SaaS模式下,企业用户无须维护系统,只需登录就可以享受系统功能带来的便利。但是SaaS服务和数据部署在云端而不是本地机房,可能存在不可控问题。
企业用户最关注的是自己的数据能不能得到有效的保护。
SaaS的安全问题包括基础安全、应用安全、安全合规、数据安全、安全责任划分等。
1.SaaS软件的部署方式
(1)确定SaaS软件是否支持私有化(本地)部署。本地化的安全系数比SaaS高,如果是企业核心数据的系统,安全性要求较高,不希望这些核心数据由第三方来负责时,可以选择SaaS私有化部署。
(2)确定SaaS平台部署在私有云还是公有云。选择SaaS平台,需考虑托管平台的基础保障能力和安全防护能力甚至包括云平台服务商的安全资质。公有云平台具有高可用性、安全性和弹性,如AWS、阿里云、腾讯云和华为云等主流云平台。
2.SaaS平台资质
第三方资质认证作为一个参考指标,应包含云平台服务商和云租户SaaS厂商,云平台的安全能力并不等同于SaaS应用的安全能力,平台提供的是基础能力,系统自身需具备保障安全的能力。
例如,平台通过了ISO 27001的认证,表示企业的信息安全管理已建立了一套科学有效的管理体系作为保障;通过了等级保护备案测评,意味着系统已具备相应等级的基本安全保护能力。
3.SaaS平台现有的安全防护措施
SaaS平台应具备一定的安全防护能力,需配备相应的安全产品/服务,如运维审计(堡垒机)、应用防护、访问控制(防火墙)、入侵防御。
4.SaaS平台是否会定期地进行渗透测试
SaaS平台应定期进行渗透测试,并出具相关安全厂商/服务商的安全检测报告,如专业的安全公司的渗透检测报告或可靠的众测服务平台的安全众测报告。
5.数据在存储和传输时的加密、数据变现和数据销毁
(1)传输加密:SSL加密。数据类型:数据库、文件附件。相关方式,如数据加解密/文件加密解密服务、图片转成二进制流加密存储、OSS服务端加密、RDS透明数据加密TDE、云盘加密、DLP、硬件加密机等。
(2)确认数据变现和数据销毁问题。虽然SaaS用户的数据存放在SaaS厂商的数据中心,但数据的所有权是归用户所有。SaaS厂商未经用户同意,不得使用数据,更不得售卖数据。SaaS厂商有责任确保用户的数据安全,并对数据泄露、数据丢失造成的用户损失进行经济赔偿。需要确认的两点:不针对客户数据变现、将没有必要保存的历史数据进行销毁。
6.SaaS多租户数据的隔离(www.xing528.com)
SaaS基于多租户架构,多个租户共用一套实例,可能存在数据安全问题;
SaaS多租户在数据存储上存在两种主要的形式,分别是独立数据库和共享数据库(逻辑数据隔离、共享数据)。
7.SaaS平台如何实现系统容灾和高可用性
高可用技术架构、数据备份策略、容灾切换方案。企业数据至关重要,所以在挑选SaaS厂商时,要务必确认对方有相应的备份机制,这一点很关键。最起码,除了每一周的异地备份外,它还需要每晚进行一次备份。
用户需要关注服务供应商隔多长时间测试数据库恢复?遇到紧急情况这家厂商能不能从容地恢复大量数据?
8.SaaS应用可能涉及的安全合规问题
重点关注个人隐私保护、GDPR,以及爬虫、AI等技术的应用,可能带来一定的风险。
9.SaaS平台在身份验证、权限管理、日志审计方面的原理
(1)身份验证机制。验证是否支持双因子认证、密码复杂度、登录失败处理、验证码、强制修改初始密码等。
(2)权限管理。基于角色的用户权限系统,对用户和角色进行授权。
(3)日志审计。判断日志是否可以预警,处理敏感的业务操作日志,解决管理员无法删除/修改日志等问题。
10.数据泄露后的责任划分
目前,安全责任共担模式在业界已经达成共识,Amazon AWS、微软Azure、阿里云、腾讯云均采用了与用户共担风险的安全策略。
用简单例子来看责任的划分:
(1)应用系统的漏洞(应用安全)带来的安全事件。如租户使用SaaS服务,责任方为腾讯云平台(SaaS业务由平台方提供并负责管理)。
(2)用户若密码、身份被盗用(数据安全)造成安全事件,IaaS、PaaS和SaaS服务出现的用户身份和数据安全由租户方管理负责。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
