写给SaaS创业公司的安全基础知识
头两天看到了写给SaaS创业公司的安全101,内容涵盖了不少,非常值得一读,其实不光是给SaaS企业了,其他公司一样适用。
我摘了几个贴在这里
- 密码共享和密码管理,所有系统都有一个终极的Admin账户,这个账户是共享的,防止这个人的单点故障,同时一旦共享了,那么密码是需要加密共享的,所以要有密码管理。
- 全盘加密,Mac/Windows都有很好的加密方法了,几乎一键加密。
- 买3个以上域名,第一个用于公开的品牌和企业的邮箱。第二个用于自己的SaaS服务,比如googleapis.com之类的。第三个域名用于内部的后勤支持,比如公司vpn等基础设施等等,而且这个域名最好匿名,这样别人就难以猜测了。营销邮件应该使用独立的域名,以防反垃圾系统标记后影响公司业务邮件来往。
- 所有地方都使用HTTPS
- API密钥,每一个客户都应该拥有不同的API钥匙对。
- 物理安全:
- 使用屏保,并且从屏保恢复需要输入密码。
- 不要使用U盘,这是入侵的最方便最直接的方法了。
- 企业内部沟通用Slack,客户间沟通用邮件,国内可以适用企业内部用BearyChat,客户沟通用邮件+微信。
- 认证服务支持SSO和OAuth
- 备份
- 冷备/热备/异地容灾
- 自动化备份
- 定期恢复演练
- 备份加密
- 防火墙和访问权限
- 服务访问需要认证,比如ElasticSearch, MongoDB, MySQL等
- Review防火墙设置,只能允许必要的服务和端口开放。
- 自动扫描。
可以照这个列一个checklist,看看自己公司都做到了哪些?
Last modified on 2017-03-12