选择SaaS服务商必须提前问出口的几个问题

软件先锋 2016-03-15 10:56网络整理点击: 标签:

你如何确定SaaS服务商建起了足够高的安全壁垒,保护你的服务免于外部的威胁呢?

“万物皆可为服务”(“XaaS”) 这个X可以为任何单词的首字母。随着这个趋势的进一步明显,云端成为了决定你IT系统是否好用,你的企业是否具有生产力的关键因素。如果你投资到了“以软件为服务”的产业中,你如何确定SaaS服务商建起了足够高的安全壁垒,保护你的服务免于外部的威胁呢?下面的几种情况可以供你参考,你可以依循这几个内容向你的SaaS服务商质询,你是否真的在安全方面做好了完全的准备?又或者仅仅还是在筹划中?

先回顾一则新闻:一家公司因为负债太多,它的客户不得不拿出100万英镑来让自己的服务能够存续下去。所以设想一下下面的场景吧,如果你的SaaS解决方案提供方,又或者是管理数据中心的SaaS公司,因为某个突然爆出来的重大危机而关门停业,这个时候你的所有数据都是在这个系统上,你完全没有任何控制权,从某种意义上来说,数据成为了“人质”,你必须付出“赎金”才能让数据得以存续下去。

选择SaaS服务商必须提前问出口的几个问题

这个时候该怎么做呢?一个操守比较好的SaaS提供商会跟你签这样一份协议:在提前商定的价格之下,如果中途这个服务因为各种意外出现中止,那么第三方的SaaS公司会中途把数据接手过去,给你充足的时间考虑下一步该怎么办。这个第三方公司将从协议生效的第一天开始就有你的系统、数据的拷贝,所以跟你签协议的这一方就无法“勒索”你了。

尽管你跟他们签有协议,声称你拥有对数据的绝对所有权,但这只是法律层面。如ugoni并没有控制这个平台,法律文件在面对违约情况时也没有办法保护你,你要回自己的数据是很难的。所以这个时候将数据能够放在第三方的手中,以保证你随时随地都能够掌握主动权,这就是一个很好的策略。

当你在考虑选择哪家SaaS提供商的时候,往往这是一个需要彻底搞明白的问题。但是往往下面的几件事情会被你忽视过去。你需要落实数据中心是否有妥善的安全围栏,防止任何陌生人接触到它。是否存在门禁系统?还是谁能够从中大摇大摆地穿过?它是否在街边?河边?铁路边?电站边?这些地理环境很有可能给你的数据中心带来一定的风险。要知道,绝大多数的IT事故发生都是人为原因以及硬件上的出错,所以你真的应该希望人们都尽可能远离数据中心,它最好能处在一个人迹罕至鸟不拉屎的地方最安全不过。在考查工作中,一定要先期做足功课!

理想状况下,你的数据最好能有四份拷贝,它们分别存放在相距非常远的不同地点,这样一场突如其来的灾难不会彻底吞没所有拷贝。最好跟两家SaaS提供商保持合作,这样在必要的时候能够在数据找回过程中拥有一定程度的控制权。一些SaaS提供商都有两个存储地点,但是不提供“第三方安全网”服务,还有一些公司就将你的数据放在一个地方。很明显这些做法都是存在风险的,你对风险的控制几乎不存在。

你在“数据找回”这个工作上是否有签一些协议(比如“SLA”,即“服务标准协议”)?比如规定了找回的时间是多久?找回的方式是怎样的?一般来说,如果一家数据中心忽然宕机(相信我,它发生的频率远远超出你想象),他们首先要做的是重启这个数据中心,然后他们会有一个清单,上面写满了客户名字,当然其中也包括你,至于你到底排在这个单子的第几行就没人能说的清了。“数据找回方案”其实有很多种,这取决于你付款的多少。

这个时候你最好得衡量一下自己购买这个“数据找回方案”的钱,和没有这个方案你所遭受的损失之前哪个大一些了。但话又说回来,谁愿意把自己家的数据放在别人家里,他们在忙着重启自己服务的时候再来搞定你的数据找回服务呢?这完全不值得信赖嘛。

其实一个靠谱的SaaS服务商应该给你提供数据找回的时间承诺,而不仅仅是跟你签“SLA协议”。然后再寻找是否有可能存在一些第三方的服务商,来给你的数据提供附加的保护服务,以避免自己的系统完全落入到一个服务商的手中。

如果遭遇了系统病毒的入侵,如果你的数据找回方案是把数据备份放在第二个地点,你的备份系统很快就会被感染。这个时候你又从哪里来找回数据呢?你的SaaS服务商需要做的是给你的系统做好备份后,经过测试,然后放到一个跟你的现有系统没有任何关系的独立场所,保证病毒不会干扰到这里。这里仍然要考虑第三方,他们往往会给你拿出妥善的解决方案。

一次大规模的DDOS攻击会让你的服务商带宽阻塞,你的IT系统有可能几个月都恢复不了,尽管目前有一些软件工具能够帮助你管理风险,但是这样的袭击是无法完全规避得了的。如果你的服务商运气不好遭遇上这么一次大规模袭击,它的预案是什么?它能立刻将你的系统转交给其他独立平台吗?解决方案由他们去想,但是你得问出这个问题。(作者丨Jules Taplin,SaaS 领域安全咨询顾问)