SaaS應用選型,saas平臺產品結構設計-ESG跨境

SaaS應用選型,saas平臺產品結構設計

SaaS應用程序選擇

在SaaS模式下，企業(yè)用戶無需維護系統(tǒng)，只需登錄即可享受系統(tǒng)功能帶來的便利。但是，SaaS服務和數據部署在云中，而不是本地機房，可能會出現不可控的問題。

企業(yè)最關心的是自己的數據能否得到有效保護。

本文整理了10個必問的SaaS安全問題，包括基礎安全、應用安全、安全合規(guī)、數據安全、安全責任劃分等。，以便我們快速了解SaaS廠商的安全能力。

1.如何部署SaaS軟件

A.你支持私有化(本地)部署嗎

與SaaS相比，本地化的安全系數會更高。如果是有企業(yè)核心數據的系統(tǒng)，安全性要求更高。如果你不希望這些核心數據由第三方負責，你可以選擇SaaS私有化部署。

B.SaaS平臺部署在私有云還是公共云中

在選擇SaaS平臺時，要考慮托管平臺的基礎安全能力和安全防護能力，甚至包括云平臺服務商的安全資質。

與常見的IDC機房相比，公有云平臺具有高可用性、安全性和靈活性等優(yōu)勢。

推薦AWS、阿里云、騰訊云、華為云等主流云平臺。

2.SaaS平臺有什么資質

作為參考指標，第三方資質認證應包括云平臺服務商和云租戶SaaS廠商。云平臺的安全能力和SaaS應用不太一樣，但是平臺提供基礎能力，系統(tǒng)本身需要具備保障安全的能力。

例如:GDPR認證、ISO27001體系認證、等級保護認證等。

通過了ISO27001的認證，表明企業(yè)的信息安全管理已經建立了科學有效的管理體系。

通過等級保護記錄評估，意味著系統(tǒng)具備相應等級的基本安全保護能力。

3.SaaS平臺現有哪些安全措施

SaaS平臺應具備一定的安全防護能力，并配備相應的安全產品/服務。

如操作和維護審計(堡壘機器)、應用程序保護(WAF)、訪問控制(防火墻)和入侵預防(HIDS/EDR)。

4.SaaS平臺會定期進行滲透測試嗎

定期滲透測試，并出具相關安全制造商/服務商的安全檢查報告。

比如專業(yè)安全公司的滲透測試報告，或者可靠的公共測試服務平臺的安全公開測試報告。

5.數據在存儲和傳輸過程中是如何加密的，數據實現和數據銷毀的問題

加密:SSL加密

數據類型:數據庫、文件附件

相關方法，如:數據加解密/文件加解密服務、鏡像轉換為二進制流加密存儲、OSS服務器加密、RDS透明數據加密TDE、云盤加密、DLP、硬件加密機等。

確認數據實現和數據銷毀的問題

雖然SaaS用戶的數據存儲在SaaS廠商的數據中心，但數據的所有權屬于用戶。未經用戶同意，SaaS供應商不得使用數據，更不要說出售數據。SaaS廠商有責任保證用戶數據的安全，并對因數據泄露和數據丟失給用戶造成的損失進行經濟賠償。

需要確認的兩點:沒有實現客戶數據，銷毀沒有必要保存的歷史數據。

6.如何隔離SaaS多租戶數據

SaaS基于多租戶架構，多個租戶共享一組實例，這可能會造成數據安全問題。

SaaS多租戶有三種主要的數據存儲方案，即獨立數據庫和共享數據庫(邏輯數據隔離和共享數據)。

7.SaaS平臺如何實現系統(tǒng)容災和高可用

高科技架構，數據備份策略，容災切換方案。

8.8 .可能涉及的安全合規(guī)性問題。SaaS應用

關注，個人隱私保護，GDPR，以及爬蟲、AI等技術的應用可能會帶來一定的風險。

9.做什么9。SaaS平臺在認證、權限管理和日志審計方面做得怎么樣

認證機制，是否支持雙因素認證，密碼復雜度/登錄失敗處理/驗證碼/強制修改初始密碼。

權限管理是基于角色的用戶權限系統(tǒng)，對用戶和角色進行授權。

審計，日志是否可以預警，敏感業(yè)務操作日志，管理員不能刪除/修改日志。

10.一旦發(fā)生數據泄露，責任如何劃分

目前，安全責任分擔模式已經在業(yè)內達成共識。亞馬遜AWS、微軟Azure、阿里云、騰訊云都采用與用戶共擔風險的安全策略。

用簡單的例子來看看責任的劃分:

一、應用系統(tǒng)漏洞導致的安全事件(應用安全)

租戶使用SAAS服務，責任方在騰訊云平臺(SAAS服務由平臺提供，平臺管理)

b、用戶的弱密碼、身份盜竊(數據安全)，導致安全事故:

無論用戶使用IASS、PAAS還是SAAS服務，用戶身份和數據安全都由租戶管理。

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發(fā)表后的30日內與ESG跨境電商聯系。