Если вы предоставляете свои услуги и продукты по этой модели, обеспечение безопасности приложений имеет решающее значение для безопасности данных и минимизации рисков вашего бизнеса. Разберем, какие основные правила стоит соблюдать для защиты вашего SaaS-сервиса и инфраструктуры от кибератак.
1) Контроль безопасности
Инфраструктура SaaS должна иметь встроенные инструменты для безопасного управления доступом пользователей и данными. На какие механизмы стоит обратить внимание?
Шифрование данных
Многих волнует вопрос обеспечения защиты своих данных в облаке от доступа любых неавторизованных лиц, будь то сотрудник сервис-провайдера или любые третьи стороны, доступ которых нежелателен. В качестве решения подобного рода задач очевидным образом видится шифрование всех данных, расположенных в облаке IaaS-провайдера.
Резервное копирование
Никогда не думайте, что, если приложение работает в облаке провайдера, вам не понадобятся резервные копии. Слишком много бэкапов не бывает. Обязательно убедитесь, что метаданные ваших файлов включены в резервные копии — они играют жизненно важную роль в определении создателя/владельца файлов, разрешений и прав использования. Если вы не хотите подключать для хранения бэкапов собственную СХД, узнайте, может ли облачный провайдер предоставить вам облачное хранилище для бэкапов или подключить услугу резервного копирования в облако.
2) Управление доступом
Учетные данные
Убедитесь, что у каждого сотрудника, пользователя или уполномоченного подрядчика есть уникальные учетные данные для аутентификации. Обеспечьте сложность паролей и их регулярную смену, например, каждые 6 месяцев.
Многофакторная аутентификация
Организуйте двухфакторную или многофакторную аутентификацию. В качестве максимально серьезной меры, если речь идет, например, о финансах, используйте физический токен.
Контроль доступа
В зависимости от характера вашего SaaS-приложения права доступа могут определяться ролью пользователя и сетевым расположением. Например, пользователю может быть отказано в доступе, если он находится за пределами сети компании, например, в домашней беспроводной сети. Или им может потребоваться многофакторная аутентификация, если они получают доступ к SaaS-приложению своего работодателя из дома.
3) Регулярная оценка и изменения
Тщательно проверяйте кандидатов в подрядчики
Большинство SaaS-приложений сейчас размещаются в облаке. Регулярно интересуйтесь, какие средства управления безопасностью и какие системы использует облачный провайдер. Тщательно выбирайте провайдеров и поставщиков услуг безопасности, обращая внимание на их новые сервисы и услуги.
Симуляция атак
Проводите пен-тесты с привлечением атакующих и команд-защитников.
Регулярная оценка и переосмысление
Периодически оценивайте все свои политики и механизмы безопасности. Делайте это так же часто, как проводите пен-тесты. Не стесняйтесь тратить деньги на обучение сотрудников, создание сетей, тестирование безопасности, оборудование, программное обеспечение. В конченом итоге это спасет вашу репутацию и убережет от более серьезных расходов.
Для вашего бизнеса актуален вопрос размещения SaaS-приложений? Воспользуйтесь виртуальной инфраструктурой ИТ-ГРАД! Арендуйте облако и платите по удобной для вас модели — Pay As You Go или Allocated.