полочкам вопросы безопасности, описать «изнанку» работы SaaS провайдера.


    Сравнение с услугами хостинг-провайдеров


    Существует как минимум две широко распространенные услуги хостинга (на самом деле это почти SaaS-услуги, просто исторически это так не называется), которые уже сегодня собирают, обрабатывают и передают по сети критичные для любого бизнеса данные. Этими услугами в России пользуются сотни тысяч клиентов! и почему-то не задаются вопросом безопасности, да и реальных проблем с безопасностью не так много. Я говорю об услугах электронной почты и аренде (хостингу) интернет-магазинов, которые в массе своей располагаются у провайдеров.

    Вся деловая переписка ведется по электронной почте, хранится и передается в открытом виде. Провайдер может получить любую информацию по любым контактам, контрактам и передать ее, например, конкурентам. С интернет-магазинами ещё интересней. В базах данных интернет-магазинов собирается информация обо всех клиентах, их контактах, всех их заказах, возможно товарные остатки на складах, уникальные описания и специально подготовленные вами изображения. Всё это лежит у провайдера, а чем это защищено?

    Попробуйте поднять договор с хостинг-провайдером и посмотреть часто ли в нем встречаются какие-либо гарантии не только безопасности, а вообще качества оказания услуги? Должен ли вам что-то компенсировать провайдер, если почта не будет работать пару дней. Знаете ли вы какая инфраструктура у провайдера, может ли он технически обеспечить работоспособность и безопасность ваших данных?

    Итак, проблемы безопасности SaaS-услуг ничуть не больше, чем проблемы безопасности стандартных хостинговых услуг и уровень этой безопасности устраивает огромное количество клиентов.
    Однако подход «Паниковскому было приятно сознание того, что на свете есть люди ещё более мелкие, чем он сам» в данном вопросе не правильный, поэтому давайте разбираться в деталях.

    Информационные риски


    Чего же на самом деле опасаются пользователи? Перечислим основные вопросы обеспечения информационной безопасности и пути минимизации этих рисков.

    Утрата конфиденциальности данных

    Конфиденциальность данных – это невозможность третьим лицам получить доступ к данным без согласия их обладателя.

    Обеспечение конфиденциальности – комплексная задача, включающая в себя как технические, так и административные мероприятия, такие как:
    • обеспечение авторизации пользователей (как непосредственно при доступе к услугам, так и при обращении в службу поддержки);
    • конфиденциальность хранения данных, включая разделение прав доступ, применения политик безопасности на серверах и настройку систем внешней безопасности сети (firewall);
    • конфиденциальность данных при передача (шифрование канала, построение VPN);
    • обеспечение конфиденциальности данных на резервных копиях;
    • юридически правильные взаимоотношения с сотрудниками-администраторами, имеющими доступ к конфиденциальной информации клиента.

    В случае жесткой конкурентной борьбы, конкуренты для получения информации пытаются «взломать» локальную сеть предприятия и/или ищут выходы на сотрудников и администраторов предприятия. При размещении информации у провайдера сотрудники и администраторы предприятия не только не имеют физической возможности получить доступ, но и не всегда известно, что эта информация вообще существует.

    Недоступность данных

    Если приложение является критичным для повседневной работы предприятия, то доступность данных для пользователей – ключевая задача, включающая в себя:
    • обеспечение работоспособности серверного оборудования, дублирование компонентов, кластеризация;
    • обеспечение работоспособности сетевого оборудования локальной сети и качественного подключения к интернет (если нужен внешний доступ к приложению);
    • обеспечение достаточной производительности, прогнозирование и апгрейд аппаратной платформы;
    К обеспечению доступности можно также отнести защиту сети, например, от DDoS-атак.

    Нарушение целостности данных

    Целостность данных — обеспечение полноты и правильности изменения данных при выполнении любых операций с ними.

    Обеспечение целостности включает в себя:
    • обеспечение транзакционности на уровне приложений (сохранение правильности связей между данными, например, в базе данных) при их изменении;
    • работоспособность физических носителей, дублирование, использование RAID-массивов;
    • систему резервного копирования и восстановления данных, гарантирующую своевременность создания, наличие и развертывание резервных копий;
    Также, нарушение целостности данных возможно извне с использованием «пробелов» в безопасности программного приложения (так называемые injections), что также обеспечивается специальными программно-аппаратными комплексами.

    Сравнение с приходящим администратором


    Для крупных компаний вопросы информационной безопасности решаются собственными достаточно мощными подразделениями IT и ИБ, строительством и эксплуатацией собственных отказоустойчивых центров обработки данных (ЦОД) и т.д., а как обстоит дело в компаниях малого и среднего бизнеса?

    Чаще всего, компании малого бизнеса не имеют в штате постоянных IT-специалистов и заказывают услуги поддержки работоспособности своей локальной сети внешним компаниям или частным лицам (заказывают аутсорсинг этих услуг).

    Попробуем сравнить обеспечение информационной безопасности при использовании бизнес-приложений в следующих вариантах:
    • размещение бизнес-приложения в локальной сети предприятия с обеспечением информационной безопасности приходящим администратором
    • размещение бизнес-приложения в режиме SaaS у сервис-провайдера.

    Сразу возникает вопрос. И в том и в другом случае внешний по отношению к предприятию сотрудник имеет доступ к конфиденциальной информации предприятия.
    Тогда почему должно априори отличаться доверие к приходящему администратору от доверия к сервис-провайдеру?

    Приходящий администратор – это тоже внешняя организация, а иногда и просто физическое лицо, которое может исчезнуть по огромному количеству причин (призыв, болезнь, сессия, неожиданная любовь в другом субъекте федерации и т.п.).

    Приходящие администраторы обычно имеют очень хороший опыт выполнения стандартных задач по обеспечению работоспособности рабочих станций, принтеров и сканеров, файловых и других серверов локальной сети, подключению к интернет и др., но редко имеют опыт поддержки сложных бизнес-приложений, таких как Microsoft Exchange, Microsoft Dynamics CRM, порталов на Sharepoint Server, Live Meeting, приложений независимых разработчиков и зачастую просто не берутся их поддерживать и гарантировать их работоспособность.

    Какова скорость реакции приходящих администаторов на возникновение проблемы. Наверное у всех по-разному, но зачастую экстренные выезды или невозможны или достаточно дорого стоят. Провайдер же гарантирует круглосуточную обработку инцидентов и закрепленные в Соглашении об уровне сервиса (SLA) сроки восстановления работоспособности.

    Приходящие администраторы не любят просыпаться и осуществлять поддержку по ночам, а это может быть очень важно для бизнеса!!!

    Резервное копирование и мониторинг – это две очень сложные в настройке и поддержке системы. На памяти каждого руководителя предприятия есть украденные (утерянные) ноутбуки «со всей информацией», развалившиеся винчестеры, отказавшие флешки и нечитающиеся CDROMы с «очень важной информацией». Работа парализована, нервы на пределе. И разово эту проблему не решить, необходимо налаживать систему резервного копирования и контролировать ее работоспособность.

    Далеко не все приходящие администраторы занимаются этим и имеют соответствующий опыт, тогда как у провайдера это одна из основных функций. К тому же хорошие системы резервного копирования стоят достаточно дорого. Это же касается установки обновлений, закрывающих пробелы в системе безопасности операционной системы и прикладного программного обеспечения. Если делать это в следующий приезд администратора, то у злоумышленника будет достаточно времени, чтобы воспользоваться уязвимостью.

    Провайдер постоянно мониторит информацию о пробелах в безопасности и имеет возможность оперативно устанавливать обновления сразу для всех клиентов.

    Не со всеми сотрудниками подписываются трудовые контракты либо они не содержат достаточно условий о сохранении конфиденциальности. Не всегда этот пункт присутствует и в договоре с приходящим администратором и не всегда этот договор существует на бумаге, то есть юридически предъявить претензии будет невозможно. У провайдера это должно быть обязательным приложением к договору.

    Физическая инфраструктура локальной сети небольшого предприятия используется обычно по-максимуму, компьютеры и серверы работают пока головка не протрет в винчестере дырку и пока сетевые провода не осыпятся от старости. Это нормально с точки зрения эффективности бизнеса, но в случае внедрения нового бизнес-приложения может просто не оказаться ресурсов, а это значит покупать сервер, а то и несколько, куда-то его ставить, где не бывает жарко, то есть, может ещё и кондиционер придется докупить и т.д. На бекапном сервере (если он есть) не окажется места для бекапа этой новой системы — нужно покупать винчестер — сейчас таких не делают — нужно менять все винчестеры и т.д. Другими словами, может быть необходимо выполнить большое количество действий, истратить существенное количество денег, потратить какое-то количество времени. Провайдер берёт все эти вопросы на себя. Вы можете даже не знать на каком оборудовании работает ваш сервис, важно что оно достаточно надежное, производительное и будет обновлено в случае повышения нагрузки или устаревания. И это никак не сказывается на ваших расходах по использованию решения.

    Внешние Firewall, прикрывающие локальные сети, редко представляют собой надежные производительные устройства, потому что они дорогие. Систем обнаружения и предотвращения атак не бывает вообще. В локальной сети почти никогда ничего не дублировано. У провайдера же стоят мощные системы и он может себе это позволить, поскольку они используются одновременно для всех клиентов, а значит стоимость в расчете на одного клиента исчезающе уменьшается.

    Политика безопасности, как стройная система, в компаниях малого и среднего бизнеса чаще всего отсутствует. Не всегда при увольнении удаляется пользователь или изменяется пароль, или не везде, потому что перечня используемого программного обеспечения либо нет, либо он не поддерживается в актуальном состоянии. Провайдер закрывает доступ автоматически при удалении пользователя. Для этого провайдеру не надо даже помнить об этом, все делает автоматически система управления ресурсами. Провайдер просто не смог бы контролировать это вручную и обязан систематизировать и автоматизировать эти функции.

    Это всё объяснимо. Для налаживания системы информационной безопасности нужны знания и ресурсы, а их совсем не хочется тратить. Выход есть – использовать знания и опыт провайдера.

    Сравним в таблице Админ VS Провайдер
    Параметры Администратор (приходящий) Сервис провайдер
    Ответственность Юр. или Физ. лицо Юр. лицо
    Опыт Уровень личных знаний Профессиональные методы
    Качество сервиса Оперативность,
    бекап, мониторинг ???
    Измеримые параметры закреплены в SLA
    Конфиденциальность Трудовой контракт? Конфиденциальность – NDA
    Экспертиза Может не взяться за поддержку ERP, CRM… Экспертиза в бизнес-системах
    Физическая инфраструктура ненадежная профессиональная


    Правильные провайдеры


    Доверие к провайдеру – вопрос комплексный и складывается из множества факторов.
    При выборе поставщика услуг аренды бизнес-приложений необходимо учитывать следующую информацию:
    • история провайдера, сколько лет существует на рынке, репутация;
    • существующие клиенты, success stories;
    • открытая политика в области физической инфраструктуры (количество и качество ЦОДов, дублированные системы кондиционирования и электропитания, современные системы пожаротушения, физического доступа, видеонаблюдения). Неплохо, если есть возможность сходить на экскурсию;
    • используемое серверное оборудование;
    • наличие, описание и качество системы внешней информационной безопасности (Firewall, системы обнаружения и предотвращения атак);
    • численность и квалификация персонала;
    • наличие соглашения об уровне сервиса (SLA), описывающей параметры оказания услуг, сроки и ответственность за их нарушение;
    • наличие соглашения о конфиденциальности (NDA) и его параметры;
    • подтверждение компетенции провайдера от производителей программного обеспечение на возможность предоставления услуг по аренде этого программного обеспечения. Так, например, при оказании услуг аренды бизнес-приложений Microsoft важно наличие компетенции Hosting Solutions, Advanced Infrastructure Solutions и др.;
    • режим работы, скорость реакции и доброжелательность службы поддержки, возможности «эскалации» проблем;
    • оформление документов в соответствии с законодательством РФ.


    Вместо заключения


    Я вовсе не против приходящих администраторов, как класса. Они выполняют важнейшую роль по поддержке рабочих станций, серверов и инфраструктуры локальных сетей предприятий малого и среднего бизнеса и без их услуг невозможно обойтись. Провайдеры не тянутся и вряд ли когда-нибудь дотянутся до оказания таких услуг.

    При этом многими бизнес-приложениями проще и БЕЗОПАСНЕЕ пользоваться в удаленном режиме ( в режиме SaaS ), ведь этот режим помимо решения вопросов безопасности дает еще очень много других преимуществ:
    • равномерные небольшие платежи вместо разовой дорогой покупки ПО;
    • из-за небольших платежей появляется возможность пользоваться более дорогими и более функциональными приложениями, недоступными ранее;
    • нет необходимости покупать сервера и другое «железо» для разворачивания ПО;
    • автоматически получать все необходимые обновления и пользоваться последними версиями
    • пользоваться (и платить) только тогда, когда есть необходимость;
    • и многое другое
    Parking.ru
    Company
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 25

      +1
      Спасибо за статью. Правильные выводы.

      Из личного опыта при продвижении SaaS: часто бывает, что ты рассказываешь про это людям, которые отвечают за освоение IT-бюджета. Также любой аргумент к снижению оперативных расходов заведомо слабее аргумента к повышению прибыли.

      Советую почитать про подход facebook к серверам и датацентрам: www.theregister.co.uk/2011/04/08/open_compute_server_comment/
        +2
        Доводы может быть и верные, но получается вы берете раздолбая администратора и идеального сервис-провайдера, а в жизни может быть все и совсем по другому, провайдеров не делающих бекапы/не отвечающих на тикеты вовремя и т.п. думаю найдется предостаточно )
          0
          Раздел посвященный критериям отбора провайдеров был написан не зря.
          А вообще только наработанная репутация и рекомендации могут служить весомым доказательством надежности провайдера.
            0
            Я бы еще к этому добавил об этом:
            Опыт Уровень личных знаний Профессиональные методы

            и
            Физическая инфраструктура ненадежная профессиональная


            Вы так это описываете, как будто у провайдера работают роботы бездушные ну или по крайней мере марсиане и им не присущи наши человеческие слабости. А по факту там трудятся точно такие же люди, как и ваши приходящие админы, разница лишь в том, что вам никогда не посчастливится посмотреть какой рабочий хаус на столах админов в этих СааС провайдров.
              0
              Нет конечно трудятся конечно же люди, просто присутствует гораздо более четкая формализация действий и более глубокий уровень автоматизации.
              Практически на все операции описаны в регламентах которые сотрудники обязаны знать и выполнять, только тогда можно достичь высокого уровня производительности и максимально снизить количество ошибок. Так же важную роль играет тотальная автоматизация большинства рутинных процессов.
                +1
                Это вы сейчас про какую страну или даже про какую вселенную рассказываете? Вы сами понимаете что описываете утопию? Работаю в крупном системном интеграторе в России (был опыт и в в другом интеграторе-девелопере) — ситуация везде одна и та же: никакими регламентами тут и не пахнет. Да, соглашусь, что людей уровня Начинающей тут нет, какими могут быть приходящие админы, но в целом бардак еще тот
                  –1
                  C кажем так, я описываю вполне определенную российскую компанию и текущую ситуацию внутри нее. Я лично вижу как исполняются, пишутся и утверждаются регламенты, как происходит процесс работы и т.д.

                  Да согласен с вами, что в БОЛЬШИНСТВЕ компаний это не так, но мы говорим о компаниях который занимаются (хостинговым\SaaS\облачным) бизнесом давно и основательно, они не просто получают статусы и сертификаты для галочки, а работают в соответствии с этими строгими стандартами. Таких компаний на рынке не много, но они как это не странно есть.
                    0
                    Ну просто с такимже успехом можно сказать, что существуют очень толковые приходящие сисадмины, их немного на рынке, но они есть.

                    В общем тренд топика понятен, логичен, но черезчур критичен как мне кажется.
                      0
                      Работаете по процессам, а не по понятиям? Ох нелегкая эта работа, из боло… буль буль буль…
              +8
              Эта статья вызовет доверие у тех, кто никогда не видел ни админов ни провайдеров.
              Эта статья вызовет недоумение у тех, кто сталкивался с несколькими админами и провайдерами.
              Эта статья вызовет отторжение у тех, кто знает толковых админов.
                +1
                Эта статья вызовет обморок у тех, кто обращался в службу поддержки parking.ru в выходные, а проблема была устранена только в понедельник с комментарием «мы обрабатываем заявки в порядке очереди».
                +1
                Да-да, слово NDA мне особенно нравится в связи с последними событиями в Яндексе.
                  0
                  А что вы имеете против событий с Яндексом?
                  Во-первых, попробуйте работая в любой стране мира не выдать запрашиваемую информацию от силовых структур.
                  Во-вторых, у любого провайдера есть приписка в любом соглашении о том, что в случае такой же ситуации, какая сложилась у Яндекса, они имеют право предоставить данные.

                  И все выпады в сторону Яндекса я считаю глупыми. Конечно, если бы они раздавали любому человеку, пришедшему в форме и с ксивой (что сейчас не сложно подделать), то можно было бы их винить в этом. Но в случае, официального запроса (вроде как), по какому-то делу они не могли не выдать. Хотя, конечно, всех подробностей, мы врятли когда-либо узнаем.
                    0
                    Надо понимать то факт что SaaS не предоставляет такого функционала как, например, немедленное удаление или подмена данных по требованию (или более сложному условию), например перед плановой проверкой или даже внеплановой.

                    Надо ли говорить, что в России подобные услуги вероятно более востребованы?
                  +3
                  Маркетинг в чистом виде — плохие и дорогие локальные админы против хорошего и дешевого SaaS. Особенно улыбнула картинка с типичным рабочем местом админа.
                    –1
                    Речь больше не о локальных, а о приходящих админах. Локальных все, что опсиано в статье касается в меньшую очередь.
                    +1
                    Свою ИТ-структуру (разумеется, когда она есть) нужно ориентировать на развитие бизнеса, а не на поддержку инфраструктуры. Деньги, вложенные в ПО и железо, фактически непрофильные активы, не работают.

                    А сравнивать приходящего админа и SaaS-сервис можно только для маленького предприятия на 5-10 человек, которое при росте до 30-50 поймет, что полностью отказаться от администратора при использовании SaaS нельзя.
                      0
                      Пиар parking.ru.
                        +1
                        Кстати, вот еще один момент. Вы оказываете тех. поддержку первой линии? Если да, то, вероятно, у вас call-центр на 10000 человек. А если нет, то как жить без администратора?
                          0
                          На примере их SLA по CRM — в зоне ответственности провайдера только инфраструктура — т.е. непонятно почему в статье идет сравнение «администратор компании» vs «облачный сервис».

                          В зоне ответственности Провайдера находится:
                          - Инфраструктура дата-центра (электропитание, климат-контроль, физическая безопасность и др.), каналы доступа в Интернет, сетевое оборудование, серверное оборудование, используемое для размещения Системы;
                          - Установка и обеспечение работоспособности операционной системы, серверного и прикладного программного обеспечения, обеспечение информационной безопасности (firewall), систем резервного копирования и восстановления данных;
                          - Поддержка базовой доменной инфраструктуры пользователей.
                          В зоне ответственности Абонента находится:
                          - Управление в полном объеме функционалом Системы, доступном через web-интерфейс, в т.ч. настройка и доработка функциональности Системы под конкретные требования пользователей;
                          - Обеспечение доступа к Системе корпоративных пользователей (распределение ролей);
                          - Выполнение требований по необходимым настройкам рабочих станций пользователей и подключения к сети Интернет в соответствии с инструкциями, расположенными по адресу helpdesk.parking.ru.
                          +1
                          Замечательная статья… для не ИТ специалистов, отвечающих за распределение бюджетов.
                          У специалиста, который когда-либо участвовал в проектах развертывания ИТ инфраструктуры более чем на 10 рабочих мест данная статья вызовет отторжение явным передергиванием и искажениями в аргументации. Понятно, что идет реклама своего подхода к зарабатыванию денег в принципе и своего сервиса в частности, но данный ресурс, как мне всегда казалось — технический.

                          Когда Вы пишете про «конфиденциальность» в маркетинговой брошюре — там можно отделаться туманной ссылкой на NDA (что, говоря простым русским языком, не чем не лучше запрета на распространение конфиденциальной информации в трудовом договоре или доп. соглашении к нему), когда Вы пишете на техническом ресурсе читатель хочет видеть, каким конкретно техническим образом Вы обеспечиваете невозможность конкретному сотруднику облачного хостинга Васе слить базу моего CRM конкурентам.

                          Что касается «открытости» облачных провайдеров — конкретно по проекту parking.ru я могу в ходе осмотра получить реальное понимание качества инфраструктуры и работы с клиентами? Могу посмотреть статистику по работе с заявками на тех. поддержку, статистику по соблюдению SLA? Могу получить реальные данные по организации ИБ, резервирования, бэкапа, мониторинга? Или вся «политика открытости» будет сводиться к экскурсии по ЦОД и клиент должен быть в восторге только от того, что впервые в жизни увидел стойку и систему пожаротушения? Готовы на открытый аудит тех. специалистами?
                            –1
                            Если у вас серьезный проект, то конечно можете получить необходимую информацию, мы всегда лояльно относимся к нашим потенциальным клиентам.

                            По поводу надежности защиты информации, безопасности и т.д. если коротко одним из маячков для вас должно было служить наличие у нас услуг по «Защите персональный данных по 152ФЗ» и лицензий ФСБ, что согласитесь есть не каждого провайдера и требует прохождения серьезной аттестации и аудита.

                            Вообще это тема не для обсуждения на Хабре, а для личного общения, если вам интересно как все устроено и у вас есть реальный коммерческий проект.
                              0
                              > Вообще это тема не для обсуждения на Хабре… и у вас есть реальный коммерческий проект.

                              Автор слился. Привыкли наверно глуповатых менеджеров разводить.
                                –2
                                Заначек ТРОЛЬ говорит о многом. Автор просто не хочет разводить пустого флейма в этом посте.
                            0
                            > Систем обнаружения и предотвращения атак не бывает вообще.

                            Маленько преувеличено. Бывают IPS даже в небольших компаниях, просто не всегда оно надо.

                            Only users with full accounts can post comments. Log in, please.