关于SaaS产品安全性的阐述
星期四, 九月 5, 2019
SaaS(Software-as-a-Service-软件即服务)的概念起始于90年代的ASP(动态服务器页面),相比云计算出现的更早。随着互联网的快速发展和大规模应用,信息技术得以高速发展,因此早期的SaaS技术主要表现为企业开始使用大型机实现服务器的再集中,以适应不断复杂的管理模式,节约运营成本。
直到21世纪,SaaS这种完全创新的软件应用模式才逐渐开始兴起,SaaS是一种基于互联网提供软件服务的软件应用模式,主打着投入低、收益高、易于实施和管理等口号,目的是为了消除企业购买、构建和维护基础设施和应用程序的需要,为企业构建完善、快速、有效的信息化管理系统。
随着SaaS技术的成熟和发展,使得SaaS软件逐渐在市面上崭露头角,SaaS技术通过将传统管理软件以在线服务的模式实现应用,如钉钉等在线OA、在线CRM管理型SaaS被用户接受和认可。在SaaS安全产品方面,诸如漏洞扫描、SaaS防病毒、DDoS防护等也逐渐进入了广大用户的视野。
SaaS传统软件与最明显的差别在于架构上的不同。传统软件搭建在企业本地或企业私有云,而SaaS软件架设在供应商的公有云中,该区别导致了SaaS与传统软件在运维、收费、使用体验上都存在着质的差别。
简单来说,选择传统软件部署方式,企业需要首先在本地准备相应的部署条件,如购买设备、搭建环境、软件测试、专人运维、安全保护,在这个过程中需要花费相当的财力与时间周期。对于一些有资深IT团队的大企业来说,这些不是考虑的重点,他们完全有能力将自己的系统搭建好,而且也能保证定制化和安全性。而对于中小型企业来说,选择SaaS是比较具有吸引力的选择,这些企业可能本身并不注重数据安全,也极有可能没有能力和精力去搭建并维护这些系统,而且在使用传统软件过程中也可能存在各种不规范的行为。所以选择SaaS使得中小企业能够更专注于核心业务。
SaaS的安全性是许多公司和研究机构最为关注的应用问题,本地化的安全系数相较于SaaS更高也是许多企业坚持本地部署的重要原因之一。不过,随着技术的不断与安全措施的更新迭代,用户对于云特别是公有云的信任正在提升,SaaS可能会逐渐取代传统软件在企业心目中不可动摇的地位,成为市场主流。
概括地说,SaaS环境目前仍然存在着以下几种问题:
在SaaS环境下,企业的应用数据存储在SaaS供应商的DC中。企业应用数据的安全性在企业本身看来是不透明的,数据的安全性取决于SaaS供应商的安全防护能力。数据在用户端上传至云端的之后,需要保证数据是时刻加密的;SaaS供应商需要使用强加密策略,并确保严格的数据访问控制;所有对用户数据的访问,都应该被记录,并按时审计。即便是实力强如苹果公司和facebook,也被暴出大量用户隐私数据泄露的情况。因此SaaS的数据安全问题还是任重而道远。
一个拥有多用户的SaaS供应商,为了节约存储成本,可能将多个用户的数据存储在相同的数据位置。若不同用户的数据之间没有隔离防护,或者防护地不够牢固,则有可能发生数据泄露。SaaS的应用体系结构和数据模型的设计应确保高度的数据隔离。如果SaaS的应用程序部署在一个第三方公有云中,则需要第三方供应商拥有相应的安全认证,以防应用数据的泄露。
任何一款程序,其代码都有可能存在安全漏洞。一旦这些漏洞被恶意使用,其危害将比本地化部署更严重。由于企业存在着对外隔离、权限管控等安全管理,且不同企业的实际环境大不相同,使得漏洞危害性的广度不会很明显。但只要黑客攻破了某个SaaS供应商的防护,则所有在使用该SaaS的用户数据都有被泄露的可能性,且用户自身并不知晓。
在SaaS的部署模式中,企业和SaaS供应商之间的数据流在传输过程中必须实时加密保护,以防止企业数据的泄露。SaaS的供应商必须使用诸如SSL加密确保数据在互联网上流动的安全性,或者在SaaS的部署网络中采取加密技术。此外,还需要保证其它的安全保障措施,如:MITM攻击、IP欺骗、端口扫描、数据包嗅探等。
SaaS的应用程序需要支持高可用性,以确保其能够7*24不间断地为其用户服务。因此,SaaS供应商需要有充分地安全储备,来针对DDos攻击、APT攻击或0Day等危害。与此同时,SaaS供应商需要定制完善的业务连续性和灾后恢复计划,以确保任何会导致业务受到影响的事件的时间周期达到最短。此外,灾备的数据应该得到严格防护,减少数据泄露的风险。
随着SaaS技术的不断成熟,越来越多的SaaS应用呈现在用户面前。SaaS有着简单部署、初期投入成本低、管理容易的优点,成为了中小企业的最优选择。但是SaaS产品的安全性在目前并未被广大用户所认可,且频繁爆发的用户数据泄露事件使得SaaS产品的安全性一度被动摇。
由于SaaS的数据安全状况对用户非透明,且用户无法通过主动防御系统(如深信服的安全感知平台)去感知潜在的威胁,使得用户存放在SaaS的数据无可控性和预防性。因此,难免会发生“亡羊补牢,为时已晚”的情况了。
国内专注安全研究的机构,分享更多原创观点 官方公众号:御盾咨询