¿La infraestructura en la nube de otra persona es demasiado incompleta para la aplicación SaaS de grandes empresas?

Navega tus respuestas
3

Tengo un conjunto de servicios SaaS orientados a la empresa que intentaré vender pronto a una gran cantidad de empresas grandes. En revisiones de TI y seguridad para software crítico en el pasado, como un proveedor al que se le había engañado si se estaba ejecutando en los entornos virtuales de otra persona. Se esperaba que estuvieras ejecutando por tu cuenta, o al menos el hardware desnudo por el que has contratado.

A pesar de que fue 2012 y no de 1997, sé de primera mano que hay quienes abusarán de la idea de comprar un servicio alojado en algo como AWS o en una situación de alojamiento de varios inquilinos que no se dedica exclusivamente a servicio a la mano.

¿Todavía hay preocupaciones de seguridad en la empresa sobre esto en general, especialmente en el campo de la integración de ERP? Hay mucho más costo involucrado en un DC con servidores y licencias de Oracle, etc., etc. y, por lo tanto, el modelo de precios cambia significativamente.

¿Consideraría que los servicios vendidos en la nube de otra persona son demasiado riesgosos? Esto sería en una perspectiva general de sistemas de TI en varias industrias. (por ejemplo, es probable que no sea para la banca, pero la mayoría de las operaciones bancarias son locales)

    
pregunta Jé Queue 02.03.2012 - 20:59
fuente

2 respuestas

1

En general, solo hay algunas áreas clave de riesgo agregado para un sistema alojado en la nube en lugar de un sistema autogestionado. Algunos de estos pueden aplicarse a algunas industrias, otros no tanto.

  • Cumplimiento: algunas regulaciones / leyes dificultan (si es posible) el cumplimiento cuando se alojan en la nube. Últimamente, la mayoría de los proveedores de la nube están haciendo esfuerzos para superar este desafío.
  • Migración de datos: por lo general, no sabrá dónde se encuentran sus datos, por ejemplo. Puede ser trasladado fuera del país. Esto puede ser relevante de nuevo para el cumplimiento, por ejemplo. Ley de protección de datos en la UE. Nuevamente, muchos proveedores ahora le permiten imponer una región específica para sus instancias.

En mi opinión, siempre que el proveedor cumpla con sus requisitos básicos, los problemas anteriores no son tan importantes.
Sin embargo, estos dos próximos siempre se mantendrán como riesgos, que deben ser gestionados adecuadamente por cada empresa de acuerdo con sus propias compensaciones:

  • Acceso interno: mientras que (con suerte) tiene algún control sobre sus propios empleados, incluso los administradores, a través de la verificación de empleados y otros controles no técnicos / personales, no tiene tal control sobre los empleados del proveedor de la nube. Si bien esto puede mitigarse parcialmente, ya sea mediante controles técnicos (como el cifrado, que solo hará más difícil hacer daño, no imposible), o controles legales (por ejemplo, no indemnización, etc. aunque muy poco probable), esto seguirá siendo un problema. riesgo comercial válido, que algunas empresas no querrían aceptar .
  • Disponibilidad: obviamente, tiene probabilidades ligeramente más altas de altos niveles de acceso, cuando sus máquinas están en el sitio. De forma remota, depende de muchos niveles, además de los proveedores de la nube, está el ISP, etc. Nuevamente, existe cierta mitigación, tanto técnica como contractual (por ejemplo, SLA con cláusula de penalización), sin embargo, como anteriormente, esto todavía puede ser un riesgo comercial válido.

Entonces, para resumir la respuesta a tu pregunta final:

  

¿Consideraría que los servicios vendidos en la nube de otra persona son demasiado riesgosos?

Una pregunta más simple es: ¿Es más vulnerable? Eso tiene una respuesta fácil: en realidad no. Como dijo @Rook, hay demasiados factores que están fuera de tu control, incluso cuando eres dueño de las cajas físicas. Así que no pierdes mucho de esa manera.

Sin embargo, " también arriesgado" depende de la tolerancia al riesgo de cada empresa y de otras compensaciones.
Aparte de los problemas de cumplimiento, los últimos puntos que mencioné serían los problemas más difíciles de manejar.

    
respondido por el AviD 09.03.2012 - 00:51
fuente
1

¿Entonces solo porque está en una máquina en tu edificio y es tuyo? ¿Sabes todo lo que se ejecuta en esta máquina? La respuesta siempre es No . Una pieza de hardware que proporciona un servicio es una caja negra para el usuario final. Si cualquier cosa que tenga un proveedor que le envíe un hardware dedicado es una amenaza de seguridad masiva . La configuración del firewall siempre debe ser muy restrictiva cuando se trata de conexiones remotas. Para la gran mayoría de las redes empresariales, se me ha ocurrido que la idea de un atacante con una caja negra dentro de su red local es un nightmare .

Un importante principio de seguridad de defensa en profundidad es el aislamiento. Cuando un sistema se ve comprometido, se convierte en una cabeza de playa para una invasión a gran escala del resto de su infraestructura. Un diseño de seguridad ideal tendría cada sistema aislado y solo expondría la funcionalidad mínima necesaria a los otros componentes de su infraestructura. SaaS y la computación en la nube pueden ajustarse a este diseño, pero también lo pueden hacer las plataformas informáticas tradicionales.

    
respondido por el rook 03.03.2012 - 05:12
fuente

Lea otras preguntas en las etiquetas

¿Cómo puedo saber quién está usando mi información de cookies en una LAN abierta? Seguridad de la versión de prueba