L'infrastruttura cloud di qualcun altro è troppo schematica per l'applicazione SaaS di grandi aziende?

Naviga le tue risposte
3

Ho una serie di servizi SaaS orientati all'ingegneria che cercherò di vendere presto a un certo numero di grandi aziende. Nelle revisioni dell'IT e della sicurezza per i software critici in passato, come fornitore si era appiccicato se stavi girando su ambienti virtuali di qualcun altro. Ci si aspettava che tu fossi in esecuzione da solo, o almeno l'hardware per il quale hai contratto.

Nonostante sia il 2012 e non il 1997, conosco di prima mano alcuni che faranno venire l'idea di acquistare un servizio ospitato su qualcosa come AWS o in una situazione di hosting multi-tenant che non era esclusivamente dedicata al servizio a portata di mano.

Ci sono ancora problemi di sicurezza nell'azienda riguardo a questo, soprattutto nell'arena dell'integrazione ERP? C'è un costo molto maggiore in un DC con server e licenze Oracle, ecc. Ecc. E quindi il modello di pricing cambia in modo significativo.

Ritenete che i servizi venduti sul cloud di qualcun altro siano troppo rischiosi? Ciò avverrebbe in una prospettiva di sistemi IT generali in vari settori. (Ad esempio, probabilmente non per il settore bancario, ma la maggior parte dei servizi bancari sono comunque locali)

    
posta Jé Queue 02.03.2012 - 20:59
fonte

2 risposte

1

In generale, ci sono solo alcune aree chiave di rischio aggiunto, per un sistema ospitato nel cloud piuttosto che un sistema autogestito. Alcuni di questi possono essere applicati ad alcune industrie, altre meno.

  • Conformità: alcune normative / leggi rendono difficile (se possibile) essere conformi quando ospitate nel cloud. Ultimamente la maggior parte dei provider di servizi cloud sta facendo sforzi per soddisfare questa sfida.
  • Migrazione dei dati: in genere non saprai dove si trovano i tuoi dati, ad es. potrebbe essere spostato fuori dal paese. Questo può essere di nuovo rilevante per la conformità, ad es. Legge sulla protezione dei dati nell'UE. Ancora una volta, molti provider ti consentono ora di applicare una regione specifica per le tue istanze.

Secondo me, purché il provider soddisfi i requisiti fondamentali, le questioni di cui sopra non sono così importanti.
Tuttavia, questi due prossimi rimarranno sempre come rischi, che dovrebbero essere gestiti in modo appropriato da ciascuna azienda in base ai propri compromessi:

  • Accesso privilegiato - mentre tu (si spera) hai un certo controllo sui tuoi dipendenti, anche gli amministratori - tramite controllo del dipendente e altri controlli non tecnici / personali, non hanno questo controllo sui dipendenti del cloud provider.
    Mentre questi possono essere in parte mitigati, sia da controlli tecnici (come la crittografia, che renderà solo più difficile farti danni, non impossibile), sia da controlli legali (es. Non-indennizzo, ecc. Anche se altamente improbabile), questo rimarrà un rischio aziendale valido, che alcune aziende non vorrebbero accettare .
  • Disponibilità - ovviamente, hai probabilità leggermente più elevate di alti livelli di accesso, quando le tue macchine sono sul posto. Da remoto, sei dipendente da troppi livelli - oltre ai fornitori di cloud, c'è l'ISP, ecc.
    Anche in questo caso, vi è una certa mitigazione, sia tecnica che contrattuale (ad esempio SLA con clausola penale), tuttavia come sopra questo può ancora rappresentare un rischio commerciale valido.

Quindi, per riassumere la risposta alla tua domanda finale:

Would you consider services sold on someone else's cloud too risky?

Una domanda più semplice è: è più vulnerabile? Questo ha una risposta facile: non proprio. Come ha detto @Rook, ci sono troppi fattori ugualmente fuori dal tuo controllo, anche quando possiedi le caselle fisiche. Quindi non perdi molto in quel modo.

Tuttavia, " too risky" dipende dalla tolleranza al rischio di ciascuna azienda e da altri compromessi.
A parte i problemi di conformità, anche gli ultimi punti che ho menzionato sarebbero i problemi più difficili da gestire.

    
risposta data 09.03.2012 - 00:51
fonte
1

Quindi, solo perché è su una macchina nel tuo edificio che lo rende tuo? Sai tutto ciò che gira su questa macchina? La risposta è sempre No . Un componente hardware che fornisce un servizio è una scatola nera per l'utente finale. Se qualcosa che ha un fornitore ti manda un hardware dedicato è una massiccia minaccia per la sicurezza . Le impostazioni del firewall dovrebbero sempre essere molto restrittive quando si tratta di connessioni remote. Per la stragrande maggioranza delle reti aziendali che ho riscontrato l'idea di un utente malintenzionato con una scatola nera all'interno della rete locale è un incubo .

Un importante principio di sicurezza della difesa in profondità è l'isolamento. Quando un sistema viene compromesso diventa una spiaggia per un'invasione su larga scala del resto della tua infrastruttura. Un design di sicurezza ideale avrebbe ogni sistema isolato e solo esponendo la minima funzionalità necessaria agli altri componenti della vostra infrastruttura. SaaS e il cloud computing possono conformarsi a questo progetto, ma lo sono anche le piattaforme di calcolo tradizionali.

    
risposta data 03.03.2012 - 05:12
fonte

Leggi altre domande sui tag

Leggi sulla programmazione degli strumenti di sicurezza Quali sono le implicazioni nel rendere pubblico SECRET_KEY di Djangos?