軟體即服務(SaaS)是一種軟體授權及分發模型,服務供應商利用該模型託管應用程式,並透過網際網路提供給客戶。SaaS也被稱為「隨選軟體」、「託管軟體」及「Web軟體」,是雲端運算三個主要組成部分之一,也是數位化轉型的基本元素之一。其他雲端運算組成部分為基礎設施即服務(IaaS)及平台即服務(PaaS)。
大多數SaaS產品採用多租戶架構。這意味著所有用戶都獲得同一版本的應用程式。客戶可更改組態設定來取得最佳化的功能及外觀,也可針對其特定用例自訂軟體組件,有關組件在升級後可加強維護。但是,用戶不能更改SaaS應用程式的通用基礎設施及程式碼。
SaaS 的範例
SaaS分為兩大類:垂直型SaaS及水平型SaaS。
- 垂直型SaaS。
滿足產業的特定需求,例如醫療業的電子病歷(EMR)軟體或銀行或保險業的財務管理軟體。 - 水平型SaaS。滿足跨越所有產業的需求,例如電子郵件及協作軟體、人力資源管理(HRM)軟體、客戶關係管理(CRM)軟體、企業資源計劃(ERP)軟體及網路安全軟體。
SaaS的優點
- 節省成本。 SaaS模型的訂閱使用為按需付費,因此組織的前期部署成本極少,例如授權及安裝費用。他們可以從小額的投資及訂閱方案開始,然後根據需要擴展至更多用戶及用例。
- 使用方便。 用戶可透過Web瀏覽器或精簡客戶端終端從任何裝置或位置存取SaaS應用程式,而無需自行安裝及維護。SaaS供應商負責管理可用性、性能、持續性維護、更新及修補程式以及雲端本身的安全性。
- 運作效率。 由於應用程式在雲端上託管,內部團隊可省卻管理基礎設施的大量時間,轉為專注於業務的核心競爭力。此外,SaaS幾乎不需要用戶組織進行任何運算或儲存,有助於節省資源。
- SaaS服務可輕易擴縮,並可按需存取其他功能。這對於需求有週期的組織、快速成長的組織以及需要隨著需求及預算而縮減規模的組織大有助益。
- 輕鬆整合。SaaS產品的普及,加上API技術的標準化,已造成整合及「混合服務」急速增加,它們結合來自多種服務的資料、顯示形式及功能,以滿足不斷變化的客戶需求並提供一流的雲端安全服務。
SaaS的安全挑戰
針對1,000多家全球組織進行的 2019年CyberArk調查 發現,企業組織遷移至雲端的首要原因是安全性。此外,超過三分之一的受訪者認為雲端供應商會承擔全部或部份的資安相關風險負擔。
雖然SaaS供應商十分重視雲端基礎設施的安全性,但他們公開表示,他們只能提供部份的安全解決方案並強調安全協作。例如,微軟公司強調 共享責任模型,即安全任務由雲端供應商及雲端客戶共同分攤。微軟指出,無論哪一種雲端部署,雲端客戶始終有責任保護其資料及身份、本地端資源及其控制的雲端組件之安全性。
美國國家安全局(NSA)也提出有關共享雲端安全責任的指南。
NSA在 2020年1月的指令中指出:「 [雲端服務供應商(CSP)]負責保護雲端基礎設施,並採取邏輯控制來隔離客戶資料。組織管理員通常負責配置應用程式級安全設定(例如資料授權的存取控制)。許多雲端服務供應商會提供雲端安全配置工具及監控系統,但是雲端客戶負責根據組織安全要求配置服務設定。」
若發生資料外洩,客戶組織須承擔責任,並且必須接受監管機構、客戶及其他利益相關方(而非雲端供應商)問責。因此,組織應深入瞭解職責劃分,並採取措施保護儲存於SaaS應用程式及其他雲端環境內的敏感數據及資訊的特權存取。
深入瞭解SaaS