Biznis model SaaS (softvér ako služba) si našiel za ostatné desaťročie nenahraditeľné miesto v organizáciách všetkých veľkostí a segmentov. Umožňuje totiž organizáciám flexibilnejší prístup k softvérovým zdrojom a používanie širokej škály aplikácií spôsobom „pay-as-you-go“. Z ekonomického a personálneho hľadiska je tak v protiklade s potrebou budovať a udržiavať celú škálu vlastných aplikácií.
Nové služby, staré problémy
Rovnako ako v prípade tradičných technologických infraštruktúr, aj používanie aplikácií cez SaaS môže pre spoločnosti predstavovať značné riziká. Medzi najvýznamnejšie riziká patrí kompromitácia osobných a inak citlivých dát, ich strata, prípadne vystavenie nadmernému zdieľaniu. Aplikácie môžu mať odstávky a sú ohrozené zraniteľnosťou a šíriacim sa malvérom.
Dôležité je monitorovať riziko nesúladu s predpismi a so zákonmi na ochranu osobných údajov, ako sú všeobecné nariadenie o ochrane údajov Európskej únie, štandard bezpečnosti údajov odvetvia platobných kariet, profesijné a kvalitatívne štandardy, požiadavky národných legislatív o kybernetickej bezpečnosti a osobných údajoch. Pre organizácie je životne dôležité tieto riziká vnímať a podniknúť maximum krokov na ich odstránenie, respektíve minimalizáciu.
Tradície nestačia
Ak v minulosti chcela organizácia zodpovedne chrániť údaje o svojej technologickej infraštruktúre a používateľoch, väčšinou pristupovala k nasadeniu rôznych bezpečnostných nástrojov vo vlastnej sieti.
Pri využívaní cloudu a modelu SaaS sú však aplikácie a dáta spoločnosti uložené v infraštruktúre tretích strán a zamestnanci zákazníka majú možnosť k nim pristupovať kedykoľvek, kdekoľvek a z ľubovoľného zariadenia. Tradičný prístup k bezpečnosti prestáva stačiť, a to z niekoľkých dôvodov.
V modeli SaaS nemajú správcovia siete spoločnosti prehľad o technologickej infraštruktúre dodávateľa ani o uchovávaní a zabezpečení. V praxi to znamená, že väčšina klasických bezpečnostných procesov a nástrojov používaných na zabezpečenie lokálnej technológie spoločnosti sa pre aplikácie SaaS nedá nasadiť, respektíve nebudú fungovať.
Organizácie majú menej možností, ako monitorovať a kontrolovať, ktoré aplikácie sú prístupné či kto ich používa, a kontrolovať, aké údaje sa nahrávajú a kde sa sťahujú.
Prvá generácia ochrany
Na negatíva kyberbezpečnosti pre model SaaS reaguje nástup poskytovateľov cloudovej bezpečnosti, takzvaný Cloud-Access Security Brokers (CASB). Ide o dodávateľov riešení, ktoré poskytujú isté body vynucovania bezpečnostných politík, nezávislých od samotnej aplikácie.
Ako virtuálna oblasť medzi poskytovateľom cloudových služieb a jeho používateľmi poskytuje ovládacie prvky bezpečnostnej politiky pre aplikácie SaaS a vynucuje dodržiavanie zásad riadenia a ochrany údajov v rôznych prostrediach.
Štandardné riešenia CASB sú však prevádzkovo zložité a znamenajú pre organizáciu relatívne vysoké náklady. Neposkytujú už jednotný prístup k politike ochrany údajov, ktorý konzistentne pokrýva cloudové aplikácie, fyzickú sieť, vzdialených používateľov a všetky koncové body. Riešia iba časť problému a vyžadujú ďalšie nástroje pre komplexný bezpečnostný manažment.
Nastupuje nový trend
Pokročilú ochranu dát a konzistenciu cloudových aplikácií priniesla až nová generácia riešení. Trhovým lídrom sa stalo riešenie Prisma SaaS spoločnosti Palo Alto Networks.
Komplexne rieši požiadavky organizácií na zabezpečenie cloudového prístupu (CASB) a poskytuje pokročilé funkcie na zisťovania rizík, prevenciu straty údajov, zabezpečenie súladu s predpismi, správu údajov, monitorovanie správania používateľov a rozšírenú prevenciu hrozieb. Rešpektuje požiadavku ochrany multi a hybridných cloudových prostredí a cloudových natívnych aplikácií s tým, že kombinuje ich zabezpečenie počas celého životného cyklu.
Vladimír Mlynarčík, riaditeľ pre región Českej a Slovenskej republiky Clico
Nová generácia cloudovej bezpečnosti
- Zabezpečenie aplikácií, dát a používateľov mimo podnikových priestorov, v cloude a na vzdialených miestach.
- Detekcia a ochrana citlivých dát medzi firemnými sieťami, používateľmi a poskytovateľmi SaaS.
- Súlad bezpečnostných politík s legislatívnymi a priemyselnými predpismi bez ohľadu na to, kde sa regulované údaje pohybujú a kde sa nachádzajú.
- Monitoring a riadenie správania používateľov a minimalizácia potenciálnych bezpečnostných alebo Shadow IT rizík.
- Žiadne medzičlánky, riešenie je plne integrované do existujúcej bezpečnostnej infraštruktúry.
- Nízke celkové náklady spojené s vlastníctvom počas lehoty životnosti.
(Špeciálny projekt)