選擇SaaS平台的那些事
將近一年多沒有更新部落格和自己的訂閱號。除了本身有點懶之外,也有幸在上半年花了一些時間考出了CISSP。最近也在研究雲平台相關的一些課題。
寫這篇文章本身是因為在工作中經常有IT乃至業務的同事會問及企業在選擇SaaS平台時的考量以及如何保證其符合企業安全體系。因而我就以自己有限的認知提供一些有限的見解,以供參考。
在這裡首先簡單介紹一下什麼是SaaS。雲的服務模式目前主要分為三種(SPI):基礎架構即服務(IaaS),平台即服務(PaaS)以及軟體即服務。其中SaaS平台供應商將應用軟體統一部署在自己的伺服器上,客戶可以根據工作實際需求,通過互聯網向廠商定購所需的應用軟體服務,按定購的服務多少和時間長短向廠商支付費用,並通過互聯網獲得Saas平台供應商提供的服務。
從雲平台的責任矩陣角度來解釋就是你只需要負責使用供應商提供的公網應用平台,剩下的和都交給供應商負責就行。當然帳號,客戶端安全以及數據的分類管理還是要客戶自己負責的。
那我們就要問第一個問題就是為什麼我們要選擇SaaS?
通俗的一些好處往往是敏捷性,彈性以及潛在的經濟性。最根本的可能往往是企業可以將更多的資源專註在業務層而不是底層的技術。雖然每個公司的業務模式不盡相同,但大多數都會根據業務的需求可以將非敏感非核心的業務需求通過SaaS的方式實現以節省出大量IT運維方面的成本(當然也有少部分把核心應用如ERP搬上雲的)。Office 365就是最好的一個例子,你再也不需花大量的硬體軟體人力成本去維護一套exchange,sharepoint或者Skype for business 系統,只需要按用戶數以及需求購買相對應的license即可。讓專業的供應商做專業的事。
其次從架構的角度來看選擇SaaS至少需要考慮以下幾個方面:
1. 和現有應用的整合是否有問題。比如數據傳輸,介面調用,以及和企業IAM的整合。
2.平台成熟度和業務功能性是否滿足業務需求
3.管理的流程是否符合企業自身要求
4.收費模式的確認
當然可能還有其他因素,企業可以根據自身情況有更多其他的考量。
那從安全方面SaaS平台會有那些風險呢?
可能有人會覺得SaaS的安全不是都由供應商全權負責的么?的確如此,但是有人的地方就有風險,工作可以授權或者外包,但責任不行。一旦你使用的平台出現了任何問題,受傷的往往都是公司自己的業務。
以個人的經驗來看SaaS的平台往往經常會遇到以下一些問題和風險:
1.數據主權不清。曾有見過公司用供應商平台前連數據所有權都不確認,結果終止合約時極為被動痛苦。
2. 供應商技術人員水平低,平台安全性差,沒有BCM。由於平台本身是不透明的,即便安全做的很糟糕,雲用戶本身也無法察覺。
3 .供應商財務狀況不穩定,出現業務變動,跑路或者公司倒閉。也能使得雲用戶極為被動,可能事後換平台的成本反而還不如當初自己直接開發一套應用部署。
4. 平台鎖定,遷移成本高。然後被無良供應商各種牽著鼻子走。
5. 數據生命周期管理-比如在合約終止時,沒有按要求清除用戶數據。
既然SaaS本身不透明性決定了用戶只能獲得平台有限的資訊,因此作為SaaS的用戶,企業必須謹慎選擇雲平台,並在依靠一些治理手段對雲供應商做一些限制。
總體來說可以使用評估,合規審計,合約等治理方式
1. 合約—-合約是將治理擴展業務合作夥伴和服務提供者的重要工具,把一切落在條款上保證SLA和承諾不會違約的唯一方式。其中至少包括或定義數據主權,數據生命周期(數據刪除),隱私適用規則,SLA要求和懲罰措施,責任劃分,對平台審計權,由於雲平台責任導致的安全事故所要做的財務賠償等。一般來說小型SaaS提供商的合約談判可行性更高,但是往往他們無法在複雜環境下滿足或超過客戶治理和風險管理的要求,最重要的是中國小型互聯網公司非常容易虧損跑路。成熟的SaaS供應商往往有自己的合約模板,並且談判性可能不高。合約的洽談是一個很複雜的過程,一定要在法務和採購的共同協助下完成此事。
2. 合規報告—主要通過第三方對雲平台的安全性進行認證或者合規的報告。一般來說中國最近比較多的等保(SaaS考慮至少三級),國際上的ISO 27001(基礎)+ISO 27017(雲資訊安全), STAR(中國版C-STAR),通用準則(CC),PCI-DSS, HIPPA, SSAE-16, SOC 等。企業本身也可以對平台進行審計,但是這項許可權必須在合約內得以體現。一般來說都是通過第三方操作,大的SaaS供應商本身比較少願意讓客戶直接審計。
3. 評估—-主要包括一些同行回饋,服務水平,財務水平(考慮跑路的可能性),平台的安全措施,第三方認證,數據導出的可能性(API或者供應商協助),平台的可遷移性(避免供應商過度鎖定)。評估的過程也要包括合約以及合規的內容。
一般來說企業本身必須要有具體的風險管理和風險接收/緩解的方法,以評估每個解決方案的風險。最後就是剩餘風險的處理。由於風險的容忍度根據數據本身的價值和企業的風險偏好都有關,因此具體情況具體分析。
最後強調幾個我認為可能比較容易容易忽視的點:
1.儘可能的要考慮平台可遷移性或者可移植性。即便你選擇了一個比較靠譜的SaaS提供商,也不能排除由於企業自身內部出現的變化而調整整個企業架構,從而主動更換對應的SaaS平台。
2.必須要有業務連續性方案和流程。雖然有SLA合約的保證但是針對重要的SaaS應用,企業自身還有要相對應的BCM方案。比如定期的將SaaS數據導出自己的內部數據平台,SaaS故障時用其他備用方案推進日常業務流程。
3.合約上的條款儘可能詳細,醜話一定要說在前。合約在使用SaaS平台過程中保護企業自身利益最好且唯一有效的工具。
總的來說,業務選擇上SaaS就像是把孩子交給了寄宿學校。在推進業務上可以根據需要八仙過海各顯神通,有時候甚至可以激進一些。但是在安全上則不能當一個「莽夫」,IT部門要利用自己的專業知識幫業務規避風險,深入業務並保駕護航。業務部門在許多控制節點上也必須讓專業的IT人員做守門員,因為不同的專業角度所看到的問題不盡相同,切不可保有僥倖心理。
