SaaS应用选型,saas平台产品结构设计-ESG跨境

SaaS应用选型,saas平台产品结构设计

SaaS应用程序选择

在SaaS模式下，企业用户无需维护系统，只需登录即可享受系统功能带来的便利。但是，SaaS服务和数据部署在云中，而不是本地机房，可能会出现不可控的问题。

企业最关心的是自己的数据能否得到有效保护。

本文整理了10个必问的SaaS安全问题，包括基础安全、应用安全、安全合规、数据安全、安全责任划分等。，以便我们快速了解SaaS厂商的安全能力。

1.如何部署SaaS软件

A.你支持私有化(本地)部署吗

与SaaS相比，本地化的安全系数会更高。如果是有企业核心数据的系统，安全性要求更高。如果你不希望这些核心数据由第三方负责，你可以选择SaaS私有化部署。

B.SaaS平台部署在私有云还是公共云中

在选择SaaS平台时，要考虑托管平台的基础安全能力和安全防护能力，甚至包括云平台服务商的安全资质。

与常见的IDC机房相比，公有云平台具有高可用性、安全性和灵活性等优势。

推荐AWS、阿里云、腾讯云、华为云等主流云平台。

2.SaaS平台有什么资质

作为参考指标，第三方资质认证应包括云平台服务商和云租户SaaS厂商。云平台的安全能力和SaaS应用不太一样，但是平台提供基础能力，系统本身需要具备保障安全的能力。

例如:GDPR认证、ISO27001体系认证、等级保护认证等。

通过了ISO27001的认证，表明企业的信息安全管理已经建立了科学有效的管理体系。

通过等级保护记录评估，意味着系统具备相应等级的基本安全保护能力。

3.SaaS平台现有哪些安全措施

SaaS平台应具备一定的安全防护能力，并配备相应的安全产品/服务。

如操作和维护审计(堡垒机器)、应用程序保护(WAF)、访问控制(防火墙)和入侵预防(HIDS/EDR)。

4.SaaS平台会定期进行渗透测试吗

定期渗透测试，并出具相关安全制造商/服务商的安全检查报告。

比如专业安全公司的渗透测试报告，或者可靠的公共测试服务平台的安全公开测试报告。

5.数据在存储和传输过程中是如何加密的，数据实现和数据销毁的问题

加密:SSL加密

数据类型:数据库、文件附件

相关方法，如:数据加解密/文件加解密服务、镜像转换为二进制流加密存储、OSS服务器加密、RDS透明数据加密TDE、云盘加密、DLP、硬件加密机等。

确认数据实现和数据销毁的问题

虽然SaaS用户的数据存储在SaaS厂商的数据中心，但数据的所有权属于用户。未经用户同意，SaaS供应商不得使用数据，更不要说出售数据。SaaS厂商有责任保证用户数据的安全，并对因数据泄露和数据丢失给用户造成的损失进行经济赔偿。

需要确认的两点:没有实现客户数据，销毁没有必要保存的历史数据。

6.如何隔离SaaS多租户数据

SaaS基于多租户架构，多个租户共享一组实例，这可能会造成数据安全问题。

SaaS多租户有三种主要的数据存储方案，即独立数据库和共享数据库(逻辑数据隔离和共享数据)。

7.SaaS平台如何实现系统容灾和高可用

高科技架构，数据备份策略，容灾切换方案。

8.8 .可能涉及的安全合规性问题。SaaS应用

关注，个人隐私保护，GDPR，以及爬虫、AI等技术的应用可能会带来一定的风险。

9.做什么9。SaaS平台在认证、权限管理和日志审计方面做得怎么样

认证机制，是否支持双因素认证，密码复杂度/登录失败处理/验证码/强制修改初始密码。

权限管理是基于角色的用户权限系统，对用户和角色进行授权。

审计，日志是否可以预警，敏感业务操作日志，管理员不能删除/修改日志。

10.一旦发生数据泄露，责任如何划分

目前，安全责任分担模式已经在业内达成共识。亚马逊AWS、微软Azure、阿里云、腾讯云都采用与用户共担风险的安全策略。

用简单的例子来看看责任的划分:

一、应用系统漏洞导致的安全事件(应用安全)

租户使用SAAS服务，责任方在腾讯云平台(SAAS服务由平台提供，平台管理)

b、用户的弱密码、身份盗窃(数据安全)，导致安全事故:

无论用户使用IASS、PAAS还是SAAS服务，用户身份和数据安全都由租户管理。

特别声明：以上文章内容仅代表作者本人观点，不代表ESG跨境电商观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与ESG跨境电商联系。