saas部署模式下,saas软件供应商将应用软件统一部署在云服务商的服务器上,用户通过向saas软件供应商采购相应的软件许可(license)来使用软件和获得相应的服务。用户不需要在应用软件前对软件进行安装部署,也不需要进行定期的软件升级和日常维护,只需登录系统即可获得系统功能带来的便利。
由于saas模式中,服务和数据均部署在云端而不是本地机房,用户可能会存在一些顾虑——自己的数据究竟能否得到有效保护?本文从用户最为关注的saas安全问题出发,从基础安全、环境安全、应用安全、数据安全、合规性以及安全责任划分等方面详细说明在saas eln选型时,如何考察saas供应商的安全保障能力。
1、 saas平台部署在私有云还是公有云
公有云平台与私有云平台相比,具有更高的可用性、安全性和弹性。公有云平台建议优选微软azure、aws、阿里云、腾讯云和华为云等主流云平台。
2、第三方供应商应具备的安全管理资质
saas平台在选择时,需考查saas第三方供应商的基础保障能力、安全防护能力以及安全资质等方面。
图1:创腾科技使用微软azure云iaas平台作为基础运行平台
以微软azure为例,微软azure云是微软在中国大陆和世纪互联联合运营的云平台。微软azure云已完成iso27001等全球顶级的安全认证,平台还同时获得公安部djcp(信息系统安全等级保护定级)和国家标准gb18030认证。微软azure云安全体系主要包括物理和环境安全、基础安全、灾难恢复及业务连续性等方面,平台的安全性已得到专业机构的广泛认可,是目前市场上最可信赖的云平台之一。
创新云社区所有的业务平台部署在微软azure云iaas平台,使用微软azure云提供计算/网络和存储等服务。创新云社区选择微软azure云防火墙系统提供外围网络安全保障,与微软中国office365等平台享有相同的安全保障级别。
3、saas应用的安全防护措施有哪些
saas平台的安全能力并不等同于saas应用的安全能力,saas产品/服务自身还需具备足够的安全保障能力。以ilabpower创新云社区为例,saas产品须具备网络级、数据库系统级、环境级、职员级、操作系统级等全面的网络环境安全保证。具体措施如下:
(1)用户访问
• 访问接口安全
① 采用更安全的https协议(基于ssl传输加密协议)
② url经过算法加密
• 权限安全
① 登陆密码经过加密算法,每个账号与终端绑定
② uc产品授权限制
③ 基于员工业务系统角色进行授权和访问
• 访问控制
① 员工有唯一账号,禁止离职员工账号登陆
② 账户登录密码错误保护机制
③ 审计:信息系统的日志和权限审核记录通过备份方式保存,以供需要时调取审计
• 数据安全
① 读写分离,保障数据完整性与正常运行,减少宕机
② 高可用系统中的两台服务器热备
③ 将数据库做成分布数据库,分担每台服务器资源承受瓶颈
④ 轻量级分布式文件系统,解决大容量存储和负载均衡问题
⑤ 采用iis10,系统升级不会影响客户访问系统
⑥ 定期安排系统和数据库巡检、数据备份和防路径篡改
⑦ 现有网络结构提供的有效方法,扩展服务器带宽、吞吐量、处理能力,提高灵活性和可用性
(2)系统安全
• 组织安全
创新云社区团队由设计安全团队、研发安全团队、维护安全团队组成。
• 人员安全
员工行为符合所有法律、政策、流程以及创新云社区商业行为准则的要求;员工有履行其职责必备的知识、技能和经验。
• 交付安全
从设计、技术部署、支持及维护的产品全生命周期的安全防护,服务交付与公司核心流程紧密关联。
• 系统开发与维护
由研发和维护团队共同负责,服务于创新云社区的系统底层架构、业务逻辑实现以及上线的维护;协同为创新云社区客户打造安全的云服务环境。
• 研发流程与标准安全
强健的研发流程对于生产高质量和安全的产品很重要,创新云社区团队将产品安全基线纳入需求列表,并对客户使用场景进行威胁分析,从而实现产品的安全设计、安全开发。
• 灾难恢复/业务连续性
为了减少由硬件故障、自然灾害或者是其他的灾难带来的服务中断,创新云社区提供所有数据的灾难恢复计划,包括降低任何单个节点失效风险的多个组件:高可用性、数据保护、灾难恢复。
4、saas平台是否会进行定期的渗透测试
saas平台须进行定期渗透测试,并出具相关安全厂商/服务商的安全检测报告。
图2:ilabpower创新云社区的渗透测试
5、法规遵从以及相关隐私政策
saas平台中所有数据包括有管理权限的访问,都应该被记录下来,并定期审计。通过对是否符合监管标准的评估,有助于确定是否合规,并确保正确的业务流程到位。
saas平台用户数据的所有权归用户所有,saas服务商未经用户同意,不得使用数据,更不得售卖数据,应采取合法手段及时销毁无必要保存的历史数据。saas服务商有责任确保用户的数据安全,并对数据泄露、数据丢失造成的用户损失进行经济赔偿。
ilabpower创新云社区的《隐私政策》中详细明确了如何收集、使用、存储和分享用户信息以及为用户提供的访问、更新、控制和保护这些信息的方式。
6、saas多租户数据如何隔离
saas基于多租户架构,一个saas中会有多个用户的数据保存在同一个数据存储位置。saas供应商应保证任何一个用户在访问数据时不能访问到其他用户的数据,因此供应商需要在saas的应用体系和数据模型的设计上确保数据隔离。
微软azure为每个部署提供了网络隔离功能,通过使用input endpoint,可以控制哪些端口能够从互联网访问。
(1)虚拟机之间的通讯始终通过可信赖的数据包筛选器进行。
a. 地址解析协议(arp)和动态主机配置协议(dhcp)等协议,以及来自虚拟机的其他 osi 第二层通讯都可使用速率限制和反欺骗保护进行控制。
b. 虚拟机无法捕获任何目标地址非自己的网络通讯。
(2)客户的虚拟机无法将通讯发往 azure 的私有接口或其他客户的虚拟机,也无法发往 azure 基础架构服务。客户的虚拟机只能与相同客户所拥有或控制的虚拟机、以及用于公共通讯的 azure 基础架构服务终结点通讯。
(3)当客户将虚拟机放入虚拟私有网络后,这些虚拟机将获得自己的、完全不可见的地址空间,此时将无法从部署或虚拟网络之外的虚拟机访问(除非通过公共ip地址配置为可见)。
7、安全合规职责如何划分
当前业界已达成共识,在saas模式下,安全合规职责是由saas供应商和客户共同承担的。举例来说,如果是由于应用系统漏洞(应用安全)带来的安全事件,责任方为云平台方;如果是由于用户使用弱密码,身份被盗用(数据安全),造成安全事件,责任方为租户方。