确保SaaS数据的安全
开篇:润墨网以专业的文秘视角,为您筛选了一篇确保SaaS数据的安全范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
在线存储和在线备份解决了部分中小企业在数据保存和备份方面的难题,但同时也引出了另外的问题: 数据保存在供应商那里是否安全?它们有哪些手段保证数据的安全?
Software as a Service (SaaS) 如今已经变成了一个很流行的词汇。根据定义,前期无需投资购买任何服务器和软件、可以通过互联网接入和访问的应用和服务都属于SaaS范畴。按照这一定义,提供在线存储和数据保护服务的供应商都可以算做SaaS供应商。
事实上,为了扩大市场,不少大型供应商如EMC、IBM、HP等纷纷涉足这一领域,在线存储和备份正在成为一个日益壮大的市场。由于前期投入少(或没有),管理简单,在线存储和备份服务尤其受到中小企业的欢迎。不过,用户常常担心,这些SaaS供应商把用户的数据保存在它们的服务器上,或者它们直接能访问用户的计算机系统。这些服务的安全性如何,由它们保存的数据安全吗?
客户保留率
是重要指标
“中小企业的数据如果非常重要时,在挑选供应商时就更要特别留意。” IDC分析师Laura DuBois说,比如,一旦真要恢复数据需要多长时间、供应商在市场低迷时是否有足够的生存能力等,这些都是在挑选SaaS供应商时应该关心的问题。特别是供应商不愿介绍成功案例或者客户保留率过低时,更应该警惕。
“在SaaS领域,客户保留率是一个非常有说服力的指标,” Laura DuBois说,“一个比较好的供应商至少应该有98%以上的客户保留率。”如果遇到的是一个之前没有听说过的供应商或者供应商是一个初创公司,用户更需要花点时间来确认供应商所说的成功案例是否真实。
另外一个考察角度是厂商给用户提供的技术支持。这个市场不乏说得好听而售后支持却是一塌糊涂的供应商。有些时候,为专业的技术支持支付高一些的费用是值得的。
“究竟选择那个供应商说到底还是取决于企业的需要。”Iron Mountain公司图像电子化中心总经理Tom Meyer说,“有些企业并不需要高安全性的内容管理系统,因此选择简单而且便宜的在线存储就够用了。”
多种手段
可保证数据安全
很明显,在选择SaaS模式时,安全应该贯彻在SaaS供应商的选择、部署等整个过程之中。其中,最需要弄清楚的一个问题是,供应商如何保存它们的数据以及它们采用了哪些方法来预防不测。
“中小企业应该必须多问供应商一句,把自己的数据保存在哪里了?” Laura DuBois说: “一个合格的SaaS供应商通常会有多种办法,比如建立数据中心镜像。另外,供应商不仅要把客户的数据保存在多个地点,而且还要保证需要时马上可用。”
SaaS供应商可以采用的保证数据安全的方法有很多。一些供应商采用磁盘阵列同时对数据加密,也有一些采用更简单的手段,把数据存放在一个隔离的安全位置。下面是一些供应商采用的几种具体方法。
1. Iron Mountain采用数据传输加密、用户访问控制以及把数据保存在位于地下200英尺的数据中心等多种方法来保证数据的安全。
2. 备份和存储SaaS供应商Elephant Drive通过把数据保存到多个基于硬盘的存储池来保证数据的安全。它对数据复制的保护已经内嵌到其产品当中。它所有的数据至少被分别保存到位于不同地理位置的两个数据中心。
3. 在线备份服务供应商AmeriVault把客户数据保存在三个不同的地方。其中一个地点保存有两份数据,分别存放到两个不同的磁盘系统中,而第三份数据保存在1000英里以外的业务连续性站点上。
4. 在线备份供应商DS3 DataVaulting采用EMC的Clariion作为主存储设备,另外一份备份的数据保存在一个完全不同的高端磁盘系统,以保证数据恢复简单易行。它的三个数据中心中有一个专门用于保存客户数据。
“任何一个负责任的SaaS供应商都应该采用最合适的办法来确保它服务器的安全,而且它也应该把这个措施给它的客户说清楚。” Laura DuBois说。
签一份
服务级别协议
对用户来说,获得满意的saas服务的一个有效办法是签订服务级别协议(SLA)。SLA规定了服务供应商所提供的服务可靠性必须符合一定的要求。对于SaaS服务,其SLA不应该低于99%。而且,SLA中还应该涉及如果合同终止用户的数据应如何处理等内容。你必须得到明确的答复,数据属于你,而且从条款上有所体现。
比如美国Prince Street Capital Management公司租用了Data Storage公司(DSC)的数据备份服务来为公司的邮件系统提供数据保护。为了保证数据的安全,DSC在另外一个地方建有数据存储中心,如果需要可以快速进行数据的恢复。在它订立的SaaS合同中,SLA是重要的组成部分。
“在我们确定数据备份和恢复解决方案的过程中,快速恢复Exchange数据的能力是最重要的考察指标。”公司CFO Peter McKown说,“DSC满足了我们的业务需求: 而其服务级别则超过了我们的预期。”
IDC的DuBois认为,用户对SaaS的安全有所担心是正常的,这与10年前电子商务的发展过程有些类似。那时,很多小企业同样也非常担心,不仅担心数据的安全性,还担心与之做生意的那个刚刚成立的公司是否可信,甚至电子商务这种模式是否可行等。10年之后,几乎所有人都或多或少有了一些网上交易的经历了,电子商务终于被企业界接受了。
SaaS的演进过程也与电子商务相似,相信最终会赢得人们的信任并变成企业IT最普通的一部分。对于那些只有IT部门很小甚至根本就没有IT人员的企业来说,如果部署恰当,SaaS完全是一个值得尝试的模式。当然,前提是必须挑选到一个合适的供应商,IDC的DuBois建议,准备将IT交给SaaS供应商的企业至少要明确三个问题: 谁在提供技术?管理自己的数据是谁?谁负责数据中心和相关基础设施?
“有时候会有三个不同的供应商,随之会带来潜在的风险。” DuBois说: “但是,无论何时,作为用户一定要对隐私、加密、可用性、恢复时间、服务级别协议、成本以及合同期限等多加留意。”
链接
SaaS的安全技术
SaaS的安全可以分为两个部分,即数据安全和SaaS软件系统的安全。数据安全主要指的是客户信息是否以安全的方式保存在安全的地方。比如,是否加密、是否在不同地理位置有备份的数据中心以及机房本身是否安全(如是否有24小时录像监控,是否有可靠的预防火灾、水灾的措施)等。
SaaS软件系统的安全主要涉及Web服务器、应用程序、数据库和数据传输等。当前,主流SaaS厂商为了提高Web服务器的安全性多选择特殊的Web服务器,比如在Apache的基础上进行修改,有的还会进行有针对性的优化,以提高访问速度和可靠性。而应用程序方面,安全技术主要有用户密码加访问权限控制、应用程序会话和数据库访问会话等。在数据库方面以数据库隔离为主。由于SaaS采用多租户的模式,多个用户访问的是同一数据库实例和同一套应用程序,所以其安全性是一个很大的挑战,也比较考验供应商的技术实力。在数据传输方面,可以采用一些数据加密技术,如最常见的SSL加密等。