Проблемы в корпоративном использовании SAAS

    Итак, поддавшись новомодным веяниям, малые и большие компании начинают, кто несмело, кто резво и решительно подписываться на разнообразные сервисы.

    Первоначальная эйфория и «Ухты!»-эффект проходят.


    А в будни мы получаем проблемы, о которых ранее не особо и задумывались…

    Из нашего опыта, типичный комплект некой абстрактной компании состоит из приложений следующих групп:
    • почтовой службы
    • CRM
    • бухгалтерии
    • документооборота
    • связь (голосовые и видеоконференции)
    • антивирус по-подписке
    • корпоративная база знаний (хранилище инструкций, методичек)

    Пользуется такими сервисами обычно от 12 и более штатных работников.

    1. Голова — Дом Советов



    Каждому работнику теперь необходимо придумывать и запоминать от 3х до 7и (по числу сервисов в компании) новых, многосимвольных и уникальных паролей. А потом регулярно их менять.

    Очевиднее всего, никто так делать не будет. Сотрудники, скорее, запишут все пароли на стикере и приклеят на монитор или придумают один простой пароль для всех сервисов.
    В результате, отсутствие безопасности корпоративных данных компании.

    Все ли могут помнить разные длинные бессмысленные наборы символов?

    2. Стой! Кто идёт?



    Так как учетные записи к публичным сервисам находятся вне контроля компании, то получить доступ к корпоративной информации может любой человек, который так или иначе заполучил пароль вашего сотрудника. Если вернуться к проблеме №1 — то вы понимаете, что это делается просто элементарными методами «социальной» инженерии.

    Хорошее решение — применение на сервисах принципов двухфакторной аутентификации — когда, кроме пароля, человеку необходимо подтвердить свою персону еще неким личным техническим устройством.
    Самые популярные способы:
    • одноразовые коды, высылаемые на личный мобильный телефон человека через SMS
    • одноразовые коды на личных электронных брелоках
    • одноразовые коды на мобильных устройствах
    • одноразовые коды на скретч-картах
    • использование сертификатов на электронных токенах

    Однако, слишком мало сервисов, которые используют двухфакторную аутентификацию!

    3. Ты туда не ходи! Ты сюда ходи!



    Ещё одна проблема по причине того, что вы не контролируете сервисы — вы не можете своим сотрудникам ограничить доступ к корпоративной информации во времени и пространстве.
    С одной стороны:
    • прекрасная гибкость в работе сотрудников!
    • офис перестаёт быть клеткой!
    • можно выполнять свою работу, находясь в интернет-кафе на другом конце планеты!

    А если у вашего сотрудника похитили пароль или его ноутбук? И теперь на другом конце планеты находится злоумышленник!
    Возможность пользоваться внешними сервисами где-угодно превращается в проблему.

    Это точно ваш бухгалтер осуществил платёж?

    4. Одна из рук Шивы



    И кому-то теперь придётся добавлять новых сотрудников во всё множество корпоративных сервисов.
    А потом, при увольнении сотрудников — надо не забыть удалить или приостановить его учётную запись во внешнем сервисе.
    Иначе, возможна потеря данных.
    Т.е. многочисленные рутинные операции изо дня в день.

    Такой неловкий момент, когда вы не успели удалить учётную запись сотрудника в сервисе документооборота и проекты ваших контрактов ушли к конкурентам.

    5. Другая рука Шивы



    Во многих средних и крупных компаниях уже ведётся управление сотрудниками через каталоги Active Directory или LDAP.
    Но редкие публичные сервисы способны синхронизировать своё информационное поле с корпоративными каталогами «на лету».

    Придётся теперь всё дублировать вручную в КАЖДОМ(!) новом сервисе.

    А используют ли приобретённые вами сервисы технологию «сквозной» Windows-аутентификации, в которой пользователю достаточно только авторизоваться в Windows-домене?

    Нет Windows-аутентификации!

    6. Всем сестрам по серьгам



    Если компания уже давно выросла, имеет разветвлённую структуру филиалов или крупных дивизионов, то иногда возникает необходимость:
    • приобретать сервисы централизованно
    • распределять сервисы по разным дивизионам
    • передать распределение учётных записей на сервисы под контроль администраторов дивизионов

    В такой ситуации перед корпоративной IT-службой возникают дополнительные трудности.

    — Делегирование??!
    — Не, не слышали.


    7. Моя твоя не понимай!



    Любая работающая компания со временем обрастает неким пластом собственной информации, как структурированной, так и нет.
    Однако, при использовании нескольких сервисов от разных поставщиков мы получаем ситуацию, когда одна и та же информация требует многократного ручного дублирования.
    В случае необходимости внести изменения в ранее созданные информационные объекты, также необходимо вручную внести правки и во всех приложениях.
    Актуальные примеры:
    • Адреса и банковские реквизиты ваших партнёров или список товарной номенклатуры. Их необходимо дублировать, как в бухгалтерской системе, так и в CRM.
    • Контракты, согласованные и зафиксированные в СЭД так же скорее всего необходимо продублировать в CRM.


    В итоге мы имеем ситуацию, когда одна информационная система не может понять данные из другой системы без дополнительных ухищрений или ручного труда



    Все эти проблемы мы увидели и прочувствовали на своём опыте за 3 года работы в проекте Softcloud.ru.
    И в результате обсуждений и родились требования к новому SAAS-инструменту, который предоставит возможность:
    • использовать идеологию единой точки входа (SSO)
    • иметь, но не запоминать множество длинных и сложных паролей
    • использовать многофакторную аутентификацию в виде:
      • одноразовых персональных кодов, передаваемые в виде SMS
      • одноразовых персональных кодов, передаваемые через е-mail
      • применения электронных USB-токенов
    • работать, как со стационарных компьютеров, так и с персональных мобильных устройств
    • контролировать место и время использования корпоративными сервисами
    • работать в единой точке администрирования учётных записей
    • использовать Windows-аутентификацию во внешние сервисы
    • управлять подписками на внешние сервисы из одной точки
    • обеспечить возможность делегирования управления сервисами
    • обеспечить отчётность об использовании всех сервисов вашими сотрудниками
    • объединить существующие приложения в единый каталог, чтобы пользователи могли в одном месте почитать их описания и сравнить декларируемые возможности
    • в перспективе обеспечить синхронизацию заданной информации между различными сервисами
    • примененять инструмент как в публичном, так и закрытом режиме (Public/Private Cloud)


    P.S. Выношу из комментариев — все эти идеи мы начали реализовывать в проекте ez-login.com

    PPS. Последующие публикации — Как мы делали SaaS: практика построения облачного продукта на примере EZ-Login:
    Часть 1. Об аналитике

    Комментарии 41

      +3
      очень хорошо! Только можно и еще одну проблему прописать: появления нового участка, способного отказать, а именно провайдера интернета вашей «некой абстрактной» компании. Что будет, если откажет он? Все сотрудники начинают курить бамбук, и ждать починки?
        +1
        увы, сетевой отказ — основная проблема любой «облачной» технологии
          0
          нет, ну есть варианты — очередной резерв — в том числе и по каналам связи! Но это влияет на удорожание, и уже много посчитаешь и подумаешь — а стоит ли овчинка выделки!
            0
            Ни одна технология, к сожалению, не является универсальной для решения абстрактно всех задач. Потому и «облачные» технологии имеют свои области применения, и, разумеется, свои противопоказания.
            Задача специалиста знать — какой инструмент в каких ситуациях применять. Ну и иметь доступ к «ящику с инструментами» :)
        +1
        А чем ваше решение лучше Azure ACS + Windows Azure Active Directory?
          0
          Тем, что это решение применимо только для сервисов на платфоре Azure.
          Мы же планируем работать с любыми SAAS-продуктами, не зависимо от технологии реализации.
            +1
            Кто мешает подвязать к нему в виде RP любое стороннее приложение? Там реализованы стандартные протоколы, которые поддерживаются на большинстве платформ. В бэкенд можно воткнуть AD(причем вроде есть гибридный вариант с OnPromise AD), можно OpenAM подоткнуть и тд.
              0
              А кто это будет делать? Вендоры? Потребители?
              С ACS проблема интеграции ложится на плечи потребителя, или, в лучшем случае — интегратора, которого потребитель наймет.
              В добавок — эта технология решает только часть обозначенных проблем.
                +2
                Тот же AD бодро настраивается из коробки. OTP на уровне Azure — в превью уже. А разработчику SaaS решения добавить поддержку стандартного протокола — не особо сложно. Но это решение позволяет как раз использовать полноценный SSO да еще и со связкой в виде IdM по выбору. Еще вопрос в протоколах. Если протокол не стандартный — то сразу нет.
          +1
          Ну вот вы увидели, прочувствовали, обсудили. Родили требования. А дельше-то что? На сайте у вас обычный IaaS на базе VMware.
            0
            Нет, мы начали идти по пути реализации этих идей — ez-login.com/
              –1
              На каком сайте?
              0
              использовать многофакторную аутентификацию в виде:

              применения электронных USB-токенов


              По моему, только эта технология — более менее защищена! e-mail и sms — не очень эффективно!
                0
                Да, вы абсолютно правы. Но наличие этих каналов доставки OTP лучше, чем их отсутсвие.
                В добавок, e-mail можно рассматривать, как очень слабую защиту, но бесплатную.
                SMS по сравнению с e-mail конечно же надёжнее, но и платить за это кому-то надо.
                Использование персональных токенов — ещё затратнее.
                Я считаю, что наша задача дать возможность бизнесу использовать разные варианты.
                  0
                  Вас спасет приложение для смартфона.
                    0
                    да, в планах есть такая задача
                  0
                  Применение электронных физических токенов напрочь убивает идею сколь-нибудь широкого использования публичных облачных сервисов — просто потому, что эти токены надо физически делать и раздавать. В этом раскладе более или менее крупному клиенту теоретически можно организовать свою PKI с изготовлением ключевых пар на своей стороне и передачей открытых ключей для своих токенов в онлайн-сервис для контроля авторизации. Мелкий же клиент вряд ли будет разбираться — плюнет и уйдёт.
                    0
                    Для этого надо, чтобы любой сервис (хоть публичный, хоть приватный) был способен токены обслуживать.
                    Мы потенциально готовы взять на себя эту задачу и стать «обёрткой» для таких сервисов
                  0
                  Процесс разработки на SDL строится?
                    0
                    Да, стараемся этой парадигмы придерживаться: «Training, Requirements, Design, Implementation, Verification, Release, and Response»
                    +3
                    SaaS не причем, все вышеперечисленные проблемы касаются всего зоопарка корпоративного ПО.
                    По мотивам топика
                    — Интеграция корпоративных систем??!
                    — Не, не слышали.
                      0
                      Для «зоопарка» корпоративного ПО в модели «оn-premise» существует уже большое количество решений. А вот готовых и проверенных решений в области SAAS пока что нет.
                        0
                        Azure ACS?
                      0
                      а кстати, решения vmware view — кто-нибудь предлагает из облака? с рядом стоящим ad и exchange в том же облаке? так снимется проблема паролей (озвученная в статье) по моему, и все в облаке.
                        0
                        А какие протоколы аутентификации поддерживаются?
                          0
                          в настоящее время простую и массовую «Form-based» через HTTPS там, где он есть.
                          В ближайших планах OAuth2, SAML2 и WS-Federated
                            0
                            WS-Trust? SAML-P своя реализация или Metro/WIF?
                              0
                              Глубоко ещё не разбирали, но насколько я понимаю стек технологий от MS: WS-Federated является абстракцией более высокого порядка, чем WS-Trust.
                              Касательно же SAMLP — то он является подмножеством SAML2 (и вроде бы не поддерживается в WIF, хотя есть в AD FS)
                              Вообщем случае технологии от MS для нас являются одним из вариантов, который мы будем рассматривать. Но не делать на них упор.
                              С протоколами пока всё очень не просто, ибо OAuth2 имеет баг-репорты о потенциальнй и фактической уязвимости для MIM-атак.
                              С SAML2 несмотря на наличие титула «стандарт» есть в ряде случаев серьёзные отклоения. Например, в нашем лабораторной реализации, SP от одного известного сервиса принимл наши «сообщени», а SP другого не менее именитого сервиса — нет.
                                0
                                WS-Trust для WS-* сервисов. И это отдельная тема, так как с такими решениями приходится интегрироваться не только на уровне UI. Просто мало ли придется когда-то интегрироваться. особенно смотрите на делегацию и сценарии ActsAs и OnBehalfOf.

                                У протокола SAML-2 много частей, реализация SP-Lite и IdP у MS в превью с 2011 года. И они как партизаны наотрез отказываются отвечать по этой теме через почту или как-то еще. Просто в твиттере уже проскакивали идеи запилить самим этот протокол, так как та реализация, что есть у MS не подлежит коммерческому использованию и дизассемблированию(тонкий намек местным товарищам из MS).

                                Вопрос просто у вас стек основной на .Net или на Java? Судя по вашим ответам — .Net. Так?

                                  0
                                  спасибо за ваши комментарии, взял на заметку.
                                  Про стек применяемых технологий напишу позже отдельную статью и скорее всего не одну.
                                  На сервер-сайде есть всё — Perl, Java, C# и даже PHP :)
                                  Каждому инструментарию отведена своя собственная узкая ниша.
                          0
                          www.onelogin.com/ помогает
                            0
                            Монополизм в любом своём проявлении — абсолютное зло. Кроме google существует и Яндекс. Кроме hotmail есть mail.ru/
                            И это хорошо для всех нас.

                            Onelogin орентирован на американский бизнес.
                            Поэтому в нём нет и скорее всего не будет сервисов наших.
                            Американцы не будут связыватся с положениями наших регуляторов, например об обработке ПДн, их трансграничной передаче.
                            Мы же планируем получить сертификат ФСТЭК.

                            Так же мы планируем обеспечить глубокую интеграцию с сервисами, не затрагивая сами-по-себе сервисы:
                            — получение данных из приложений,
                            — оповещения о событиях,
                            — гибкие правила управления пользователями и доступами,
                            — возможность запрета/разрешения определенных функций в приложениях

                            «Больше товаров хороших и разных!» (с)
                            0
                            Вы придумали OpenID?
                              0
                              OpenID — всего лишь один из многих протоколов аутентификации. С его помощью можно решить лишь одну из проблем в корпоративном использовании SAAS.
                              К сожалению, OpenID и OAuth1 на сегодняшний день рядом специалистов по информационной безопасности признаны cсамыми уязвимыми из доступных публичных протоколв…
                              Потому на сегодня интерес представляют транспорты OAuth2 (хотя и про него есть информация о подверженности CSRF-уязвимости) и SAML2 (хотя с этой технологией есть различного рода иные проблемы, как впрочем и определенные уязвимости, зависящие от средств реализации)
                                0
                                кстати, будет возможность — приходите 10 апреля сюда it2bconference.com/ru/dokladchiki1.html
                                с удовольствием побеседуем
                                0
                                Извините, а где же хаб «Я пиарюсь»?
                                  0
                                  в изначальной версии поста и не предполагалось PR.
                                  PS со ссылкой появился только после обсуждений.
                                    0
                                    Тогда прошу меня извинить :)
                                  0
                                  PingFederate или PingIdentity в помощь…
                                    0
                                    Да, достойная компания.
                                    У Ping Identity много решений, хороших и разных, но достаточно сложных для малого и среднего бизнеса, на который ориентируемся мы.
                                    Из их решений для малого и среднего бизнеса скорее подойдет PingOne, но что если вам нужно будет хоть немного расширить функционал? Надо покупать дополнительный продукт.
                                    И этот опять же компания с решением для американского рынка, они никогда не будут подстраиваться под нюансы государственного регуляторования IT и бизнеса в нашей стране.
                                    Кстати, на Западе относительно давно пришли к потребности в IAMaaS. Теперь и мы стали продвигать эти идеи в массы.
                                    В отличии от «пинга» мы предполагаем выпустить модульный продукт, как конструктор, где в основной версии есть все «кубики».
                                    Потребителю остается выбрать требуемые, не прибегая к сложным настройкам и покупке нескольких продуктов.
                                    Как я писал выше — есть google.com, а есть и yandex.ru
                                    0
                                    Всем менеджерам выдал пластиковые карты с записанными уникальными паролями + считыватель USB. Раз в месяц меняю карты.

                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                    Самое читаемое