Что такое SaaS? Подсказка: облако здесь не при чем
опубликованный
, дата публикации:
03 мая, 2023
Поделитесь этим блогом
Написано
Keeper Security
Федеральное правительство США намерено внедрить кибербезопасность с нулевым доверием во всех государственных учреждениях. В 2021 году Белый дом издал указ 14028, предписывающий федеральным агентствам внедрить сетевые архитектуры с нулевым доверием. Несколько месяцев спустя компания CISA разработала проект модели зрелости с нулевым доверием. В начале 2022 года Управление по управлению и бюджету (OMB) опубликовало меморандум M-22-09, который требует от агентств соблюдения конкретных стандартов и целей с нулевым доверием к концу 2024 финансового года. Позже, в том же году, Министерство обороны (DoD) опубликовало собственную стратегию и план действий с нулевым доверием.
Это большое движение за короткий промежуток времени, особенно если учесть, что колеса правительства обычно вращаются очень медленно. Однако, несмотря на все это давление со стороны руководства, лица, принимающие решения в государственных учреждениях, по-прежнему с опаской относятся к внедрению облачных технологий, которые позволили бы им достичь целей с нулевым доверием: программное обеспечение как услуга (SaaS). Существует множество заблуждений относительно лежащей в основе технологии. В частности, упорный миф о том, что «SaaS» означает, что данные пользователя хранятся в «облаке», где к ним могут получить доступ злоумышленники.
В этой статье мы объясним, что на самом деле означает SaaS, и развеем эти страхи.
Что такое SaaS?
SaaS — это метод доставки программного обеспечения, при котором сторонний поставщик размещает и обслуживает серверы, базы данных и код, составляющие приложение. Клиенты получают доступ к приложениям SaaS через Интернет, как правило, с помощью веб-браузера. Некоторые SaaS-приложения также предлагают приложения для настольных компьютеров, мобильные приложения и расширения для браузеров.
Практически все пользуются продуктами SaaS каждый день, даже не осознавая этого. Примерами SaaS-продуктов являются Gmail, Salesforce и даже приложения для социальных сетей, такие как Instagram.
Является ли SaaS тем же самым, что и облачные вычисления?
Нет. SaaS — это не синоним облачных вычислений.
«Облачные вычисления» — это общий термин, обозначающий любые решения, которые размещаются удаленно и предоставляются клиентам через Интернет. Под словом «SaaS» подразумевается только то, что приложение размещено и поставляется через облако. Однако это не означает, что в приложении нет локальных компонентов, и не означает, что ваши данные попадают в киберпространство, где ими может воспользоваться любой желающий.
Платформы SaaS часто имеют как локальные, так и облачные компоненты. Что еще более важно, если поставщик SaaS использует архитектуру безопасности с нулевым разглашением, ваши данные никогда не будут храниться в облака в открытом виде. Они хранится локально, на вашем устройстве; даже поставщик SaaS не может получить к ним доступ, не говоря уже о ком-то еще.
Что такое нулевое доверие?
Нулевое доверие — это современная модель безопасности, которая предотвращает несанкционированный доступ к данным и сервисам, заставляя пользователей подтверждать, что они являются теми, за кого себя выдают, перед тем как разрешить им доступ к сети. Кроме того, даже если пользователь прошел аутентификацию в сети, ему предоставляется только тот доступ к системам и данным, который необходим для выполнения его работы, и не более того.
Нулевое доверие обеспечивает ИТ-администраторам полную видимость всех пользователей, систем и устройств. Это позволяет людям, приложениям и сервисам безопасно взаимодействовать даже в сетевых средах. Неважно, подключаются ли пользователи из дома, отеля, кофейни, аэропорта или даже с собственных устройств. Администраторы могут точно видеть, кто, откуда и к чему подключается к сети, а пользователи вообще не могут войти в нее, пока не пройдут тщательную проверку подлинности.
Что такое нулевое разглашение?
Нулевое разглашение — это архитектура безопасности, которая не вписывается в традиционную модель «облачных вычислений», где данные хранятся исключительно в облаке. Вместо этого оно обеспечивает высочайший уровень безопасности и конфиденциальности данных, придерживаясь следующих принципов:
данные шифруются и расшифровываются на уровне устройства (не на сервере),
приложение никогда не хранит обычные текстовые (удобочитаемые) данные в облаке,
сервер никогда не получает данные в виде обычного текста,
никто, кроме вас, не может просматривать ваши данные,
при совместном использовании данных для безопасного распределения ключей используется криптография с открытым ключом,
когда данные синхронизируются с другим устройством, они остаются зашифрованными до тех пор, пока не будут расшифрованы на другом устройстве.
Это замечательно! Что все это значит на простом языке?
Если при чтении предыдущего раздела у вас потускнел взгляд, вы не одиноки! Нулевое разглашение — сложное понятие даже для тех, кто хорошо разбирается в технологиях. Вот объяснение нулевого разглашения простым языком:
Представьте себе волшебную шкатулку с волшебным ключом. Как только вы положите что-то в шкатулку и закроете ее этим ключом, содержимое превратится в пыль. Только волшебный ключ может собрать содержимое обратно, поэтому, даже если кто-то взломает коробку, он найдет в ней только пыль.
Вот как это работает с поставщиком SaaS с нулевым разглашением:
Вы кладете предмет в волшебную шкатулку, а затем закрываете ее волшебным ключом.
Вы отдаете волшебную шкатулку поставщику SaaS, но волшебный ключ остается у вас.
Когда вы захотите вернуть предмет, поставщик SaaS отдаст вам запертую коробку.
С помощью волшебного ключа, который вы хранили все это время, вы откроете шкатулку и достанете свой предмет.
В этом случае волшебная шкатулка содержит ваши зашифрованные данные (которые полезны как пыль), а волшебный ключ — это ключ для расшифровки, доступ к которому есть только у вас, поскольку он хранится на вашем устройстве, а не в облаке.
Кроме того, этот волшебный ключ лежит не там, где его можно украсть. Он формируется на основе вашего пароля, поэтому его не существует до тех пор, пока вы не введете пароль и второй фактор аутентификации, например аппаратный ключ или карту CAC. После выхода из системы или выхода по времени ключ пропадает до тех пор, пока вы снова не пройдете аутентификацию.
Каковы основные преимущества SaaS с нулевым разглашением?
Решения SaaS с нулевым разглашением позволяют организациям пользоваться всеми преимуществами облачных вычислений в сочетании с высочайшим уровнем безопасности, конфиденциальности и полного контроля над своими данными. Такие преимущества включают:
Низкие затраты. Надежные SaaS-платформы интегрируются практически в любой технологический стек, не требуя дополнительного программного или аппаратного обеспечения. Всеми вопросами обслуживания и обновления занимается поставщик SaaS.
Простая интеграция с централизованными системами идентификации. В соответствии со стратегией федерального правительства с нулевым доверием, изложенной в EO 14028 и OMB M-22-0-9, значительное внимание уделяется надежным средствам идентификации и контроля доступа на предприятии, включая многофакторную аутентификацию (MFA). Платформы SaaS с нулевым разглашением легче интегрируются с современными системами управления идентификацией, чем традиционные локальные решения.
Повышенная безопасность. EO 14028 предписывает шифровать все данные при передаче, что является обязательным требованием для решений с нулевым разглашением.
Быстрая установка и развертывание. Решения SaaS гораздо проще устанавливать и настраивать, чем локальные решения: не нужно настраивать аппаратное обеспечение и загружать программное обеспечение на компьютер каждого пользователя в отдельности.
Масштабируемость и гибкость. Продукты SaaS могут масштабироваться под организации любого размера, а поскольку они продаются по подписке, клиенты могут легко корректировать свои лицензии по мере изменения потребностей бизнеса.
У лиц, принимающих решения в правительстве, нет причин бояться SaaS-продуктов, если они выбирают решение с нулевым разглашением и, конечно же, авторизованное с FedRAMP. SaaS-решения с нулевым разглашением, авторизованные FedRAMP, обеспечивают более высокий уровень безопасности при меньших затратах, чем традиционное локальное программное обеспечение, и позволяют федеральным агентствам улучшить качество услуг, которые они предоставляют обычным американским гражданам, и сделать их более эффективными.
Keeper Security
Keeper Security меняет представление о том, как люди и организации по всему миру защищают свои пароли, секреты и конфиденциальную информацию. Простая в использовании платформа кибербезопасности Keeper построена на основе принципов нулевого доверия и нулевого разглашения для защиты каждого пользователя на каждом устройстве. Пользуясь доверием миллионов людей и тысяч организаций, Keeper — это лидер в области управления паролями и секретами, привилегированного доступа, безопасного удаленного доступа и шифрования сообщений.
Получайте последние новости и обновления в области кибербезопасности прямо в свой почтовый ящик
Поделитесь этим блогом
Вам также может понравиться
Что такое шифротекст?
Шифротекст относится к зашифрованным и нечитаемым данным. Единственный способ прочитать зашифрованные данные — расшифровать их с помощью ключа шифрования. Поскольку шифротекст нельзя прочитать без предоставления ключа шифрования, это лучший способ защитить конфиденциальные данные от посторонних глаз и...