软件即服务 (SaaS) 是一种软件许可和分发模型,服务提供商在该模型中托管应用程序,并通过互联网将其提供给客户。
SaaS 也被称为“按需软件”、“托管软件”和“基于 Web 的软件”,它是云计算的三个主要组成部分之一,而云计算是数字化转型的基本要素之一。
其他云计算组件为基础架构即服务 (IaaS) 和平台即服务 (PaaS)。
大多数 SaaS 产品都基于多租户架构。
这意味着将向所有用户提供同一个应用程序版本。
客户可以更改配置设置以获得最佳功能、外观和体验,还可以自定义软件组件以解决其特定使用实例,而这些设置在升级中将保留。
但是,用户无法更改 SaaS 应用程序的通用底层基础架构和代码。
SaaS 示例
SaaS 有两种主要类型:纵向 SaaS 和横向 SaaS。
- 纵向 SaaS。
可满足特定的行业需求,例如用于医疗保健的电子病历 (EMR) 软件或用于银行或保险的财务管理软件。 - 横向 SaaS。可满足所有行业的需求,例如电子邮件和协作软件、人力资源管理 (HRM) 软件,客户关系管理 (CRM) 软件、企业资源计划 (ERP) 软件和网络安全软件。
SaaS 的优势
- 节约成本。SaaS 模型以按需付费的方式出售,因此组织可以最大程度地减少例如许可和安装费用等前期部署成本,。
并可以从小的投资和订阅计划开始,然后根据需要扩展到更多用户和使用案例。 - 使用方便。不论使用任何设备或在任何地点,用户可以通过 Web 浏览器或瘦客户终端访问 SaaS 应用程序,而无需任何安装和维护操作。
而 SaaS 提供商负责管理可用性、性能、持续维护、更新和补丁以及云本身的安全性。 - 运营效率。由于应用程序托管在云中,因此内部团队不必耗费时间处理与基础架构管理相关的任务,并重新关注业务的核心竞争力。
此外,SaaS 几乎不需要用户组织进行任何计算或存储,这有助于节省资源。 - SaaS 服务可以轻松扩展或缩小,并且可以按需访问其他功能。
这可使具有周期性需求、快速增长的组织以及随着需求和预算变化而需要缩减的组织受益。 - 易于集成。
SaaS 产品的普及以及 API 技术的标准化,导致集成和“混搭”激增,这些融合将来自多种服务的数据、演示和功能结合在一起,以满足不断发展的客户需求,并提供最佳的云安全服务组合。
SaaS 安全挑战
一项 2019 年 CyberArk 对 1,000 多家全球组织的调查发现,组织迁移到云的首要原因是安全性。
此外,超过三分之一的受访者认为,与信息安全有关的风险负担全部或部分由云提供商承担。
虽然 SaaS 提供商专注于云基础架构安全,但他们公开表示只能提供部分安全解决方案并强调安全协作。
例如,Microsoft 强调共同责任模型,在云提供商和云客户之间划分安全任务。
Microsoft 指出,无论云部署类型如何,云客户始终负责保护其数据和身份、本地资源及其控制的云组件的安全性。
美国国家安全局也提供了有关共同承担云安全责任的指南。
在 2020 年 1 月的指令中,NSA 指出“[[云服务提供商 (CSP)]负责保护云基础架构,并实施逻辑控制以分离客户数据。
组织管理员通常负责配置应用程序级安全性(例如,对数据的访问授权控制)。
许多 CSP 提供了云安全配置工具和监视系统,但是云客户负责根据组织安全要求配置服务。”
如果发生数据泄露,客户组织将承担责任,并且必须对监管机构、客户和其他利益相关方(而非云提供商)负责。
因此,组织应检查并理解此职责划分,并采取措施保护对 SaaS 应用程序和其他云环境中存储的敏感数据和信息的特权访问。
了解有关 SaaS 的更多信息