Вы часто сталкиваетесь с тем, что ваш собеседник путает или вообще не отличает IaaS от PaaS? И при этом этих «что-то-там-as-a-Service» с каждым днем становится все больше. Попробуем немного разобраться.
Итак, сочетание «as-a-Service» или «aaS» («как сервис») подразумевает модель предоставления некого «продукта» провайдером потенциальному клиенту в формате сервиса (услуги). Услуга в данном случае заключается в том, что провайдер полностью обслуживает этот «продукт».
Для понимания того, как эти «aaS» работают, возьму корпоративную почтовую систему. До появления сервисной модели корпоративная почтовая система разворачивалась «On Premises». ИТ закупали серверное оборудование (железо), устанавливали на него операционные системы (ОС), на эти системы устанавливали приложения корпоративной почтовой инфраструктуры и выполняли конфигурирование почты.
SaaS — Software-as-a-Service — программное обеспечение как сервис. В случае с SaaS провайдер обслуживает железо, ОС и само приложение «почтовой системы». Клиент получает доступ к почте, которая полностью развернута в облаке у провайдера.
PaaS — Platform-as-a-Service — платформа как сервис. Провайдер обслуживает железо, ОС. А клиент получает «виртуальный сервер» с готовой ОС и может сам развернуть и настроить на нем почтовое приложение (или любое другое).
IaaS — infrastructure-as-a-Service — инфраструктура как сервис. В случае IaaS — провайдер обслуживает только железо и гипервизор — предоставляя возможность клиенту самому выбирать с какой конфигурацией и с какими ОС ему разворачивать серверы, а также какие приложения устанавливать на эти серверы.
Специалисты по ИБ не стояли в стороне и создали «SecaaS». Так клиент получает безопасность как сервис (и это очень удобно). Клиенту не нужно думать о том, как содержать средства информационной безопасности — он получает готовую безопасность без головной боли (между прочим, это еще и сильно дешевле, так как «сервис безопасности» развернут и обслуживается провайдером).
Сегодня сервисы шагнули намного дальше. Появление микросервисов и Serverless computing (безсерверных вычислений) позволяет предоставлять клиенту Function-as-a-Service. FaaS — это даже не приложение, а его микрочасть — функция, выполняющая нужные операции с данными на этапе их вхождения или перемещения в рамках облака.
Для современных форматов предоставления ИТ-услуг меняются и риски, в том числе риски информационной безопасности. Многие классические метрики и подходы по обеспечению безопасности внутренней инфраструктуры неприменимы в случае дробления монолитных приложений на микросервисы, их миграции в гибридные среды Private и Public Cloud. Современные методики и средства безопасности уже учитывают эту особенность.