Безопасность как услуга (SECaaS или SaaS) - это бизнес-модель, в которой поставщик услуг интегрирует свои услуги безопасности в корпоративную инфраструктуру на основе подписки с меньшими затратами, чем большинство частных лиц или корпораций могут предоставить самостоятельно, когда общая стоимость владения составляет считается. [1] SECaaS основана на модели « программное обеспечение как услуга » применительно к услугам типа информационной безопасности и не требует локального оборудования, что позволяет избежать значительных капитальных затрат. [2] [3] Эти службы безопасности часто включают аутентификацию , антивирус , защиту от вредоносных программ./ spyware, обнаружение вторжений , тестирование на проникновение [4] и управление событиями безопасности, среди прочего. [5]
Лицензирование и поставка систем безопасности на аутсорсинге может похвастаться многомиллиардным рынком. [6] SECaaS предоставляет пользователям услуги интернет-безопасности, обеспечивающие защиту от сетевых угроз и атак, таких как DDoS , которые постоянно ищут точки доступа для взлома веб-сайтов. [7] Поскольку спрос на облачные вычисления и их использование стремительно растут, пользователи становятся более уязвимыми для атак из-за доступа в Интернет из новых точек доступа . SECaaS служит буфером от самых постоянных онлайн-угроз. [8]
Категории SECaaS
Альянс Cloud Security (CSA) является организацией , которая посвящена определению и повышения осведомленности о безопасных облачных вычислениях. При этом CSA определила следующие категории инструментов SECaaS и создала серию технических документов и руководств по внедрению, чтобы помочь предприятиям внедрить и понять SECaaS. [9] Эти категории включают:
- Непрерывность бизнеса и аварийное восстановление (BCDR или BC / DR)
- Непрерывный мониторинг
- Предотвращение потери данных (DLP)
- Безопасность электронной почты
- Шифрование
- Управление идентификацией и доступом (IAM)
- Управление вторжением
- Сетевая безопасность
- Оценка безопасности
- Информация о безопасности и управление событиями (SIEM)
- Сканирование уязвимостей
- Веб-безопасность
Модели SECaaS
SECaaS обычно предлагается в нескольких формах:
- Подписка
- Оплата использованных услуг
- Бесплатное ПО. За некоторые бесплатные функции необходимо платить: Примеры включают AWS , nmap.online , IBM Cloud.
- Бесплатно: примеры включают Cloudbric , CloudFlare и Incapsula .
Преимущества
Безопасность как услуга предлагает ряд преимуществ [10], в том числе:
- Снижение затрат: SECaaS облегчает финансовые ограничения и бремя для онлайн-бизнеса, интегрируя службы безопасности без локального оборудования или огромного бюджета. Использование облачного продукта безопасности также позволяет обойтись без дорогостоящих экспертов и аналитиков по безопасности. [11]
- Последовательная и единообразная защита: услуги SECaaS обеспечивают постоянную защиту, поскольку базы данных постоянно обновляются, чтобы обеспечить актуальную безопасность. Это также снимает проблему наличия отдельных инфраструктур вместо объединения всех элементов в одной управляемой системе.
- Постоянные обновления описаний вирусов , не зависящие от соблюдения пользователем
- Большой опыт в области безопасности, чем обычно имеется в организации
- Более быстрая синхронизация пользователей
- Аутсорсинг административных задач, таких как управление журналами, для экономии времени и денег и позволяет организации уделять больше времени своей основной деятельности.
- Веб-интерфейс, позволяющий самостоятельно администрировать некоторые задачи, а также просматривать среду безопасности и текущие действия.
Вызовы
SECaaS имеет ряд недостатков, которые делают его небезопасным для многих приложений. Каждый отдельный запрос службы безопасности добавляет по крайней мере один круговой обход по сети (не считая пакетов установщика), четыре возможности для хакера перехватить разговор:
- В точке подключения отправки идет вверх
- В точке подключения приема идет вверх
- В пункте отправки для возврата; а также
- В пункте приема для возврата.
SECaaS делает всю обработку безопасности единообразной, так что, когда есть нарушение безопасности для одного запроса, безопасность нарушается для всех запросов, что представляет собой самую широкую поверхность атаки, которая может быть. Это также увеличивает стимул к вознаграждению хакера, потому что ценность того, что можно получить за усилия, резко возрастает. Оба эти фактора особенно подходят для ресурсов хакера, спонсируемого государством / государством.
Самая большая проблема для рынка SECaaS - поддержание репутации надежности и превосходства над стандартными не облачными сервисами. SECaaS в целом, похоже, стала опорой на рынке облачных вычислений. [12]
Облачная безопасность веб-сайтов подходит не для всех предприятий, и конкретные требования необходимо должным образом оценивать с учетом индивидуальных потребностей. [13] Компании, обслуживающие конечных потребителей, не могут позволить себе хранить свои данные незащищенными и уязвимыми для хакерских атак. Самая тяжелая часть в SECaaS - это обучение бизнеса. Поскольку данные является крупнейшим активом для бизнеса, [14] это до ИТ - директоров и технических директоров , чтобы заботиться о полной безопасности в компании.
Смотрите также
Рекомендации
- ^ Olavsrud, Тор (26 апреля 2017). «Модель« безопасность как услуга »набирает обороты» . cio.com . Проверено 22 июня 2017 .
- ^ «Безопасность как услуга» . техопедия . Проверено 10 июня 2017 .
- ^ Furfaro, A .; Гарро, А .; Тундис, А. (2014-10-01). «На пути к безопасности как услуге (SecaaS): моделирование услуг безопасности для облачных вычислений». 2014 Международная Карнаханская конференция по технологиям безопасности (ICCST) : 1–6. DOI : 10,1109 / CCST.2014.6986995 . ISBN 978-1-4799-3530-7.
- ^ «Тестирование на проникновение как услуга» . ПЕНТЕСТОН . Проверено 20 июня 2017 года .
- ^ «Определение безопасности как услуги» .
- ^ «Безопасность как услуга действительно стала легкой задачей» . Проверено 24 сентября 2015 .
- ^ "Cloudbric blog: Кто стоит за DDoS-атаками и как защитить свой сайт?" . blog.cloudbric.com . Проверено 24 сентября 2015 .
- ^ «Безопасность как услуга, облачные вычисления на подъеме (часть 1)» . Архивировано из оригинала на 2014-08-15 . Проверено 21 сентября 2015 .
- ^ Альянс облачной безопасности. «Определенные категории безопасности как услуги» (PDF) . Альянс облачной безопасности . Дата обращения 5 июня 2017 .
- ^ "Cloudbric blog: Руководство для новичков по безопасности как услуге (SECaaS)" . blog.cloudbric.com . Проверено 24 сентября 2015 .
- ^ «Облако безопасно и рентабельно для хранения критически важных данных. Нет, правда. - Пик 10» . Проверено 21 сентября 2015 .
- ^ «Безопасность как услуга действительно стала легкой задачей» . Проверено 24 сентября 2015 .
- ^ «Облако против центра обработки данных: в чем разница?» . Проверено 21 сентября 2015 .
- ^ «Почему безопасность как услуга [SECaaS] будет важнейшим активом для любого ИТ-директора или технического директора сегодня» . Проверено 22 марта 2016 .
Внешние ссылки
- Рабочая группа по безопасности как услуге