

SaaS應(yīng)用選型,saas平臺產(chǎn)品結(jié)構(gòu)設(shè)計SaaS應(yīng)用程序選擇在SaaS模式下,企業(yè)用戶無需維護系統(tǒng),只需登錄即可享受系統(tǒng)功能帶來的便利。但是,SaaS服務(wù)和數(shù)據(jù)部署在云中,而不是本地機房,可能會出現(xiàn)不可控的問題。企業(yè)最關(guān)心的是自己的數(shù)據(jù)能否得到有效保護。本文整理了10個必問的SaaS安全問題,包括基礎(chǔ)安全、應(yīng)用安全、......
在SaaS模式下,企業(yè)用戶無需維護系統(tǒng),只需登錄即可享受系統(tǒng)功能帶來的便利。但是,SaaS服務(wù)和數(shù)據(jù)部署在云中,而不是本地機房,可能會出現(xiàn)不可控的問題。
企業(yè)最關(guān)心的是自己的數(shù)據(jù)能否得到有效保護。
本文整理了10個必問的SaaS安全問題,包括基礎(chǔ)安全、應(yīng)用安全、安全合規(guī)、數(shù)據(jù)安全、安全責(zé)任劃分等。,以便我們快速了解SaaS廠商的安全能力。
1.如何部署SaaS軟件
A.你支持私有化(本地)部署嗎
與SaaS相比,本地化的安全系數(shù)會更高。如果是有企業(yè)核心數(shù)據(jù)的系統(tǒng),安全性要求更高。如果你不希望這些核心數(shù)據(jù)由第三方負責(zé),你可以選擇SaaS私有化部署。
B.SaaS平臺部署在私有云還是公共云中
在選擇SaaS平臺時,要考慮托管平臺的基礎(chǔ)安全能力和安全防護能力,甚至包括云平臺服務(wù)商的安全資質(zhì)。
與常見的IDC機房相比,公有云平臺具有高可用性、安全性和靈活性等優(yōu)勢。
推薦AWS、阿里云、騰訊云、華為云等主流云平臺。
2.SaaS平臺有什么資質(zhì)
作為參考指標,第三方資質(zhì)認證應(yīng)包括云平臺服務(wù)商和云租戶SaaS廠商。云平臺的安全能力和SaaS應(yīng)用不太一樣,但是平臺提供基礎(chǔ)能力,系統(tǒng)本身需要具備保障安全的能力。
例如:GDPR認證、ISO27001體系認證、等級保護認證等。
通過了ISO27001的認證,表明企業(yè)的信息安全管理已經(jīng)建立了科學(xué)有效的管理體系。
通過等級保護記錄評估,意味著系統(tǒng)具備相應(yīng)等級的基本安全保護能力。
3.SaaS平臺現(xiàn)有哪些安全措施
SaaS平臺應(yīng)具備一定的安全防護能力,并配備相應(yīng)的安全產(chǎn)品/服務(wù)。
如操作和維護審計(堡壘機器)、應(yīng)用程序保護(WAF)、訪問控制(防火墻)和入侵預(yù)防(HIDS/EDR)。
4.SaaS平臺會定期進行滲透測試嗎
定期滲透測試,并出具相關(guān)安全制造商/服務(wù)商的安全檢查報告。
比如專業(yè)安全公司的滲透測試報告,或者可靠的公共測試服務(wù)平臺的安全公開測試報告。
5.數(shù)據(jù)在存儲和傳輸過程中是如何加密的,數(shù)據(jù)實現(xiàn)和數(shù)據(jù)銷毀的問題
加密:SSL加密
數(shù)據(jù)類型:數(shù)據(jù)庫、文件附件
相關(guān)方法,如:數(shù)據(jù)加解密/文件加解密服務(wù)、鏡像轉(zhuǎn)換為二進制流加密存儲、OSS服務(wù)器加密、RDS透明數(shù)據(jù)加密TDE、云盤加密、DLP、硬件加密機等。
確認數(shù)據(jù)實現(xiàn)和數(shù)據(jù)銷毀的問題
雖然SaaS用戶的數(shù)據(jù)存儲在SaaS廠商的數(shù)據(jù)中心,但數(shù)據(jù)的所有權(quán)屬于用戶。未經(jīng)用戶同意,SaaS供應(yīng)商不得使用數(shù)據(jù),更不要說出售數(shù)據(jù)。SaaS廠商有責(zé)任保證用戶數(shù)據(jù)的安全,并對因數(shù)據(jù)泄露和數(shù)據(jù)丟失給用戶造成的損失進行經(jīng)濟賠償。
需要確認的兩點:沒有實現(xiàn)客戶數(shù)據(jù),銷毀沒有必要保存的歷史數(shù)據(jù)。
6.如何隔離SaaS多租戶數(shù)據(jù)
SaaS基于多租戶架構(gòu),多個租戶共享一組實例,這可能會造成數(shù)據(jù)安全問題。
SaaS多租戶有三種主要的數(shù)據(jù)存儲方案,即獨立數(shù)據(jù)庫和共享數(shù)據(jù)庫(邏輯數(shù)據(jù)隔離和共享數(shù)據(jù))。
7.SaaS平臺如何實現(xiàn)系統(tǒng)容災(zāi)和高可用
高科技架構(gòu),數(shù)據(jù)備份策略,容災(zāi)切換方案。
8.8 .可能涉及的安全合規(guī)性問題。SaaS應(yīng)用
關(guān)注,個人隱私保護,GDPR,以及爬蟲、AI等技術(shù)的應(yīng)用可能會帶來一定的風(fēng)險。
9.做什么9。SaaS平臺在認證、權(quán)限管理和日志審計方面做得怎么樣
認證機制,是否支持雙因素認證,密碼復(fù)雜度/登錄失敗處理/驗證碼/強制修改初始密碼。
權(quán)限管理是基于角色的用戶權(quán)限系統(tǒng),對用戶和角色進行授權(quán)。
審計,日志是否可以預(yù)警,敏感業(yè)務(wù)操作日志,管理員不能刪除/修改日志。
10.一旦發(fā)生數(shù)據(jù)泄露,責(zé)任如何劃分
目前,安全責(zé)任分擔(dān)模式已經(jīng)在業(yè)內(nèi)達成共識。亞馬遜AWS、微軟Azure、阿里云、騰訊云都采用與用戶共擔(dān)風(fēng)險的安全策略。
用簡單的例子來看看責(zé)任的劃分:
一、應(yīng)用系統(tǒng)漏洞導(dǎo)致的安全事件(應(yīng)用安全)
租戶使用SAAS服務(wù),責(zé)任方在騰訊云平臺(SAAS服務(wù)由平臺提供,平臺管理)
b、用戶的弱密碼、身份盜竊(數(shù)據(jù)安全),導(dǎo)致安全事故:
無論用戶使用IASS、PAAS還是SAAS服務(wù),用戶身份和數(shù)據(jù)安全都由租戶管理。
特別聲明:以上文章內(nèi)容僅代表作者本人觀點,不代表ESG跨境電商觀點或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。
二維碼加載中...
使用微信掃一掃登錄
使用賬號密碼登錄
平臺顧問
微信掃一掃
馬上聯(lián)系在線顧問
小程序
ESG跨境小程序
手機入駐更便捷
返回頂部