8 puntos clave para asegurar sus aplicaciones SaaS Resumen:

Va a crear un sistema de seguridad para una aplicacin SaaS? Este artculo est aqu para ayudar! En l se enumeran las preguntas importantes desde el comienzo de su proyecto para evitar fallos de seguridad o limitaciones funcionales que celebrar de nuevo ms tarde.

Introduccin:
Idealmente, la seguridad de la aplicacin SaaS debe combinar la fuerza y la flexibilidad: Sistema de fuerza garantizar la seguridad de aplicaciones a travs de: El control de acceso de los usuarios dentro de los lmites de su suscripcin Garantizar la confidencialidad de los datos entre los usuarios que comparten la aplicacin La eliminacin de las brechas de seguridad para protegerle de los ataques exteriores Sistema flexibilidad contribuir al desarrollo de su negocio a travs de: Facilitar la evolucin de su modelo de negocio y la creacin de su oferta Responder a las necesidades de los clientes relacionadas con la gestin de usuarios (ver ms abajo) Apoyo a la escalabilidad ptimo rendimiento y simplificar la administracin de grandes cantidades de usuarios y componentes garantizados Este artculo enumera las especificaciones tcnicas y funcionales que le permiten alcanzar ambos objetivos. Le ayudar a conceptualizar la seguridad de la aplicacin SaaS, teniendo en cuenta las limitaciones importantes desde el comienzo de su proyecto. De este modo se podr cubrir necesidades a corto trminos, mientras que al mismo tiempo de anticipacin cualquier evoluciones futuras necesarias para el desarrollo de su negocio.

Administracin: centralizar o delegar?

Inicialmente, puede ser la gestin de usuarios y derechos de acceso de su cuenta. A medida que el volumen de usuarios aumenta, usted - y sus clientes - puede que desee delegar ciertos derechos de administracin para que sus clientes estn manejando sus usuarios y cuentas por ellos mismos. Si este es el caso, tendr que:

Una interfaz accesible para los usuarios no tcnicos de la administracin. A continuacin, puede delegar la administracin de usuarios a los gerentes de empresas locales Esta interfaz de administracin debe ofrecer todas las funciones de control de acceso necesarios a travs de Internet (gestin de cuentas, asignacin de grupos y derechos de acceso, visibilidad y control de los datos de seguridad ...)

Si usted desarrolla una aplicacin Saas multi-tenant (una sola instancia de la aplicacin utilizada por varios clientes), debe restringir los derechos de administracin de cliente para sus propias cuentas de usuario: usted no quiere que ellos sean capaces de modificar las cuentas de otro cliente! De manera ms general, puede restringir los derechos de acceso delegados de tres maneras: Limite la administracin de cuentas de usuario a un cliente, o un subconjunto de los usuarios de los clientes. Limite los tipos de operaciones de administracin. Limitar la administracin a cierta aplicacin. Con todos estos posibles escenarios, es necesario planificar un sistema de control de acceso flexible, lo que le permite delegar varios niveles de derechos de administracin, de acuerdo con la organizacin y las necesidades internas de sus clientes.

El despliegue en la Nube

Adaptar el sistema a la plataforma elegida. En el caso de Windows Azure, debe tener en cuenta las especificaciones del sistema operativo y SQL Azure. Adaptar la escalabilidad y el tamao de los recursos del servidor de acuerdo a las necesidades de su aplicacin SaaS

Facturacin de pago por uso y pago

Si su modelo de negocio se basa en un modelo SaaS de pago por uso, o que incluya los derechos de uso temporal, usted tendr acceso a sistema de control debe ser compatible con: Las cuentas de usuario con un lapso de tiempo limitado Una API que permite la colaboracin con un sistema de facturacin para actualizar automticamente la fecha de caducidad de cada cuenta Una interfaz de usuario que permite al equipo de ventas o servicio de ayuda para modificar esta informacin - por ejemplo, el tratamiento de casos nicos o errores, tomada inmediatamente en vigor para el usuario

Single Sign-On (SSO): una necesidad para los paquetes de software

Si su catlogo de productos se compone de un conjunto de aplicaciones, el sistema de control de acceso, probablemente debera incluir Single Sign-On para simplificar la experiencia del usuario:

1. El usuario ser capaz de acceder a mltiples aplicaciones, que pasa libremente de uno a otro 2. Si las aplicaciones hacen llamadas a servicios web segura, el usuario ser autenticado por cada servicio web utilizado 3. El usuario inicia sesin en el primer lugar y entonces ser capaz de acceder a otros sitios sin tener que volver a introducir sus credenciales (Single Sign-On) Un sistema de SSO tpico para aplicaciones SaaS incluye las siguientes funcionalidades: Gestin de sesiones de usuario - 1: Cuando el usuario pasa de un sitio a otro, el sistema de SSO debe Identificar al usuario Recrear su sesin para cada sitio visitado Cargue los datos de seguridad (atributos, roles, permisos ...) Para lograr esto, los mecanismos para la gestin de los tokens de seguridad deben incluirse (para crear, transferir y asegurar los tokens). Estos mecanismos deben optimizarse, para evitar sobrecargar el servidor (no se puede "simplemente" autenticar un usuario y vuelva a cargar su seguridad para cada pgina visitada: los tiempos de respuesta se vuelven demasiado tiempo cuando el nmero de visitas aumenta). 2 - Proporcionar un inicio de sesin de aplicaciones para usuario individual: Un portal de autenticacin de aplicaciones para usuario debe: Permitir a un usuario autenticarse antes de acceder a un sitio web Memorice la totalidad o una parte de las credenciales del usuario para evitar que los usuarios tengan que volver a entrar en ellos en cada visita (por ejemplo, el nombre de usuario y contrasea) Redirigir automticamente a los usuarios que navegan entre sitios federados por el propio organismo de normalizacin: el usuario llegar de inmediato en el segundo sitio y su perfil de seguridad se aplica de forma automtica 3 - Facilitar la integracin de aplicaciones en el sistema SSO: Lo ideal es que la integracin de SSO no debera requerir ningn cambio en la aplicacin El proceso de integracin debe ser el mismo sin importar el tipo de aplicacin y el desarrollo de la tecnologa utilizada Es probable que de SSO ser utilizado por los desarrolladores distintos de los que lo cre. Usted debe planear para la documentacin y la ayuda correspondiente 4 - Soporte para configuraciones complejas: Segn sus necesidades, el sistema de Single Sign-On puede ser necesario para apoyar las siguientes situaciones: No todos los sitios estn en la misma red (LAN o WAN) No todas las cuentas de usuario se almacenan en la misma red que el SSO No todos los sitios estn bajo el mismo dominio web No todos los sitios son desarrollados en la misma tecnologa

Qu sucede si los usuarios pueden reutilizar las cuentas existentes?

De forma predeterminada, se crear una nueva cuenta para cada usuario que necesite acceder a la aplicacin SaaS. El problema con esto es que el usuario ya tendr varias cuentas para recordar. Ciertos clientes pueden querer volver a utilizar sus cuentas de usuario existentes (por ejemplo, sus cuentas de Windows). Por ello, el sistema de control de acceso debe permitir dar a estas cuentas de derechos de acceso a sus aplicaciones.

Anticpese a los cambios en su modelo de negocio:

Un sistema de control de acceso es a menudo vinculada al modelo de negocio (pago por uso o licencia perpetua) y para el modelo de entrega de software (SaaS o en las instalaciones) Dependiendo de la estrategia de su empresa y la evolucin del mercado, su estrategia inicial de penetracin en el mercado puede ser llenado por otros modelos (por ejemplo, para servir a nuevas categoras de clientes o aumentar su lnea de productos). Su sistema de seguridad debe permitir que para este tipo de evolucin. stos son algunos de los modelos ms relevantes de su compaa puede querer tener en cuenta:

Caso 1: SaaS por defecto del modelo. La aplicacin est organizada por el proveedor con el sistema de seguridad. Los usuarios acceden a l a travs de Internet. Los clientes pagan para utilizar la aplicacin en un, de manera recurrente por tiempo limitado. Modelo de negocio : pago por uso Modelo de entrega de software : SaaS

Caso 2: Por motivos de seguridad o tcnicos, los clientes pueden solicitar que se instala la aplicacin en su entorno. Los usuarios acceden a l a travs de LAN o Internet. El vendedor se las arregla el Control de acceso: los clientes pagan para utilizar la aplicacin, sobre una base recurrente por tiempo limitado. Modelo de negocio : pago por uso Modelo de entrega de software : en las instalaciones

Caso 3: Los clientes desean reutilizar sus cuentas de usuario (por ejemplo, sus cuentas de Windows). Por tanto, el sistema de control de acceso debe ser capaz de dar cuentas existentes de acceso a sus aplicaciones SaaS. Modelo de negocio : pago por uso Modelo de entrega de software : SaaS

Caso 4: El modelo de entrega de software Classic. El cliente cuenta con un ejemplar de la solicitud. Ellos manejan el control de acceso a s mismos. El proveedor de software puede aadir este modelo a su catlogo (adems de un modelo SaaS) para aumentar su oferta de productos. El sistema de control de acceso debe ser fcil de implementar en los

clientes (herramientas de administracin sencillas y sonoras, documentacin completa ...). Por todo eso, este tipo de implementacin no prohbe un modelo de pago por uso. Para eso, se necesita un sistema que gestiona las claves de licencia en un tiempo limitado. Modelo de negocio : pago por uso o licencia perpetua Modelo de entrega de software : en las instalaciones

Fiabilidad y Rendimiento:
La interfaz de administracin debe ser concebida para gestionar un gran nmero de usuarios y derechos de acceso (para guiar el administrador de operaciones y realizar bsquedas, optimizar el tiempo de respuesta del repositorio de seguridad ...). Cuando la aplicacin SaaS se encuentra en la produccin, el proceso de autenticacin de usuario y el clculo de sus derechos de acceso debe ser optimizado para evitar largos tiempos de espera. Por ejemplo, un sistema que necesita para acceder al depsito de seguridad cada vez que un usuario abre una nueva pgina tiene una mayor probabilidad de problemas de rendimiento cuando el nmero de usuarios y pginas vistas aumenta.

Proteccin contra las violaciones de seguridad:

Desde una aplicacin SaaS es accesible a travs de Internet y gestiona los datos del cliente, es necesario crear un sistema que no sea vulnerable a los siguientes tipos de los ataques ms comunes: El acceso no autorizado a los datos de seguridad : o Datos de seguridad no deben ser legibles por el acceso SQL directo. Usted debe requerir una conexin a travs de la aplicacin SaaS o por medio de la interfaz de administracin de leer y modificar estos datos. o Los datos sensibles como contraseas deben estar encriptados. Denegacin de servicio : el sistema de control de acceso debe incluir la proteccin contra los intentos de hacer que no est disponible para los clientes mediante la saturacin con numerosas peticiones de inicio de sesin. Operaciones de administracin autorizadas : un usuario puede descubrir cmo acceder a la interfaz de administracin o las API que gestionan el control de acceso. Es necesario incluir la proteccin que bloquea que da acceso complementario derechos a las cuentas de usuario. La interceptacin de la informacin confidencial: o Entre el navegador del cliente y el servidor web (Soporte para SSL / HTTPS, el cifrado de las comunicaciones entre el navegador y el servidor web ...). o Entre los componentes. NET dentro de la aplicacin SaaS.

Contrasea grietas: el sistema de control de acceso debe permitir definir una poltica de contraseas sofisticadas para proteger contra el descifrado de contraseas (adivinar una contrasea a travs de ensayo y error). Deteccin de paquetes: el sistema de control de acceso debe incluir la proteccin contra la captura de paquetes de datos para encontrar contraseas o tokens de seguridad en el trnsito por la red. Un hacker puede robar estas fichas para realizar llamadas al sistema como si fueran un usuario. Inyeccin SQL: El sistema de control de acceso probablemente contiene campos de bsqueda - por ejemplo, para encontrar una cuenta de usuario. Es necesario comprobar la validez de este sistema de brazo contra inyecciones de SQL, que consisten en la insercin de piezas de rdenes de SQL en la bsqueda, con el fin de consultar la informacin confidencial, o de cambiar ilegalmente los datos de seguridad.

Hacer o comprar?
Periodo de ejecucin es la clave : que hemos visto en este artculo que el control de acceso y seguridad para las aplicaciones SaaS implica funcionalidades complejas. Si usted est trabajando en un proyecto interno, se requiere un compromiso de tiempo significativo y desarrolladores cualificados. Si est trabajando en un marco de tiempo limitado o la experiencia necesaria no est disponible, una solucin de control de acceso-lista para usar puede ser la mejor solucin. La gestin del riesgo : una solucin lista para su uso se limitar riesgos a corto plazo (sobrecostos y hora, los insectos y las brechas de seguridad), pero usted ser expuesto a otros riesgos para los que se necesitan para cubrir: Evolucin: consultar las versiones de la historia y del pasado de la solucin: se deduce de las evoluciones tcnicas del mercado, son nuevas versiones publicadas con regularidad, y lo ms importante, recientemente (riesgo de obsolescencia)? Producto de calidad y apoyo: elegir una solucin estable y bien desplegado, para lo cual puede consultar los comentarios de otros usuarios Longevidad: qu pasar si el proveedor de la solucin desaparece? Es la solucin de entrega con su cdigo fuente? El proveedor de proponer un acuerdo de custodia (una copia del cdigo fuente se deposita con un tercero que lo enviar a todos los clientes si hay una interrupcin en el servicio por parte del proveedor)? Por qu no combinar todas estas ventajas? Si los proveedores estn atentos a las necesidades de sus usuarios al momento de elegir la forma de evolucionar continuamente su aplicacin con el mercado, usted se beneficiar de las ventajas de una solucin estndar (ms estable y completa a un costo ms bajo) al tiempo que capaz de influir en el desarrollo futuro para cubrir mejor sus necesidades especficas. Pida ver la hoja de ruta del producto y verificar si el proveedor sabe cmo tomar en cuenta las sugerencias de los usuarios.