Egyre népszerűbbé válnak a szolgáltatások formájában kínált szoftveres megoldások. Az irányzat folyamatosan fejlődik, így a védelmi technológiák fejlesztői is arra törekednek, hogy alkalmazásaikat új szemléletmódok szerint alakítsák át, illetve tegyék elérhetővé.  Alábbi cikkünkben megvizsgáljuk a biztonsági szolgáltatások lehetőségeit, illetve azt, hogy melyek azok a területek, ahol ezek a szolgáltatások segíteni tudják adataink, informatikai rendszerünk védelmét.

Az SaaS (Software as a Service = szoftver, mint szolgáltatás) szemlélet lassan több mint egy évtizedes múlttal rendelkezik, de igazán elterjedtté csak az elmúlt években vált.  Többek szerint a modell létezésének alapja egy 1999-es angliai tanulmány, amely a szolgáltatásalapú szoftverekben rejlő lehetőségek elemzésével foglalkozik.  Azonban ez a felmérés nem hozott nagy eredményeket. A piacon nem történt változás egészen 2001-ig, amikor is a SIIA (Software & Information Industry Association) nyilvánosságra hozta a Software as a Service: Strategic Backgrounder című dokumentumát. Ebben már széleskörűen ismertetik a SaaS-t, rengeteg információ található benne többek között technológiákról, stratégiákról, licencelési és üzleti modellekről, valamint nem utolsósorban magáról a SaaS-piacról is. A 21. század elején megindul a SaaS gyors fejlődése.

A koncepció az elmúlt években leginkább az ügyfélkapcsolat-kezelés (Customer Relationship Management - CRM), illetve az emberi erőforrás-kezelés egyes területein terjeszkedett.  A 2001-es SIIA-dokumentum még nem helyez nagy hangsúlyt a biztonságra, de nem sokkal később a védelmi technológiák fejlesztésével foglalkozó vállalatok is felismerték, hogy érdemes kihasználni a szolgáltatásalapú megoldásokat nyújtó lehetőségeket. Habár sokáig senki sem tulajdonított nagy jelentőséget ennek a területnek, mára egy igen figyelemre méltó piac alakult ki.

 A SaaS- alapú biztonság ugyan minden vállalat számára megfontolandó lehetőség, de számos kutatás azt mutatja, hogy ez a megoldás leginkább a 100-1000 főt foglalkoztató vállalatoknál működik.

Az IDC is foglalkozott a szolgáltatásalapú megoldásokkal 2008-ban kiadott, Worldwide Web Security 2008-2012 Forecast and 2007 Vendor Shares című tanulmányában. Az elemzés eredménye szerint ezen a piacon a forgalom 2007-ben meghaladta a 49 millió dollárt. A szegmens rendkívül gyorsan fejlődik, egyes előrejelzések szerint ez az összeg 2012-ben elérheti a 365 millió dollárt is.

A SaaS- alapú biztonság ugyan minden vállalat számára megfontolandó lehetőség, de számos kutatás azt mutatja, hogy ez a megoldás leginkább a 100-1000 főt foglalkoztató vállalatoknál működik. Ennek legfőbb oka az, hogy a kis- és közepes méretű cégek esetében gyakran előfordul, hogy nincs meg az az emberi-erőforrás-, illetve tőkekapacitás, amellyel lépést tudnának tartani a folyamatosan fejlődő biztonsági kihívásokkal. Emiatt a SaaS- megoldás praktikus, és vonzó lehet számukra.
 

SaaS a biztonságért
 

Idővel a szolgáltatásalapú lehetőségek palettája egyre színesebb lett, és napjainkban már az informatikai biztonság számos területét is képesek lefedni. A sokoldalúság annak köszönhető, hogy a SaaS-koncepcióra épülő megoldásoknak is ugyanolyan teljeskörű védelmet kell nyújtania, mint a hagyományos rendszereknek. 

A SaaS-alapú biztonsági eszközökkel részben vagy egészben kivitelezhető a vírus- és határvédelem, a spam-, valamint a tartalomszűrés, a távoli hozzáférések szabályozása, a sebezhetőségvizsgálat, valamint a biztonsági mentés is. Sőt, nemrégen került nyilvánosságra az is, hogy a PGP technológiájának köszönhetően már teljes lemeztitkosításra is van lehetőség.

Előnyök és hátrányok
 

A szolgáltatásalapú védelmi megoldások használata számos előnnyel, és természetesen hátránnyal is jár. Először nézzük meg egy kicsit részletesebben a SaaS jó oldalait! A legfontosabb minden bizonnyal az egyszerűség, amely maga után vonja a költségtakarékosságot is. Mivel a hardver és a szoftver üzemeltetése, karbantartása nagyrészt a gyártóra vagy a szolgáltató cégre hárul, ezért a végfelhasználóknak - az előfizetési díjon kívül - nem kell különösebb beruházásokkal számolniuk. Ezenkívül kevesebb emberi erőforrásra van szükség, hiszen bizonyos konfigurációs, valamint felügyeleti funkciók könnyebben kiszervezhetőek. Ez azt is jelenti, hogy egy vállalat informatikai partnere könnyebben irányíthatja a védelmi rendszert, és szükség esetén gyorsan - akár interneten keresztül is - beavatkozhat a folyamatokba.

A SaaS másik nagy előnye a méretezhetőség. A szolgáltatásokra vonatkozó előfizetések ugyanis egyszerűen bővíthetők, és megnövekedett terhelés esetén sem kell azon gondolkodni, hogy a saját szerverek bírni fogják-e a megterhelést, hiszen a szolgáltatónál nagy rendelkezésre állású, komoly kapacitású háttérrendszerek működnek.  Ami a biztonságot illeti, különösen fontos megjegyezni, hogy a szolgáltatásalapú védelem igénybevételekor a frissítéseket is a szolgáltató cég végzi, így nem kell elavult vírusadatbázisok, tartalomszűrők stb. által jelentett problémákkal számolni.

Ezek ellenére a SaaS néhány hátrányos jellemzőivel is számolni kell. Ezek közül az egyik legfontosabb, hogy szolgáltatásalapú megoldás igénybevételekor egy külső szolgáltató cégre kell rábízni bizonyos feladatok elvégzését, ehhez pedig főleg a védelmi rendszereknél bizalomra és számos óvintézkedésre van szükség. Egy megbízható partnercég választásával, és a szükséges szabályok betartásával azonban a problémák megelőzhetők.  A SaaS további hátránya az is, hogy egyes szolgáltatástípusoknál jelentősen korlátozódik a felhasználók száma. Ez azonban nem biztos, hogy problémát jelent, hiszen ahogy arról már az előbbiekben említést tettünk, a célcsoport leginkább a kis- és középvállatokra tevődik.  Egy nagyvállalatnál hosszú távon sokszor kifizetődőbb helyi alkalmazásokkal dolgozni.

Gyakran hallhatjuk még kritikaként azt is, hogy az SaaS rugalmatlan, és az egyedi igényeknek nem tud megfelelni. Ez azonban a védelmi szolgáltatások esetében korántsem akkora gond, mint például egy vállalatirányítási rendszernél. Valószínűleg kevés olyan felhasználó van a SaaS célcsoportjában, akinek egyedi, heurisztikus algoritmusokra, spamszűrési eljárásokra vagy olyan speciális titkosítási eljárásokra lenne szüksége, amelyeket nem támogatnak a megfelelő biztonsági szolgáltatások.