我的公司销售应用订阅,它在 Amazon Cloud 上作为 SAAS 托管。我有一些客户不太热衷于将他们的文档上传到我的产品,因为我的产品托管在公共云上。为什么会出现这种对云的普遍不信任?
即使是外行查找 google,也会发现很多白皮书和博客,例如像这样的,它们谈论 Amazon 服务、网络和基础设施的安全性。即使您在自己的服务器上托管任何东西,也很难获得这种安全性(除非您是一家盈利百万美元的公司!)。
当大公司所谓的“安全专家”提出这些疑问时,我想知道我是否遗漏了什么。如果您的服务器具有物理安全性,网络安全性可以保护您免受 DDos、Ipspoofing 等攻击,最后还有无数其他安全性,例如磁盘加密、实例隔离、SSL 等,那么为什么有人会怀疑通过安全通道推送文档/数据到亚马逊托管的应用程序?
我的应用程序是一个利用亚马逊网络服务的 SAAS。目前,该应用程序正在结束开发,我的公司收到了第一个客户。我的应用程序用户需要上传具有合理机密数据的 Word 文档,这些数据稍后会进行分析,结果会保存到数据库中以供日后查看。
现在,我并没有打算为成千上万的客户提供服务。我们想一次只处理一个客户,然后再扩大规模。但是,我们收到的第一个客户是 CMM 5 级公司。他们向我们发送了一份安全审查问卷,询问我们从物理安全、应用程序安全、数据安全和网络安全等各个方面。
我的应用程序可以运行他们整个公司的用户负载——这意味着我不需要超过一个 tomcat 应用程序服务器和一个在任何时间点运行在单个节点上的数据库应用程序服务器来为这个客户端提供服务。所以,如果我确保以下——
这听起来比
我们是一家试图与这家价值数十亿美元的大公司打交道的小企业。交易规模虽小,但未来业务潜力巨大。我们在配置 amazon VPC 并针对潜在威胁对其进行加固方面没有丰富的经验。此外,聘请具有创建完美 VPC 环境专业知识的人员将花费自己的宝贵时间和金钱。此外,在这一点上,可能我听起来更像是一个 ASP 而不是 SAAS。(我想,这就是我们现在开始赚钱以使公司生存下去的目的)。
我有几个问题-
从 VPC 开始有意义吗?如果我预计在不久的将来不会增加负载,如果只有一台机器可以完成甚至说两台机器,那么 VPC 是不是有点矫枉过正?如果我给客户一个专用的 EC2 实例,访问过滤到他们的公司 IP 范围,只打开 https 端口,并且客户数据一直加密,那么这不是比创建 VPC 和管理安全性更简单的方法吗?许多级别(网络、机器级别等)。
另外,如果我必须开始使用 VPC,我是否应该将 VPC 安全性外包给可以为我处理此问题的公司,而我应该只专注于应用程序开发?有做这个的好公司吗?
我们是一家小型初创公司,试图迎合我们的第一个客户。目前,整个硬件设置都在亚马逊云上(很快将移至 VPC)。我必须向客户估计我的公司可以提供什么样的正常运行时间保证。虽然亚马逊提供低于“99.95% 但等于或大于 99.0%”,但我认为将我的应用程序升级、修补和其他维护活动考虑在内是有意义的,并采用更小的估计,比如 95% .
我认为我的问题更笼统地说,就 SLA 而言,对于与第一个客户打交道的初创公司而言,什么是更安全的承诺。考虑到我们在这个领域不是一家成熟的公司,我的客户(这是一家价值 10 亿美元的公司,他们为每笔交易向我们支付费用)听起来可以接受 90-95% 之类的东西吗?