Glossario CyberArk >

SaaS (Software as a Service)

Il software come servizio, in inglese Software-as-a-Service (SaaS), è un modello di licensing e distribuzione software col quale un provider di servizi ospita le applicazioni e le rende disponibili ai clienti su internet. Detto anche “software on-demand”, “software ospitato” o “software basato sul web”, il SaaS è uno dei tre principali componenti del cloud computing, ovvero uno degli elementi principali della trasformazione digitale. Altri componenti del cloud computing sono l’infrastruttura come servizio (Infrastructure-as-a-Service, IaaS) e la piattaforma come servizio (Platform-as-a-Service, PaaS).

Gran parte delle offerte SaaS sono basate su un’architettura multi-tenant. Questo significa che a tutti gli utenti viene fornita un’unica versione dell’applicazione. I clienti possono modificarne le impostazioni di configurazione per ottimizzare funzionalità e il “look and feel”, nonché personalizzarne i componenti per affrontare i casi di utilizzo specifici dell’utente, che vengono mantenuti tramite aggiornamenti. Tuttavia, gli utenti non possono modificare l’infrastruttura comune sottostante, né il codice delle applicazioni SaaS.

Esempi di SaaS

Due sono le modalità principali di offerta del servizio: SaaS verticale e SaaS orizzontale.

  • SaaS verticale. Soddisfa le necessità di un settore specifico, ad esempio i software EMR per la gestione delle cartelle cliniche nella sanità o i software di gestione finanziaria per banche e assicurazioni.
  • SaaS orizzontale. Soddisfa necessità estese a tutti i settori, come i software di posta elettronica e collaborazione o il software di gestione delle risorse umane (HRM), dei rapporti con la clientela (CRM), di pianificazione delle risorse aziendali (ERP) e di sicurezza informatica.

 Vantaggi dei servizi SaaS

  • Risparmi sui costi. I modelli SaaS vengono venduti in base ad abbonamenti prepagati, quindi le organizzazioni possono minimizzare i costi preventivi d’implementazione, come quelli della licenza e dell’installazione. Possono invece partire con un investimento e un piano d’abbonamento minimo, per poi scalare alle dimensioni richieste in caso di aumento del numero di utenti e in funzione dei casi di utilizzo.
  • Facilità d’uso. L’accesso alle applicazioni SaaS avviene tramite un browser Web o un terminale thin-client, a prescindere dal dispositivo o dalla posizione geografica, senza necessità di installazione o manutenzione. Il provider SaaS gestisce disponibilità, prestazioni, manutenzione continua, aggiornamenti e patch, nonché la sicurezza del cloud stesso.
  • Efficienza operativa. Essendo le applicazioni ospitate sul cloud, i team interni possono eliminare le prolungate attività relative alla gestione dell’infrastruttura per focalizzarsi sulle competenze chiave della propria attività. Inoltre, dal punto di vista dell’organizzazione utente il modello SaaS occupa uno spazio minimo – se non inesistente, il che contribuisce a risparmiare risorse.
  • I servizi SaaS possono essere scalati con facilità verso l’alto o verso il basso, aggiungendo a richiesta eventuali funzionalità aggiuntive. Questo risulta vantaggioso per le organizzazioni che hanno necessità cicliche, per quelle che crescono rapidamente e per quelle che devono ridimensionarsi in base alle variazioni di necessità e budget.
  • Facilità di integrazione. La diffusione delle offerte SaaS e la standardizzazione della tecnologia API, ha creato un picco di integrazioni e “mashup” che combinano dati, presentazione e funzionalità da diversi servizi per soddisfare le necessità in continua evoluzione dei clienti e garantire servizi ottimali per la sicurezza sul cloud.

Sfide alla sicurezza del modello SaaS

Secondo un sondaggio del 2019 di CyberArk su oltre 1.000 organizzazioni globali, la ragione principale che spinge a passare al cloud è la sicurezza. Inoltre, un terzo dei partecipanti al sondaggio riteneva che l’onere del rischio riguardante la sicurezza delle informazioni fosse interamente o parzialmente sulle spalle del fornitore del servizio cloud.

Nonostante i fornitori di servizi cloud siano focalizzati sulla sicurezza dell’infrastruttura, ammettono pubblicamente che possono garantire solo una soluzione parziale alla sicurezza e rimarcano in questo senso l’importanza della collaborazione. Ad esempio, Microsoft ribadisce un modello di responsibilità condivisa, che suddivide le attività di sicurezza tra provider e cliente del cloud. Microsoft sottolinea che, a prescindere dal tipo di implementazione del cloud, il cliente è sempre responsabile per la sicurezza dei suoi dati e delle sue identità, nonché delle risorse on-premise e dei componenti cloud che controlla.

Anche l’NSA (National Security Agency) statunitense offre alcune linee guida sulla condivisione delle responsabilità per la sicurezza sul cloud.

In una direttiva del gennaio 2020, l’NSA nota che “[Cloud service providers (CSPs)] hanno la responsabilità di proteggere l’infrastruttura del cloud, nonché di implementare controlli logici per separare i dati dei clienti. Gli amministratori delle organizzazioni sono solitamente responsabili della configurazione della sicurezza a livello di applicazione (es, controlli sugli accessi per l’autorizzazione ai dati). Molti CSP mettono a disposizione strumenti di configurazione e sistemi di monitoraggio della sicurezza sul cloud, ma i clienti hanno la responsabilità di configurare il servizio in base ai requisiti di sicurezza organizzativi.”

In caso di violazione dei dati, sarà l’organizzazione del cliente – e non il fornitore del cloud – a doverne rispondere agli organismi normativi, ai clienti e alle altre parti coinvolte. Di conseguenza, è bene che le organizzazioni esaminino e comprendano bene questa ripartizione delle responsabilità, attuando adeguate contromisure per proteggere l’accesso privilegiato a dati e informazioni sensibili presenti nelle applicazioni SaaS e in altri ambienti sul cloud.

Maggiori informazioni sul modello SaaS

 

RESTA IN CONTATTO

RESTA IN CONTATTO!

Rimani aggiornato sulle best practice di sicurezza, gli eventi e i webinar.