在SaaS模式下,企业数据存储在SaaS供应商的数据中心。因此,SaaS企业应采取措施来保障数据安全,防止应用程序漏洞或者恶意特权用户泄露敏感信息。SaaS应该使用强大的密码保护,以确保在数据访问上的控制。所有数据,包括管理权限的访问,都应该被记录下来,并定期审计。这些检查是至关重要的。
数据分离
在一个多租户SaaS 的部署中,多个企业的数据可能会保存在相同的数据存储位置。因此要保证其中一个用户在进行数据访问时不能访问到其他用户。泄露敏感的业务计划可能暴露竞争对手的弱点,因为这类数据可能会导致严重的经济损失。SaaS的应用体系结构和数据模型的设计应确保正确的数据隔离。如果SaaS的应用程序部署在一个公开的云供应商那里,则应加强防范,使通过一个应用程序的数据不能访问其他应用程序。一个第.三方SaaS的安全评估是至关重要的,隔离并查明这些数据的安全问题和解决这些问题之后,SaaS 才可以更好地被应用。
SaaS应用程序的安全部署
用户在选择 SaaS供应商的解决方案后可以部署使用公共云供应商或SaaS供应商的私有云。然而,这些部署应首先确保其安全性,采用托管SaaS的部署,要求卖方提供相关服务(防火墙、入侵检测系统等)来强化其安全性。第三方的SaaS应用程序部署的安全审计也十分必要,这样可以更好地识别任何安全问题或威胁,以确保企业数据的安全。
网络安全
在SaaS 的部署模式中,企业和SaaS提供商之间的数据流在传输过程中必须得到保护,以防止敏感信息外泄。SaaS的供应商应使用诸如 SSL来确保数据在互联网上流动的安全性,或者在SaaS 的部署网络中采取加密技术。其他保障措施还包括处理 MITM( Man-in-the-MiddleAttack,中间人攻击)攻击对网络安全造成的问题、防IP欺骗、端口扫描、数据包嗅探等。
法规遵从风险和法规遵从
这在SaaS应用程序的审计中至关重要。对是否符合监管标准的评估,有助于确定是否合规,并确保正确的业务流程到位。
可用性
SaaS 的应用程序需要支持高可用性,以确保其能够24x7小时地为企业服务。这涉及架构设计和基础设施的应用,以使它们能够适应硬件或软件故障及拒绝服务攻击。此外,适当的业务连续性和灾后恢复计划也需要制订,以确保停机时间最短。
备份
SaaS 企业应确保服务水平协议涵盖安全的备份和恢复服务。SaaS应用的备份需经过验证,并且满足基础设施和云级恢复服务的需要,以促进灾后恢复和降低对敏感数据的丢失概率,减少失败的风险。备份的数据应该得到严格保护,如业务数据等就需要使用强大的加密机制。这些检查也是非常必要的,它可以减少未经授权的访问和敏感数据泄露的风险。
身份管理和登录
安全身份管理(IDM)和签署组件可以为用户提供服务的账户处理、密码管理和安全认证,并且可以根据安全方面的挑战对不同身份进行区别对待。一个SaaS供应商可以提供完整的IDM和登录服务。在这种情况下,用户的信息、密码等,都保留在SaaS供应商的网站,因此应该安全地存储和处理。SaaS供应商应该能够保障密码的安全性并提供子夜密码过期政策,还要遵守监管要求