文:明道创始人 任向晖
关于SaaS安全问题,我想我不是第一个加入讨论的,也不是最后一个站出来强调的,我相信越来越多的人会站到“SaaS安全”的阵营中来,拥抱趋势。
三年前,一位客户在演示完送别我们的时候,说了一句话,至今萦绕在我耳边。
他说:“SaaS其实无所谓,你们要是Google,我肯定就用了”。
哦,原来的问题的关键并非SaaS,而是“信任”。从此,心中淡泊很多,因为信任问题的解决可能很漫长,但也是最简单直接。一年后,我们彻底关闭了私有部署模式,专注在SaaS模式上。从最开始到现在,三年过去了,我们没有丢失过任何用户数据,没有发生任何客户数据泄漏事件,虽然建立高水准运营的内部过程无比艰难和繁复,但成果说明了一切。三年也许还不够,那就再来三年。我们相信连续的安全运营记录是建立信任最有力的砝码。
SaaS到底比私有部署的IT系统安全多少?这个问题的答案可以参考银行的失窃率和家庭的失窃率。但我不打算这么简单地回答这个问题。
有关数据丢失的风险
大部分企业都经历过本地文件服务器的阶段,在局域网内配置几台服务器,硬盘划分成几个区域,建立若干文件夹,分配给不同部门使用。我们常常看到“市场部2012”,“客户合同”,“ABC项目文档”这样的共享文件夹。要命的是大部分文件服务器其实都是PC,1TB的硬盘也就是几百块钱。这种常见企业数据存储配置下,数据灭失只是时间问题。只要是硬盘都会坏的,即使是价格昂贵的企业盘。
更常见的数据灭失原因还不是因为存储设备故障,而是人为的误操作。简单的文件夹授权非常容易导致错误的删除和覆盖。一旦发生误操作后,几乎只有专业的数据救援人员才有可能恢复。这时候,业务必定停摆。
有人说,加上备份不就得了?首先我几乎没有看到过有企业能够在这个架构下实现可靠的热备份(实时或接近实时的备份频率),大部分都依靠IT维护人员定期做简单的冷备份(就是非实时的备份)。无论哪种方式,都离不开可靠和可监控的流程。我们观察到的大部分数据灭失均是因为同步备份进程挂了很久,没有人知道。
好不容易建立了稳定的流程和监控后,谁都不愿意升级相应的软硬件平台,因为一旦升级,就得再来一遍,所以,难怪现在还有大量的企业在使用数据吞吐率极低的过时存储设备,这时候,如果硬盘还没有损坏,你光是继续烧香是没用的。
还有一种数据灭失的风险来自怀有恶意的离职员工(也许根源来自于管理)。经常有客户问到我们能否限制用户删除数据的行为,实际上对于我们来说,批量删除数据的入口几乎没有。而对于传统的私有部署IT系统,有权限的用户的确可以不费吹灰之力把硬盘删得一干二净,而且不留痕迹。
当然,每次我们都友善地提醒客户,你不能因为担心有这种情况发生,就限制所有用户的正常使用行为。信息之所以需要保存,就是为了被充分使用。
SaaS之所以能够100%抵御数据灭失,是因为它实在负担不起因此失败的结果。成千上万的企业数据集中使用同一套存储设施,就像银行保管了千万家庭的存款一样,你必须让它万无一失。所以,运营者会利用一切有用手段来保证和巩固数据存储安全。这当中,最重要和成本最高的无疑就是实时热备和利用它来实现的分布式计算。运营者付出一份成本让存储冗余(实践上是多重冗余),从而让数据和服务能够永不停歇。这个成本再高,也被众多的客户数量所摊薄,平均花费在一家企业用户上的冗余成本依然会非常低。这是简单的规模经济效益,也是SaaS模式能够战胜私有部署模式的核心优势之一。
有关数据泄漏的风险
我们看到过太多私有部署系统的安全防范工作其实近似于裸奔。不要说专门的攻击防御了,就连基本的密码强度,系统补丁,安全证书等都没有完善。流传于互联网上的“脱库”事件大部分来源于那些陈旧和疏于维护的信息系统。而且越是在局域网或者私有云内的数据,在基本安全工作方面越是惨不忍睹,账号密码随意被猜到,通过攻击脆弱节点随意监听用户名密码数据等比比皆是。因为人们心理上都有一个趋向,认为放在自己的办公室里的数据都是安全的,但其实这是一个幻觉。
一个完善的防黑客攻击系统和冗余存储一样是需要大量投入的。一方面,依靠专职的运维团队以及围绕安全基线要求的作业流程,另一方面,需要部署专门的攻击防御策略,这些工作即便是作为SaaS专业厂商也未必都掌握了完全的技能,所以,产业链条内出现了安全加固服务、安全监控服务等更加垂直的厂商。
所有这些工作合力才能够保证达到一个基本的安全标准。要想获得持续的安全,还要依靠持久的投入。
数据泄漏的另一个方面就是内盗。考虑到企业数据泄漏90%来自于内部通道,我想单独来讲一下这个问题。
其实这个问题和SaaS并没有必然联系,任何IT系统,无论何种部署模式和安全标准,在同样的应用软件设计逻辑下,都有可能发生。近几年真正产生影响力的数据泄漏事件基本都是内部泄漏,斯诺登事件就是典型代表。
虽然SaaS软件并没有义务来抵消数据内盗的风险,但并不代表我们没有为此努力。
过去的思维往往集中在通过IT手段来试图杜绝数据内盗。这条路几乎是走不通的,因为只要防御多到一定程度,就一定会影响可用性,伤害正常用户的使用积极性。试想如果你需要下载一个文件,还需要等待上司审批,还会有多少人愿意主动索取文件呢?
实际上,数据内部泄漏是无法杜绝的,甚至有的时候,都无法在数据公开分享和泄漏之间找到明确的界限。
要减少数据泄漏的损害,唯一现实的两个途径是:
1)通过充分给予现有团队成员信息权利,稀释信息的拥有价值。也就是说,拥有某个信息的人多了,能够通过出售这个信息而牟利的空间就小了。在很低的回报下,员工泄漏数据而获利的行为成本就非常高。这最终在源头上减少了信息泄漏的动机。对于企业内部沟通中绝大多数内容应该用这个逆向思维来建立保护。
保持企业内部资源的共享和沟通的透明,能够非常直接地提高员工的满意度和对企业的认可度,愿意对自己认可的人犯罪的概率低于飞机失事。
当然,我们并不能越位来帮助企业决定信息的透明度,所以,我们的信息共享机制设计依然是把控制权交给企业。但是,在信息内部开放性和保护性方面,我们的建议方向是鲜明的。
2)反过来,对于真正需要严格保护的特定数据,最切实际的途径是减少数据接触的人员数量。通过区分统计性数据和明细数据,隔离开发用数据和生产用数据就能够同时实现信息的共享目标和保护目标。例如,对于我们来说,实际接触生产数据的成员是非常有限的,我们可以有信心通过流程、操作日志等手段来保障安全,但这不妨碍团队内更多成员可以通过编制好的统计报表来获得有价值的产品改进情报。当然,你要知道,对于任何一个企业来说,值得用这样的高成本手段来防范泄漏的数据也永远只能是有选择性的。
我们深知此刻还有更多的用户心里带着疑虑,但并没有提出。他们也许还在观望,看SaaS是否真正能够解决好安全问题。这一点,我们深深理解并且接受,因为每一项今天看来司空见惯的方法和技术,在诞生的那刻,对于公众而言总是有接受度上的挑战,就像历史上电力和无线电的普及,医学上抗生素和外科手术的使用,包括而今的纯电动汽车。
这些历史上的伟大产物在出现后都经历了或长或短的技术进步周期,直到被公众广泛接受,受赐于互联网惊人的发展速度,今天的SaaS软件唯一和它们不一样就是,它的性能和安全已经远超前任。
(源自 知乎葛阳的大白话版本)
在回答这个问题之前先了解:
- SaaS软件是什么?
SaaS全称是Software as a Service(软件即服务),字面意思:通过互联网提供软件服务。 - SaaS如何通过互联网提供服务?
软件被安装在服务器上之后,用户通过浏览器访问服务器来获取软件服务。
通俗一点,搜索引擎或者邮箱系统软件,不用安装在本地自己的电脑上,直接可以通过浏览器里的百度、Google进行搜索,或者在浏览器里发邮件。这些都是我们日常生活当中所接触到的SaaS应用。
云计算的发展,使得越来越多的软件不需要用户本地安装就可以使用。只要有网络,打开浏览器登录帐号就OK。以前装机必备office,现在已经可以随时随地通过网络来编辑、保存、阅读自己的文档,用户不用去升级维护软件。
再通俗一点,其实在哪编辑文字都一样,发微博和知乎答题又有什么分别。只是对用户而言,不用在本地安装个知乎客户端。IT/互联网不就是通过技术和想法来满足人们需求么。技术背后的逻辑,无非是更好地满足需求。
SaaS是否安全?答案是安全的,但我不从技术角度讲。
这个问题就像讨论电子商务是否安全一样,请问网上购物安全吗?这几天X宝大战工商总局,各家电商在假货问题上打嘴仗。网购确实存在问题,但有谁不在网上买东西?
SaaS也一样,技术发展到一定程度,带来的习惯和潮流趋势不可阻挡。谁提供更好的服务,比如靠谱的真货,好玩的弹幕,优质的解说,良好的体验,谁就更吸引我。所以我觉得网易云音乐、新浪NBA直播、Bilibili….就很棒。
ps.网易云音乐就是SaaS典型应用。
实际上,确实有公司不愿意将机密信息、核心数据放在云端。大表姐照片自动同步iCloud,之后全世界都看到了。保护隐私最好的方法是不生产隐私,生产了也不要乱放。一些P2P公司不少数据涉及到灰色地带,比如一些互联网金融公司,很多业务在爱与痛的边缘,竞争对手都这么做而你不这么做公司就活不下去,不合规的业务无之必不然,如果数据外泄或者竞争对手搞事,就成了纸牌屋。