.jpg)
ماذا تعني البرمجيات كخدمة؟
البرمجيات كخدمة (SaaS) هي نموذج توزيع برمجيات يقدم برامج التطبيقات عبر الإنترنت. يمكن للمستخدمين النهائيين الوصول إلى تطبيقات SaaS السحابية باستخدام متصفح الويب. يكون موفر SaaS مسؤولاً عن استضافة التطبيق وصيانته طوال دورة حياته.
تشمل مزايا استخدام نموذج التسليم SaaS ما يلي:
- يمكن للعملاء الوصول بسهولة إلى البرنامج من مواقع وأجهزة كمبيوتر متعددة.
- يمكن تطبيق التحديثات والتصحيحات تلقائيًا دون مساعدة العميل.
- يمكن بيع الوصول إلى التطبيق، بالإضافة إلى التخزين لدعم استخدام التطبيق، على أساس الاشتراك.
تميل حلول SaaS إلى العمل بشكل أفضل مع العمليات غير الإستراتيجية وغير المهمة للمهام والتي لا تتطلب مستوى عالٍ من التكامل مع وظائف وأنظمة الأعمال الأخرى للمؤسسة المستهلكة.
عادةً ما يتم تقديم عروض SaaS عبر الويب، ولكنها يمكن أيضًا أن تكون تطبيقات أو واجهات برمجة تطبيقات (APIs) يمكن دمجها مع خدمة أخرى. تُعرف SaaS أيضًا بالبرامج المستضافة أو البرامج حسب الطلب.
شرح البرامج كخدمة
يمكن اعتبار SaaS بمثابة برنامج تجاري جاهز (COTS) قائم على الاشتراك ويتم استضافته على خوادم موفر الخدمة السحابية (CSP). تكون عروض SaaS مخصصة بشكل عام بطبيعتها وتستهدف احتياجات عمل محددة مثل التعاون أو إدارة المستندات أو وظائف الموارد البشرية.
في السنوات الأخيرة، سمح عدد من التطورات لـ SaaS بأن تصبح نموذج التسليم المفضل لعدد كبير من التطبيقات البرمجية. أحد العوامل المساهمة هو عرض النطاق الترددي ; فالإنترنت ببساطة أسرع مما كان عليه قبل عقد من الزمن، كما أن الوصول إليه متاح على نطاق أوسع. كان هناك عامل رئيسي آخر وهو القبول المتزايد للحوسبة الموزعة للاستخدام التجاري.
اليوم، يوجد حرفيًا الآلاف من بائعي SaaS، ولكن ربما يكون موقع Salesforce.com هو المثال الأكثر شهرة، حيث كان أحد بائعي البرامج المحتالين الذين قاموا بتعطيل قطاع البرامج التقليدية بشكل كبير عن طريق تغيير نموذج التسليم.
المخاطر الأمنية SaaS
تتكون الأنظمة الأساسية السحابية من العديد من مكونات البرامج والأجهزة التي يمكن الحصول عليها بدورها من موفري خدمة متعددين، وليس من غير المعتاد أن تكون الأنظمة الفرعية خارج السيطرة المباشرة لموفر السحابة.
ولهذا السبب، من الضروري لعملاء SaaS التأكد من خدمات الأمان وعناصر التحكم التي سيقدمها موفر السحابة - أو لا يقدمها. ولتجنب خلق فجوات أمنية، يجب تطبيق الضوابط بما يتناسب مع تلك المستخدمة في الأنظمة التنظيمية الداخلية.
سيكون لدى بعض موفري SaaS القدرة على التكامل مع موفري الوصول إلى الهوية الحاليين؛ لن يكون لدى الآخرين خيارات تكامل المصادقة وسيكون لديهم مجال هوية خاص بهم. لسوء الحظ، هذا يعني أنه إذا حدد الخصم نقطة ضعف في مكون النظام الفرعي لموفر الخدمة، فيمكنه الاستفادة من نقطة الضعف وشن هجوم التهديد المستمر المتقدم (APT) في البيئة السحابية من خلال التحرك أفقيًا عبر السحابة، بحثًا عن الثغرات الأمنية التي من شأنها السماح لهم برفع الامتيازات.
على الرغم من أن التخفيف من هجمات سلسلة التوريد ضد النظام الأساسي السحابي يقع بشكل أساسي على عاتق مزود الخدمة السحابية، فمن المهم لعملاء SaaS القيام بما يلي:
- اختر موردي البرامج كخدمة (SaaS) بعناية.
- تنفيذ ضوابط التكوين والأمان لتقليل مخاطر اشتراكات SaaS.
- مراقبة الاستخدام السحابي بشكل مستمر.
- يقوم القلم باختبار تطبيقات SaaS والبنية التحتية الخاصة بالمؤسسة مرتين على الأقل سنويًا.
