騰訊 SaaS安全體系落地實踐.pdf

1、SaaS安全體系落地實踐打造客戶信任的企業級CRM軟件銷售易CRM安全負責人 李哲祎目錄1.業務場景3.落地實踐2.安全需求4.安全展望一、業務場景CRM主要業務場景及價值二、安全需求銷售易CRM業務安全需求數據重要且敏感承載企業核心商業機密，對系統抗攻擊能力、數據防泄漏能力、安全可配置能力、安全審計能力要求極高。業務數據上下游集成在通過靈活、抽象化的低代碼平臺能力滿足各個企業對CRM業務定制化需求的同時，也給安全性帶來巨大挑戰。云原生安全架構廣泛使用云端IaaS及PaaS能力打造CRM產品。對云原生產品的安全特性及安全專項產品有嚴格要求安全需求三、安全建設落地實踐云安全責任模型圖片來源：騰訊

2、安全聯合GeekPwn發布的2019云安全威脅報告模型適用于SaaS廠商與CSP之間；同樣適用于SaaS廠商與SaaS客戶之間；充分利用云基礎設施的安全能力，精細化運營；打磨SaaS平臺本身的安全能力及模型；銷售易安全全景圖SaaS數據安全管控環境隔離 僅少數運維人員具有生產服務器操作權限 基于最小化原則分配權限 高風險權限限制權限限制終端管控內部審計認證審核 生產環境與測試開發環境網絡隔離 生產數據嚴禁用于測試用途 辦公終端安裝安全軟件騰訊IOA產品 辦公終端數據防泄漏管控 生產操作必須通過堡壘機 堡壘機細粒度日志記錄 數據庫審計系統 自動化日志審計 按監管要求定期年審 對管理制度及執行情況

3、嚴格評估 數據影響力評估應用安全生命周期視角 產品安全基線 隱私合規基線需求 安全評審 架構評審設計 安全編碼規范 SCA SAST開發 滲透測試 IAST DAST 容器安全測試 配置安全 操作系統安全 鏡像安全發布 入侵檢測 WAF 容器安全 主機安全運行安全工作貫穿整個應用開發生命周期SaaS產品安全運營案例2021年12月10日 log4j漏洞爆發并被公開1.使用SCA工具檢測受影響服務，安排研發升級、測試、緊急發布；2.騰訊云安全產品支持了防護規則，我們快速止損；贏得了寶貴的時間；3.基于騰訊主機安全產品檢測能力，及時發現中間件中存在的log4j風險；4.當天起至接下來的兩周，越來越多的客戶對接人來詢問我們對本漏洞的修復情況。Log4j緊急風險處置四、安全建設展望安全建設展望安全標準化、流程化、自動化，最終實現可量化流程化通過合作，解決核心安全問題。如流量主動外連等安全生態加強安全左移建設，強化DevSecOps能力DevSecOps了解更多掃碼添加公眾號“Neocem銷售易”回復關鍵詞“信任”即可下載銷售易信任白皮書添加演講嘉賓個人微信Q&ATHANKS謝謝觀看