《腾讯 SaaS安全体系落地实践.pdf》由会员分享,可在线阅读,更多相关《腾讯 SaaS安全体系落地实践.pdf(17页珍藏版)》请在三个皮匠报告上搜索。
1、SaaS安全体系落地实践打造客户信任的企业级CRM软件销售易CRM安全负责人 李哲祎目录1.业务场景3.落地实践2.安全需求4.安全展望一、业务场景CRM主要业务场景及价值二、安全需求销售易CRM业务安全需求数据重要且敏感承载企业核心商业机密,对系统抗攻击能力、数据防泄漏能力、安全可配置能力、安全审计能力要求极高。业务数据上下游集成在通过灵活、抽象化的低代码平台能力满足各个企业对CRM业务定制化需求的同时,也给安全性带来巨大挑战。云原生安全架构广泛使用云端IaaS及PaaS能力打造CRM产品。对云原生产品的安全特性及安全专项产品有严格要求安全需求三、安全建设落地实践云安全责任模型图片来源:腾讯
2、安全联合GeekPwn发布的2019云安全威胁报告模型适用于SaaS厂商与CSP之间;同样适用于SaaS厂商与SaaS客户之间;充分利用云基础设施的安全能力,精细化运营;打磨SaaS平台本身的安全能力及模型;销售易安全全景图SaaS数据安全管控环境隔离 仅少数运维人员具有生产服务器操作权限 基于最小化原则分配权限 高风险权限限制权限限制终端管控内部审计认证审核 生产环境与测试开发环境网络隔离 生产数据严禁用于测试用途 办公终端安装安全软件腾讯IOA产品 办公终端数据防泄漏管控 生产操作必须通过堡垒机 堡垒机细粒度日志记录 数据库审计系统 自动化日志审计 按监管要求定期年审 对管理制度及执行情况
3、严格评估 数据影响力评估应用安全生命周期视角 产品安全基线 隐私合规基线需求 安全评审 架构评审设计 安全编码规范 SCA SAST开发 渗透测试 IAST DAST 容器安全测试 配置安全 操作系统安全 镜像安全发布 入侵检测 WAF 容器安全 主机安全运行安全工作贯穿整个应用开发生命周期SaaS产品安全运营案例2021年12月10日 log4j漏洞爆发并被公开1.使用SCA工具检测受影响服务,安排研发升级、测试、紧急发布;2.腾讯云安全产品支持了防护规则,我们快速止损;赢得了宝贵的时间;3.基于腾讯主机安全产品检测能力,及时发现中间件中存在的log4j风险;4.当天起至接下来的两周,越来越多的客户对接人来询问我们对本漏洞的修复情况。Log4j紧急风险处置四、安全建设展望安全建设展望安全标准化、流程化、自动化,最终实现可量化流程化通过合作,解决核心安全问题。如流量主动外连等安全生态加强安全左移建设,强化DevSecOps能力DevSecOps了解更多扫码添加公众号“Neocem销售易”回复关键词“信任”即可下载销售易信任白皮书添加演讲嘉宾个人微信Q&ATHANKS谢谢观看