删库跑路事件发生,SaaS云服务如何守护数据安全

稳石科技 -

删库跑路事件发生,SaaS云服务如何守护数据安全

本来新冠肺炎防控需要,带动了全中国2亿人的云办公,相较于各种花哨的营销大战,此次删库事件更值得警醒,这已不仅仅是一家云服务厂商的市值蒸发,还有几百万用户的经济损失,更是因为这里暴露出来的网络安全债,是国内很多企业以往普遍忽视的、不重视的。

就以我自己工作的领域来看,我已经在HR SaaS行业工作十多年,从供给端和需求端两个方面来看,很多公司在实践过程中还是存在不少业务应用中的数据安全风险。

比如,国内很多SaaS厂商认为运维团队是成本中心,不重视信息安全,从而在这个方面不断地缩减投入,只有在遇到伤痛的时候,才会临时增加投入来弥补损失。但我们知道,真的发生了的话,每一次的代价都将是惨痛的。

而在需求方,很多企业在选择SaaS产品时,会更多关注产品看起来好不好看、用起来好不好用,却容易忽略安全性的考量。另外也有一些企业为了保证安全性,进行本地化部署,但往往本地化之后,系统安全性会变得更加脆弱。

中国的互联网发展速度非常快,SaaS是云计算市场的最大细分市场,这几年繁荣发展,越来越多的组织转向了软件即服务(SaaS),把它做为解决企业需求的一种方法。此次疫情更是对国内企业采购SaaS应用起到了推波助澜的作用。
对于我们从业者来说,非常乐于看到越来越多的中国企业采购SaaS产品来提高生产力,但还是诚恳建议采购时需要将数据隐私和安全性作为不可忽视的优先事项。分享一些我们作为SaaS服务商,日常的做法对策:

第一,分散控制权限,做好人员分工

做好最小程度的权限管理(最小权限原则),3个人3把钥匙,每人只能打开自己盒子,3个人同时在一起才能打开完整的盒子。在日常管理上重点关注特殊权限账户和VPN权限管理。

第二,加强生产系统访问的安全控制

建立数据安全治理制度并不断持续优化,对运维行为进行事前审批、事中控制、事后审计、定期报表,避免运维人员恶意操作和误操作的行为,确保高效审批及准确执行。

不允许研发人员对数据层面进行直接篡改,每次生产系统的直接访问必须通过特定审批,并且由专职运维人员协调进行只读操作。配套的流程管理制度和审批机制,确保关键负责人了解每一次的联机操作,并做好操作日志保存。

第三,技术上做好预防措施,重视数据资产保护

与专业的安全厂商配合定期进行安全扫描,加强生产系统的软硬件安全防控能力。

定期进行对生产环境进行数据备份,肯耐珂萨的数据中心采用容灾技术,具备2地3备份体系,保障系统高可用。传统的备份系统将数据从B端还原至A端,过程中数据容量、传输速度、磁盘性能等诸多方面都会制约其还原时间。容灾技术则可以实现B端直接运行可用系统,极大程度缩短停机时间。


* 转载原创请注明出处,如有侵权请联系删除。