SaaS應(yīng)用選型,saas平臺(tái)產(chǎn)品結(jié)構(gòu)設(shè)計(jì)-ESG跨境

SaaS應(yīng)用選型,saas平臺(tái)產(chǎn)品結(jié)構(gòu)設(shè)計(jì)

SaaS應(yīng)用程序選擇

在SaaS模式下，企業(yè)用戶無(wú)需維護(hù)系統(tǒng)，只需登錄即可享受系統(tǒng)功能帶來(lái)的便利。但是，SaaS服務(wù)和數(shù)據(jù)部署在云中，而不是本地機(jī)房，可能會(huì)出現(xiàn)不可控的問(wèn)題。

企業(yè)最關(guān)心的是自己的數(shù)據(jù)能否得到有效保護(hù)。

本文整理了10個(gè)必問(wèn)的SaaS安全問(wèn)題，包括基礎(chǔ)安全、應(yīng)用安全、安全合規(guī)、數(shù)據(jù)安全、安全責(zé)任劃分等。，以便我們快速了解SaaS廠商的安全能力。

1.如何部署SaaS軟件

A.你支持私有化(本地)部署嗎

與SaaS相比，本地化的安全系數(shù)會(huì)更高。如果是有企業(yè)核心數(shù)據(jù)的系統(tǒng)，安全性要求更高。如果你不希望這些核心數(shù)據(jù)由第三方負(fù)責(zé)，你可以選擇SaaS私有化部署。

B.SaaS平臺(tái)部署在私有云還是公共云中

在選擇SaaS平臺(tái)時(shí)，要考慮托管平臺(tái)的基礎(chǔ)安全能力和安全防護(hù)能力，甚至包括云平臺(tái)服務(wù)商的安全資質(zhì)。

與常見(jiàn)的IDC機(jī)房相比，公有云平臺(tái)具有高可用性、安全性和靈活性等優(yōu)勢(shì)。

推薦AWS、阿里云、騰訊云、華為云等主流云平臺(tái)。

2.SaaS平臺(tái)有什么資質(zhì)

作為參考指標(biāo)，第三方資質(zhì)認(rèn)證應(yīng)包括云平臺(tái)服務(wù)商和云租戶SaaS廠商。云平臺(tái)的安全能力和SaaS應(yīng)用不太一樣，但是平臺(tái)提供基礎(chǔ)能力，系統(tǒng)本身需要具備保障安全的能力。

例如:GDPR認(rèn)證、ISO27001體系認(rèn)證、等級(jí)保護(hù)認(rèn)證等。

通過(guò)了ISO27001的認(rèn)證，表明企業(yè)的信息安全管理已經(jīng)建立了科學(xué)有效的管理體系。

通過(guò)等級(jí)保護(hù)記錄評(píng)估，意味著系統(tǒng)具備相應(yīng)等級(jí)的基本安全保護(hù)能力。

3.SaaS平臺(tái)現(xiàn)有哪些安全措施

SaaS平臺(tái)應(yīng)具備一定的安全防護(hù)能力，并配備相應(yīng)的安全產(chǎn)品/服務(wù)。

如操作和維護(hù)審計(jì)(堡壘機(jī)器)、應(yīng)用程序保護(hù)(WAF)、訪問(wèn)控制(防火墻)和入侵預(yù)防(HIDS/EDR)。

4.SaaS平臺(tái)會(huì)定期進(jìn)行滲透測(cè)試嗎

定期滲透測(cè)試，并出具相關(guān)安全制造商/服務(wù)商的安全檢查報(bào)告。

比如專業(yè)安全公司的滲透測(cè)試報(bào)告，或者可靠的公共測(cè)試服務(wù)平臺(tái)的安全公開(kāi)測(cè)試報(bào)告。

5.數(shù)據(jù)在存儲(chǔ)和傳輸過(guò)程中是如何加密的，數(shù)據(jù)實(shí)現(xiàn)和數(shù)據(jù)銷毀的問(wèn)題

加密:SSL加密

數(shù)據(jù)類型:數(shù)據(jù)庫(kù)、文件附件

相關(guān)方法，如:數(shù)據(jù)加解密/文件加解密服務(wù)、鏡像轉(zhuǎn)換為二進(jìn)制流加密存儲(chǔ)、OSS服務(wù)器加密、RDS透明數(shù)據(jù)加密TDE、云盤(pán)加密、DLP、硬件加密機(jī)等。

確認(rèn)數(shù)據(jù)實(shí)現(xiàn)和數(shù)據(jù)銷毀的問(wèn)題

雖然SaaS用戶的數(shù)據(jù)存儲(chǔ)在SaaS廠商的數(shù)據(jù)中心，但數(shù)據(jù)的所有權(quán)屬于用戶。未經(jīng)用戶同意，SaaS供應(yīng)商不得使用數(shù)據(jù)，更不要說(shuō)出售數(shù)據(jù)。SaaS廠商有責(zé)任保證用戶數(shù)據(jù)的安全，并對(duì)因數(shù)據(jù)泄露和數(shù)據(jù)丟失給用戶造成的損失進(jìn)行經(jīng)濟(jì)賠償。

需要確認(rèn)的兩點(diǎn):沒(méi)有實(shí)現(xiàn)客戶數(shù)據(jù)，銷毀沒(méi)有必要保存的歷史數(shù)據(jù)。

6.如何隔離SaaS多租戶數(shù)據(jù)

SaaS基于多租戶架構(gòu)，多個(gè)租戶共享一組實(shí)例，這可能會(huì)造成數(shù)據(jù)安全問(wèn)題。

SaaS多租戶有三種主要的數(shù)據(jù)存儲(chǔ)方案，即獨(dú)立數(shù)據(jù)庫(kù)和共享數(shù)據(jù)庫(kù)(邏輯數(shù)據(jù)隔離和共享數(shù)據(jù))。

7.SaaS平臺(tái)如何實(shí)現(xiàn)系統(tǒng)容災(zāi)和高可用

高科技架構(gòu)，數(shù)據(jù)備份策略，容災(zāi)切換方案。

8.8 .可能涉及的安全合規(guī)性問(wèn)題。SaaS應(yīng)用

關(guān)注，個(gè)人隱私保護(hù)，GDPR，以及爬蟲(chóng)、AI等技術(shù)的應(yīng)用可能會(huì)帶來(lái)一定的風(fēng)險(xiǎn)。

9.做什么9。SaaS平臺(tái)在認(rèn)證、權(quán)限管理和日志審計(jì)方面做得怎么樣

認(rèn)證機(jī)制，是否支持雙因素認(rèn)證，密碼復(fù)雜度/登錄失敗處理/驗(yàn)證碼/強(qiáng)制修改初始密碼。

權(quán)限管理是基于角色的用戶權(quán)限系統(tǒng)，對(duì)用戶和角色進(jìn)行授權(quán)。

審計(jì)，日志是否可以預(yù)警，敏感業(yè)務(wù)操作日志，管理員不能刪除/修改日志。

10.一旦發(fā)生數(shù)據(jù)泄露，責(zé)任如何劃分

目前，安全責(zé)任分擔(dān)模式已經(jīng)在業(yè)內(nèi)達(dá)成共識(shí)。亞馬遜AWS、微軟Azure、阿里云、騰訊云都采用與用戶共擔(dān)風(fēng)險(xiǎn)的安全策略。

用簡(jiǎn)單的例子來(lái)看看責(zé)任的劃分:

一、應(yīng)用系統(tǒng)漏洞導(dǎo)致的安全事件(應(yīng)用安全)

租戶使用SAAS服務(wù)，責(zé)任方在騰訊云平臺(tái)(SAAS服務(wù)由平臺(tái)提供，平臺(tái)管理)

b、用戶的弱密碼、身份盜竊(數(shù)據(jù)安全)，導(dǎo)致安全事故:

無(wú)論用戶使用IASS、PAAS還是SAAS服務(wù)，用戶身份和數(shù)據(jù)安全都由租戶管理。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場(chǎng)。如有關(guān)于作品內(nèi)容、版權(quán)或其它問(wèn)題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。