文:明道创始人任向晖
三年前,当明道刚刚开始公测时,我马不停蹄地拜访客户。当然,很快就纠结到了“SaaS软件的安全性”问题上。一位客户在演示完送别我们的时候,说了一句话,至今萦绕在我耳边。
他说:“SaaS其实无所谓,你们要是Google,我肯定就用了”。
哦,原来的问题的关键并非SaaS,而是“信任”。从此,心中淡泊很多,因为信任问题的解决可能很漫长,但也是最简单直接。一年后,我们彻底关闭了私有部署模式,专注在SaaS模式上。从最开始到现在,三年过去了,我们没有丢失过任何用户数据,没有发生任何客户数据泄漏事件,虽然建立高水准运营的内部过程无比艰难和繁复,但成果说明了一切。三年也许还不够,那就再来三年。我们相信连续的安全运营记录是建立信任最有力的砝码。
SaaS到底比私有部署的IT系统安全多少?这个问题的答案可以参考银行的失窃率和家庭的失窃率。但我不打算这么简单地回答这个问题。
有关数据丢失的风险
大部分企业都经历过本地文件服务器的阶段,在局域网内配置几台服务器,硬盘划分成几个区域,建立若干文件夹,分配给不同部门使用。我们常常看到“市场部2012”,“客户合同”,“ABC项目文档”这样的共享文件夹。要命的是大部分文件服务器其实都是PC,1TB的硬盘也就是几百块钱。这种常见企业数据存储配置下,数据灭失只是时间问题。只要是硬盘都会坏的,即使是价格昂贵的企业盘。
更常见的数据灭失原因还不是因为存储设备故障,而是人为的误操作。简单的文件夹授权非常容易导致错误的删除和覆盖。一旦发生误操作后,几乎只有专业的数据救援人员才有可能恢复。这时候,业务必定停摆。
有人说,加上备份不就得了?首先我几乎没有看到过有企业能够在这个架构下实现可靠的热备份(实时或接近实时的备份频率),大部分都依靠IT维护人员定期做简单的冷备份(就是非实时的备份)。无论哪种方式,都离不开可靠和可监控的流程。我们观察到的大部分数据灭失均是因为同步备份进程挂了很久,没有人知道。
好不容易建立了稳定的流程和监控后,谁都不愿意升级相应的软硬件平台,因为一旦升级,就得再来一遍,所以,难怪现在还有大量的企业在使用数据吞吐率极低的过时存储设备,这时候,如果硬盘还没有损坏,你光是继续烧香是没用的。
还有一种数据灭失的风险来自怀有恶意的离职员工(也许根源来自于管理)。经常有客户问到我们能否限制用户删除数据的行为,实际上对于明道来说,批量删除数据的入口几乎没有。而对于传统的私有部署IT系统,有权限的用户的确可以不费吹灰之力把硬盘删得一干二净,而且不留痕迹。
当然,每次我们都友善地提醒客户,你不能因为担心有这种情况发生,就限制所有用户的正常使用行为。信息之所以需要保存,就是为了被充分使用。
SaaS之所以能够100%抵御数据灭失,是因为它实在负担不起因此失败的结果。成千上万的企业数据集中使用同一套存储设施,就像银行保管了千万家庭的存款一样,你必须让它万无一失。所以,运营者会利用一切有用手段来保证和巩固数据存储安全。这当中,最重要和成本最高的无疑就是实时热备和利用它来实现的分布式计算。运营者付出一份成本让存储冗余(实践上是多重冗余),从而让数据和服务能够永不停歇。这个成本再高,也被众多的客户数量所摊薄,平均花费在一家企业用户上的冗余成本依然会非常低。这是简单的规模经济效益,也是SaaS模式能够战胜私有部署模式的核心优势之一。
有关数据泄漏的风险
我们看到过太多私有部署系统的安全防范工作其实近似于裸奔。不要说专门的攻击防御了,就连基本的密码强度,系统补丁,安全证书等都没有完善。流传于互联网上的“脱库”事件大部分来源于那些陈旧和疏于维护的信息系统。而且越是在局域网或者私有云内的数据,在基本安全工作方面越是惨不忍睹,账号密码随意被猜到,通过攻击脆弱节点随意监听用户名密码数据等比比皆是。因为人们心理上都有一个趋向,认为放在自己的办公室里的数据都是安全的,但其实这是一个幻觉。
一个完善的防黑客攻击系统和冗余存储一样是需要大量投入的。一方面,依靠专职的运维团队以及围绕安全基线要求的作业流程,另一方面,需要部署专门的攻击防御策略,这些工作即便是作为SaaS专业厂商也未必都掌握了完全的技能,所以,产业链条内出现了安全加固服务、安全监控服务等更加垂直的厂商。
所有这些工作合力才能够保证达到一个基本的安全标准。要想获得持续的安全,还要依靠持久的投入。
数据泄漏的另一个方面就是内盗。考虑到企业数据泄漏90%来自于内部通道,我想单独来讲一下这个问题。
其实这个问题和SaaS并没有必然联系,任何IT系统,无论何种部署模式和安全标准,在同样的应用软件设计逻辑下,都有可能发生。近几年真正产生影响力的数据泄漏事件基本都是内部泄漏,斯诺登事件就是典型代表。
虽然SaaS软件并没有义务来抵消数据内盗的风险,但并不代表我们没有为此努力。
过去的思维往往集中在通过IT手段来试图杜绝数据内盗。这条路几乎是走不通的,因为只要防御多到一定程度,就一定会影响可用性,伤害正常用户的使用积极性。试想如果你需要下载一个文件,还需要等待上司审批,还会有多少人愿意主动索取文件呢?
实际上,数据内部泄漏是无法杜绝的,甚至有的时候,都无法在数据公开分享和泄漏之间找到明确的界限。
要减少数据泄漏的损害,唯一现实的两个途径是:
1)通过充分给予现有团队成员信息权利,稀释信息的拥有价值。也就是说,拥有某个信息的人多了,能够通过出售这个信息而牟利的空间就小了。在很低的回报下,员工泄漏数据而获利的行为成本就非常高。这最终在源头上减少了信息泄漏的动机。对于企业内部沟通中绝大多数内容应该用这个逆向思维来建立保护。
保持企业内部资源的共享和沟通的透明,能够非常直接地提高员工的满意度和对企业的认可度,愿意对自己认可的人犯罪的概率低于飞机失事。
当然,我们并不能越位来帮助企业决定信息的透明度,所以,明道的信息共享机制设计依然是把控制权交给企业。但是,在信息内部开放性和保护性方面,我们的建议方向是鲜明的。
2)反过来,对于真正需要严格保护的特定数据(例如银行的客户存款资料,明道的用户数据),最切实际的途径是减少数据接触的人员数量。通过区分统计性数据和明细数据,隔离开发用数据和生产用数据就能够同时实现信息的共享目标和保护目标。例如,对于明道来说,实际接触生产数据的成员是非常有限的,我们可以有信心通过流程、操作日志等手段来保障安全,但这不妨碍团队内更多成员可以通过编制好的统计报表来获得有价值的产品改进情报。当然,你要知道,对于任何一个企业来说,值得用这样的高成本手段来防范泄漏的数据也永远只能是有选择性的。
明道的部署顾问每天都会回答客户的这个问题,而我们发现,真正提问的客户最终大部分都选择了明道。但我们深知此刻还有更多的用户心里带着疑虑,但并没有提出。他们也许还在观望,看SaaS是否真正能够解决好安全问题。这一点,我们深深理解并且接受,因为每一项今天看来司空见惯的方法和技术,在诞生的那刻,对于公众而言总是有接受度上的挑战,就像历史上电力和无线电的普及,医学上抗生素和外科手术的使用,包括而今的纯电动汽车。
这些历史上的伟大产物在出现后都经历了或长或短的技术进步周期,直到被公众广泛接受,受赐于互联网惊人的发展速度,今天的SaaS软件唯一和它们不一样就是,它的性能和安全已经远超前任。
