Centralizowana natura usługi i model współdzielenia nie tylko sprzętu i oprogramowania, ale także konfiguracji platformy sprawiają, że ta sama konfiguracja jest wykorzystywana przez wielu klientów. Zatem jeśli podatność dotyczy jednego z nich, prawdopodobnie będzie dotyczyć innych usługobiorców w podobnym stopniu. Dostawcy korzystają ze standardowych stosów oprogramowania i protokołów, takich jak: HTTP, XML/SOAP, JSON, CSS i JavaScript, w których często znajduje się kolejne luki. Można je wykorzystać, jeśli tylko konstrukcja, implementacja lub konfiguracja platformy została wykonana błędnie, a wtedy skutki obejmą więcej niż jednego klienta.

Z kolei możliwość dostosowania platformy Compfort Meridian do potrzeb klienta oraz integracja z aplikacjami zewnętrznymi wiąże się z ryzykiem ujawnienia się podatności, która przyniesie skutki także dla innych klientów. Zjawiska te są naturalną konsekwencją wdrażania współdzielonego środowiska, eksploatowanego przez wielu usługobiorców. Należy wziąć je pod uwagę przy ocenie ryzyka.

Zobacz również:

• Rosną wydatki na chmurę publiczną
• Najważniejsze zagrożenia wykorzystania modelu SaaS
• Najpierw produkt, potem pieniądze

Zadajemy pytania

Testy penetracyjne

Należy koniecznie zadać pytania związane z rzeczywistymi próbami odporności środowiska produkcyjnego na ataki z zewnątrz. W jaki sposób odbywają się te testy? Jak często się je wykonuje? Kto to robi? Czy istnieje możliwość wykonania takich testów przez podmiot zewnętrzny w niezależny sposób, by sprawdzić swoją część współdzielonego środowiska? Jakie w tym celu są procedury? Bez regularnych i dogłębnych testów penetracyjnych trudno określić rzeczywistą ekspozycję na ataki i prawdziwy stopień ochrony środowiska. Z kolei poważne utrudnianie testów penetracyjnych może oznaczać, że usługodawca nie dysponuje dobrymi zabezpieczeniami lub ma w tej materii coś do ukrycia - a to nie jest dobra wiadomość dla usługodawcy.

Bezpieczeństwo danych

Ważne pytania dotyczą zabezpieczeń chroniących składowane i przetwarzane dane. W jaki sposób dane są zaszyfrowane w środowisku składowania (macierze dyskowe)? Jaki algorytm jest używany? W jaki sposób są tworzone i dystrybuowane klucze? Kto ma do nich dostęp? Czy istnieje pojedynczy punkt, który zawiera wszystkie klucze szyfrujące? W jaki sposób zabezpieczono klucze szyfrujące? Czy istnieje separacja obowiązków administracyjnych, rozdzielenie obowiązków związanych ze składowaniem danych oraz bezpieczeństwem? Czy klucze są przechowywane i dystrybuowane osobno od składowanych zaszyfrowanych danych? Czy można zobaczyć dzienniki administracyjne? Czy stosowane są mechanizmy zarządzania tożsamością w kontach o wysokich przywilejach? Kto nimi zarządza? Gdzie są składowane logi z systemu? Czy istnieje zewnętrzny podmiot, który dokonuje audytu poczynań administratorów? Czy dostawca może dostarczyć raport SAS 70? Jak chronione są informacje o statystykach użycia platformy?

Odpowiedzi na te pytania są niezwykle ważne, gdyż jeśli dostawca w ogóle nie stosuje szyfrowania, wówczas współdzielona infrastruktura jest w stanie umożliwić przechwycenie danych przez innego klienta tej samej platformy. Z kolei źle rozwiązana dystrybucja kluczy szyfrujących (na przykład składowanie ich w otwartej postaci na jednym z serwerów) w praktyce równa się brakowi szyfrowania w ogóle.

Hosting dedykowany

Należy zadać pytanie: czy istnieje opcja dedykowanego hostingu aplikacji? Jeśli tak, trzeba sprawdzić, czy dotyczy to tylko samej aplikacji (na przykład na osobnym fizycznym serwerze hostującym maszyny wirtualne tego samego podmiotu), czy także składowania danych oraz połączeń sieciowych SAN i LAN. Jak wyglądają koszty rozwiązań dedykowanych w porównaniu do typowego modelu cloud computing? Jak w takim przypadku wygląda zarządzanie tożsamością, kontrola dostępu? Czy któryś z elementów związanych z bezpieczeństwem jest współdzielony z główną platformą konsolidującą usługi wielu klientów?

Disaster recovery

Poważne zdarzenia losowe lub rozległe awarie mimo wszystko mogą się zdarzyć. Należy się dowiedzieć, jakie środki zostały podjęte, by uniknąć utraty danych. Jakie są procedury odtwarzania poawaryjnego? Gdzie i jak są składowane dane w kopiach bezpieczeństwa? Jak szyfrowane są kopie? Jak są chronione klucze? Jak efektywna jest procedura odzyskiwania poawaryjnego? Jak często te procedury są sprawdzane i z jakim wynikiem? Czy można przejrzeć raporty? Ile trwa odzyskanie funkcjonalności platformy ze wszystkimi danymi? Kto ponosi odpowiedzialność za przestój w przypadku poważnego zdarzenia losowego? Czy firma jest ubezpieczona w tym zakresie? Jeśli tak, to do jakiej wysokości i kto je świadczy? Czy umowa o świadczenie usług obejmuje odpowiedzialność dostawcy także w przypadku katastrofy lub bardzo poważnej awarii technicznej spowodowanej na przykład czynnikiem zewnętrznym?

Uwierzytelnienie

Jaka jest procedura logowania do aplikacji SaaS? Czy wykorzystuje się dwuskładnikowe uwierzytelnienie? Czy można zintegrować logowanie użytkownika z istniejącymi już w przedsiębiorstwie strukturami zarządzania tożsamością? Jeśli tak, to jak taka integracja jest przeprowadzana? Jak wygląda zarządzanie uprawnieniami użytkowników i administratorów? Czy istnieje możliwość powiadomienia administratora w firmie o podejrzanej aktywności?

Tekst powstał na podstawie wpisu: "5 Security Questions for your SaaS provider" na blogu Rika Fergusona countermeasures.trendmicro.eu.