SaaS模式下,企業使用者無需維護系統,隻需登入就可以享受系統功能帶來的便利。但是SaaS服務和資料部署在雲端而不是本地機房,可能存在不可控問題。
企業使用者最關注的是自己的資料能不能得到有效的保護。
本文整理了10個必問的SaaS安全問題,包括基礎安全,應用安全,安全合規、資料安全、安全責任劃分等方面,可以快速了解SaaS廠商的安全能力。
1、SaaS軟體的部署方式?
A、是否支援私有化(本地)部署?
本地化的安全系數相較于SaaS會更高,如果是企業核心資料的系統,安全性要求較高,不希望這些核心資料由第三方來負責,可以選擇SaaS私有化部署。
B、SaaS平台部署在私有雲,還是公有雲?
選擇SaaS平台,需考慮托管平台的基礎保障能力和安全防護能力甚至包括雲平台服務商的安全資質。
公有雲平台與普通的IDC機房相比,具有高可用性、安全性和彈性的優勢。
建議優選AWS、阿裡雲、騰訊雲和華為雲等主流雲平台。
2、SaaS平台有哪些資質?
第三方資質認證作為一個參考名額,應包含雲平台服務商和雲租戶SaaS廠商,雲平台的安全能力并不等同于SaaS應用的安全能力,平台提供的是基礎能力,系統自身需具備保障安全的能力。
比如:ISO27001體系認證、等級保護認證、GDPR認證等。
通過了ISO27001的認證,表示企業的資訊安全管理已建立了一套科學有效的管理體系作為保障。
通過了等級保護備案測評,意味着系統已具備相應等級的基本安全保護能力。
3、SaaS平台現有的安全防護措施有哪些?
SaaS平台應具備一定的安全防護能力,需配備相應的安全産品/服務。
比如運維審計(堡壘機)、應用防護(WAF)、通路控制(防火牆)、入侵防禦(HIDS/EDR)。
4、SaaS平台是否會定期的進行滲透測試?
定期滲透測試,并出具相關安全廠商/服務商的安全檢測報告。
比如:專業的安全公司的滲透檢測報告或可靠的衆測服務平台的安全衆測報告。
5、資料在存儲和傳輸時是如何加密的,以及資料變現和資料銷毀問題?
傳輸加密:SSL加密
資料類型:資料庫、檔案附件
相關方式,如:資料加解密/檔案加密解密服務、圖檔轉成二進制流加密存儲、OSS服務端加密、RDS透明資料加密TDE、雲盤加密、DLP、硬體加密機等
确認資料變現和資料銷毀問題?
雖然SaaS使用者的資料存放在SaaS廠商的資料中心,但資料的所有權是歸使用者所有。SaaS廠商未經使用者同意,不得對使用資料,更不得售賣資料。SaaS廠商有責任確定使用者的資料安全,并對資料洩露、資料丢失造成的使用者損失要進行經濟賠償。
需要确認的兩點:不針對客戶資料變現、将沒有必要儲存的曆史資料進行銷毀。
6、SaaS多租戶資料如何隔離?
SaaS基于多租戶架構,多個租戶共用一套執行個體,可能存在資料安全性問題;
SaaS多租戶在資料存儲上存在三種主要的方案,分别是:獨立資料庫、共享資料庫(邏輯資料隔離、共享資料)。
7、SaaS平台如何實作系統容災和高可用性?
高可用技術架構、資料備份政策、容災切換方案。 複制
8.SaaS應用可能涉及的安全合規問題?
重點關注,個人隐私保護、GDPR,以及爬蟲、AI等技術的應用,可能帶來一定的風險。 複制
9.SaaS平台在身份驗證、權限管理、日志審計方面分别是怎麼做的?
身份驗證機制,是否支援雙因子認證,密碼複雜度/登入失敗處理/驗證碼/強制修改初始密碼。
權限管理,基于角色的使用者權限系統,對使用者和角色進行授權。
日志審計,日志是否可以預警,敏感的業務記錄檔,管理者無法删除/修改日志。 複制
10、一旦出現資料洩露事件,責任如何劃分?
目前,安全責任共擔模式在業界已經達成共識,亞馬遜AWS、微軟Azure、阿裡雲、騰訊雲均采用了與使用者共擔風險的安全政策。
用簡單例子來看責任的劃分:
A、應用系統的漏洞(應用安全)帶來的安全事件
- 租戶使用了SAAS服務,責任方在雲平台(SAAS業務由平台方提供,由平台方負責管理)
B、使用者弱密碼,身份被盜用(資料安全),造成安全事件:
- 不管使用者使用的是IASS,PAAS還是SAAS服務,使用者身份和資料安全都由租戶方管理負責 複制