就微盟事件答明道云用户

文/明道云创始人任向晖

各位明道云用户

昨天我们收到了多位用户的殷切提问,微盟删库这样的事情会不会发生在明道云?我们的数据在明道云上安全吗?今天又有评论文章宣称99%的SaaS企业都有安全隐患。我觉得有必要专门撰文回答一下相关疑问。

首先我要说明,微盟这样的完全删库事件,无论在SaaS,还是其他云计算相关行业的今天,都是极其罕见,几乎不可能发生的事情。我们不了解那位运维员工到底发生了什么特殊的精神状态,但无论什么情况都不应该发生这样的结果。

包括明道云在内的大多数成熟SaaS企业都会建立科学的部署架构,内部分工和运维规范。如果没有这些规范存在,组织无法获得任何第三方的质量认证。(明道云同时获得了ISO27001和国内的计算机安全等级保护二级认证),我尽量用易懂的文字来说明相关举措:

1.高可用的架构

通过几乎实时同步的主从服务关系(应用和数据都可以实现),让单一服务出现问题的时候可以瞬间切换到其他镜像服务。这个架构也可以用来均衡不同访问路由的负载。

2.在异地增加冷备份

这个冷备份虽然有一定的延时,但是可以起到关键的数据保全作用。为了足够的安全,冷备份应该不止一份。为防范服务商系统性故障,冷备份最好分布在不同的云主机服务商。明道云的数据备份分布在UCloud, 阿里云和腾讯云三个服务商。虽然冷备份非常偶然地被使用,但SaaS公司都在支付这些冗余存储的成本。

3.最关键的管理分权

原则上,生产服务器的运维管理权只限于极少数人即可,因为研发团队并不需要访问真实的生产环境,他们在模拟的研发环境中调试即可。计算机安全体系允许将主机运维、数据库管理和其他系统管理的权限全部分开,分别授予不同的人员,并且所有的访问行为均会保存日志,就连日志数据也是可以分权管理的,这使得单个人破坏全部服务的可能性为0。微盟事件的主要原因肯定是疏忽在这个环节。

至于评论文章说99%的SaaS都有安全隐患,这是偷换了一般安全隐患和安全灾难的区别。计算机网络和软件的漏洞的确是常见的,但它们的破坏力非常有限,即使是严重的D0级(需要当天立刻修复)缺陷也不至于造成完全的数据灭失后果。

明道云即将发布私有部署版。理论上,我们应该不再担心客户的疑虑。因为数据和应用都在客户自己的服务器上了,好像这个问题就消失了。但是,私有部署版如果不建立内部的运维规范和必要的高可用架构,它一样存在风险。只是这个风险责任就在客户使用方了。因此,我们在私有部署版上依然会提供运维辅助工具,确保私有部署版的产品也可以完成运维安全巩固。

没有SaaS天生安全,安全需要从业者的持续投入,也需要遵循这个行业的基本规范。私有部署也一样。从统计上看,SaaS企业的数据安全记录要远远高于企业自建系统,毕竟投入不是一个级别。在微盟事件之前,我们行业至少也运营了六七年,几乎没有发生过这个级别的事故。我们把行业真实的一面告知客户,希望大家能够放心。不要因为孤立的微盟事件而否定整个行业。也希望明道云用户能够对我们有信心。

0

关于明道云

上海万企明道软件有限公司创建于2013年8月,总部在上海,创始人为SaaS行业知名人士任向晖先生,是一家专注于业务搭建系统明道云(原称明道)开发和运营的科技企业。团队有近百人,在一线城市均设有分公司。目前融资至B轮,企业曾荣获Fast Company中国创新公司50强,创业邦企业服务50强等奖项。

明道云(www.mingdao.com)是一个APaaS平台,帮助企业快速搭建个性化业务应用,用户不需要代码开发就能够搭建出用户体验上佳的销售、运营、人事、采购等核心业务应用,打通企业内部数据,也能够通过API和Webhook和其他系统对接。明道云的自动化工作流还可以实现审批、填写等控制流程和业务自动化。如果用户企业使用钉钉或企业微信,也可以将明道云搭建的应用直接对接到工作台上。

明道云可以帮助企业大大节省软件费用、降低定制开发的成本和时间,拥有一个极度灵活和易用的数据中台,并提高整体数字化和智能化水平。

明道云已有上百万用户使用,付费企业超过4000家,典型包括:摩拜单车、清华大学、南航、银联、京东云、苏宁、瑞幸咖啡等。点击了解更多