头两天看到了写给SaaS创业公司的安全101，内容涵盖了不少，非常值得一读，其实不光是给SaaS企业了，其他公司一样适用。

我摘了几个贴在这里

• 密码共享和密码管理，所有系统都有一个终极的Admin账户，这个账户是共享的，防止这个人的单点故障，同时一旦共享了，那么密码是需要加密共享的，所以要有密码管理。
• 全盘加密，Mac/Windows都有很好的加密方法了，几乎一键加密。
• 买3个以上域名，第一个用于公开的品牌和企业的邮箱。第二个用于自己的SaaS服务，比如googleapis.com之类的。第三个域名用于内部的后勤支持，比如公司vpn等基础设施等等，而且这个域名最好匿名，这样别人就难以猜测了。营销邮件应该使用独立的域名，以防反垃圾系统标记后影响公司业务邮件来往。
• 所有地方都使用HTTPS
• API密钥，每一个客户都应该拥有不同的API钥匙对。
• 物理安全：
  • 使用屏保，并且从屏保恢复需要输入密码。
  • 不要使用U盘，这是入侵的最方便最直接的方法了。
• 企业内部沟通用Slack，客户间沟通用邮件，国内可以适用企业内部用BearyChat，客户沟通用邮件+微信。
• 认证服务支持SSO和OAuth
• 备份
  • 冷备／热备／异地容灾
  • 自动化备份
  • 定期恢复演练
  • 备份加密
• 防火墙和访问权限
  • 服务访问需要认证，比如ElasticSearch, MongoDB, MySQL等
  • Review防火墙设置，只能允许必要的服务和端口开放。
  • 自动扫描。

可以照这个列一个checklist，看看自己公司都做到了哪些？

Last modified on 2017-03-12