Beruflich Dokumente
Kultur Dokumente
Va a crear un sistema de seguridad para una aplicacin SaaS? Este artculo est aqu para ayudar! En l se enumeran las preguntas importantes desde el comienzo de su proyecto para evitar fallos de seguridad o limitaciones funcionales que celebrar de nuevo ms tarde.
Introduccin:
Idealmente, la seguridad de la aplicacin SaaS debe combinar la fuerza y la flexibilidad: Sistema de fuerza garantizar la seguridad de aplicaciones a travs de: El control de acceso de los usuarios dentro de los lmites de su suscripcin Garantizar la confidencialidad de los datos entre los usuarios que comparten la aplicacin La eliminacin de las brechas de seguridad para protegerle de los ataques exteriores Sistema flexibilidad contribuir al desarrollo de su negocio a travs de: Facilitar la evolucin de su modelo de negocio y la creacin de su oferta Responder a las necesidades de los clientes relacionadas con la gestin de usuarios (ver ms abajo) Apoyo a la escalabilidad ptimo rendimiento y simplificar la administracin de grandes cantidades de usuarios y componentes garantizados Este artculo enumera las especificaciones tcnicas y funcionales que le permiten alcanzar ambos objetivos. Le ayudar a conceptualizar la seguridad de la aplicacin SaaS, teniendo en cuenta las limitaciones importantes desde el comienzo de su proyecto. De este modo se podr cubrir necesidades a corto trminos, mientras que al mismo tiempo de anticipacin cualquier evoluciones futuras necesarias para el desarrollo de su negocio.
Una interfaz accesible para los usuarios no tcnicos de la administracin. A continuacin, puede delegar la administracin de usuarios a los gerentes de empresas locales Esta interfaz de administracin debe ofrecer todas las funciones de control de acceso necesarios a travs de Internet (gestin de cuentas, asignacin de grupos y derechos de acceso, visibilidad y control de los datos de seguridad ...)
Si usted desarrolla una aplicacin Saas multi-tenant (una sola instancia de la aplicacin utilizada por varios clientes), debe restringir los derechos de administracin de cliente para sus propias cuentas de usuario: usted no quiere que ellos sean capaces de modificar las cuentas de otro cliente! De manera ms general, puede restringir los derechos de acceso delegados de tres maneras: Limite la administracin de cuentas de usuario a un cliente, o un subconjunto de los usuarios de los clientes. Limite los tipos de operaciones de administracin. Limitar la administracin a cierta aplicacin. Con todos estos posibles escenarios, es necesario planificar un sistema de control de acceso flexible, lo que le permite delegar varios niveles de derechos de administracin, de acuerdo con la organizacin y las necesidades internas de sus clientes.
El despliegue en la Nube
Adaptar el sistema a la plataforma elegida. En el caso de Windows Azure, debe tener en cuenta las especificaciones del sistema operativo y SQL Azure. Adaptar la escalabilidad y el tamao de los recursos del servidor de acuerdo a las necesidades de su aplicacin SaaS
1. El usuario ser capaz de acceder a mltiples aplicaciones, que pasa libremente de uno a otro 2. Si las aplicaciones hacen llamadas a servicios web segura, el usuario ser autenticado por cada servicio web utilizado 3. El usuario inicia sesin en el primer lugar y entonces ser capaz de acceder a otros sitios sin tener que volver a introducir sus credenciales (Single Sign-On) Un sistema de SSO tpico para aplicaciones SaaS incluye las siguientes funcionalidades: Gestin de sesiones de usuario - 1: Cuando el usuario pasa de un sitio a otro, el sistema de SSO debe Identificar al usuario Recrear su sesin para cada sitio visitado Cargue los datos de seguridad (atributos, roles, permisos ...) Para lograr esto, los mecanismos para la gestin de los tokens de seguridad deben incluirse (para crear, transferir y asegurar los tokens). Estos mecanismos deben optimizarse, para evitar sobrecargar el servidor (no se puede "simplemente" autenticar un usuario y vuelva a cargar su seguridad para cada pgina visitada: los tiempos de respuesta se vuelven demasiado tiempo cuando el nmero de visitas aumenta). 2 - Proporcionar un inicio de sesin de aplicaciones para usuario individual: Un portal de autenticacin de aplicaciones para usuario debe: Permitir a un usuario autenticarse antes de acceder a un sitio web Memorice la totalidad o una parte de las credenciales del usuario para evitar que los usuarios tengan que volver a entrar en ellos en cada visita (por ejemplo, el nombre de usuario y contrasea) Redirigir automticamente a los usuarios que navegan entre sitios federados por el propio organismo de normalizacin: el usuario llegar de inmediato en el segundo sitio y su perfil de seguridad se aplica de forma automtica 3 - Facilitar la integracin de aplicaciones en el sistema SSO: Lo ideal es que la integracin de SSO no debera requerir ningn cambio en la aplicacin El proceso de integracin debe ser el mismo sin importar el tipo de aplicacin y el desarrollo de la tecnologa utilizada Es probable que de SSO ser utilizado por los desarrolladores distintos de los que lo cre. Usted debe planear para la documentacin y la ayuda correspondiente 4 - Soporte para configuraciones complejas: Segn sus necesidades, el sistema de Single Sign-On puede ser necesario para apoyar las siguientes situaciones: No todos los sitios estn en la misma red (LAN o WAN) No todas las cuentas de usuario se almacenan en la misma red que el SSO No todos los sitios estn bajo el mismo dominio web No todos los sitios son desarrollados en la misma tecnologa
Caso 1: SaaS por defecto del modelo. La aplicacin est organizada por el proveedor con el sistema de seguridad. Los usuarios acceden a l a travs de Internet. Los clientes pagan para utilizar la aplicacin en un, de manera recurrente por tiempo limitado. Modelo de negocio : pago por uso Modelo de entrega de software : SaaS
Caso 2: Por motivos de seguridad o tcnicos, los clientes pueden solicitar que se instala la aplicacin en su entorno. Los usuarios acceden a l a travs de LAN o Internet. El vendedor se las arregla el Control de acceso: los clientes pagan para utilizar la aplicacin, sobre una base recurrente por tiempo limitado. Modelo de negocio : pago por uso Modelo de entrega de software : en las instalaciones
Caso 3: Los clientes desean reutilizar sus cuentas de usuario (por ejemplo, sus cuentas de Windows). Por tanto, el sistema de control de acceso debe ser capaz de dar cuentas existentes de acceso a sus aplicaciones SaaS. Modelo de negocio : pago por uso Modelo de entrega de software : SaaS
Caso 4: El modelo de entrega de software Classic. El cliente cuenta con un ejemplar de la solicitud. Ellos manejan el control de acceso a s mismos. El proveedor de software puede aadir este modelo a su catlogo (adems de un modelo SaaS) para aumentar su oferta de productos. El sistema de control de acceso debe ser fcil de implementar en los
clientes (herramientas de administracin sencillas y sonoras, documentacin completa ...). Por todo eso, este tipo de implementacin no prohbe un modelo de pago por uso. Para eso, se necesita un sistema que gestiona las claves de licencia en un tiempo limitado. Modelo de negocio : pago por uso o licencia perpetua Modelo de entrega de software : en las instalaciones
Fiabilidad y Rendimiento:
La interfaz de administracin debe ser concebida para gestionar un gran nmero de usuarios y derechos de acceso (para guiar el administrador de operaciones y realizar bsquedas, optimizar el tiempo de respuesta del repositorio de seguridad ...). Cuando la aplicacin SaaS se encuentra en la produccin, el proceso de autenticacin de usuario y el clculo de sus derechos de acceso debe ser optimizado para evitar largos tiempos de espera. Por ejemplo, un sistema que necesita para acceder al depsito de seguridad cada vez que un usuario abre una nueva pgina tiene una mayor probabilidad de problemas de rendimiento cuando el nmero de usuarios y pginas vistas aumenta.
Contrasea grietas: el sistema de control de acceso debe permitir definir una poltica de contraseas sofisticadas para proteger contra el descifrado de contraseas (adivinar una contrasea a travs de ensayo y error). Deteccin de paquetes: el sistema de control de acceso debe incluir la proteccin contra la captura de paquetes de datos para encontrar contraseas o tokens de seguridad en el trnsito por la red. Un hacker puede robar estas fichas para realizar llamadas al sistema como si fueran un usuario. Inyeccin SQL: El sistema de control de acceso probablemente contiene campos de bsqueda - por ejemplo, para encontrar una cuenta de usuario. Es necesario comprobar la validez de este sistema de brazo contra inyecciones de SQL, que consisten en la insercin de piezas de rdenes de SQL en la bsqueda, con el fin de consultar la informacin confidencial, o de cambiar ilegalmente los datos de seguridad.
Hacer o comprar?
Periodo de ejecucin es la clave : que hemos visto en este artculo que el control de acceso y seguridad para las aplicaciones SaaS implica funcionalidades complejas. Si usted est trabajando en un proyecto interno, se requiere un compromiso de tiempo significativo y desarrolladores cualificados. Si est trabajando en un marco de tiempo limitado o la experiencia necesaria no est disponible, una solucin de control de acceso-lista para usar puede ser la mejor solucin. La gestin del riesgo : una solucin lista para su uso se limitar riesgos a corto plazo (sobrecostos y hora, los insectos y las brechas de seguridad), pero usted ser expuesto a otros riesgos para los que se necesitan para cubrir: Evolucin: consultar las versiones de la historia y del pasado de la solucin: se deduce de las evoluciones tcnicas del mercado, son nuevas versiones publicadas con regularidad, y lo ms importante, recientemente (riesgo de obsolescencia)? Producto de calidad y apoyo: elegir una solucin estable y bien desplegado, para lo cual puede consultar los comentarios de otros usuarios Longevidad: qu pasar si el proveedor de la solucin desaparece? Es la solucin de entrega con su cdigo fuente? El proveedor de proponer un acuerdo de custodia (una copia del cdigo fuente se deposita con un tercero que lo enviar a todos los clientes si hay una interrupcin en el servicio por parte del proveedor)? Por qu no combinar todas estas ventajas? Si los proveedores estn atentos a las necesidades de sus usuarios al momento de elegir la forma de evolucionar continuamente su aplicacin con el mercado, usted se beneficiar de las ventajas de una solucin estndar (ms estable y completa a un costo ms bajo) al tiempo que capaz de influir en el desarrollo futuro para cubrir mejor sus necesidades especficas. Pida ver la hoja de ruta del producto y verificar si el proveedor sabe cmo tomar en cuenta las sugerencias de los usuarios.