白皮书 ： 真正的 SaaS 宣言

定义软件即服务的真正好处 真正的SaaS宣言定义软件即服务的真正好处 SaaS交付模式的演变 Contents 随着时间的推移，商业软件交付模型已经发生了巨大的变化。在企业计算的曙光时期(在60年代和70年代)，企业建立了数据中心，并聘请程序员编写“本土”业务应用程序，并聘请操作员在自己的数据中心内运行应用程序。作为企业计算的采用 继续爆炸，本土业务应用程序的作者向上、向上和/或从组织中移出，维护内部部署的成本，本土应用程序继续呈指数级增长。 在80年代和90年代，创新者开始生产现成的商业（COTS）软件，这些应用程序通常提供70％至80％的业务逻辑（企业之间一致），并向消费者提供年度维护和支持费，费用从原始许可费的12％到18％不等。剩余的20%到30%的业务逻辑通常与独特的业务差异相关，由内部IT人员编写和维护，作为COTS解决方案的定制。 自定义的维护和支持是软件消费者的责任，并且在供应商发布新版本的软件时经常会中断。这导致执行升级的成本很高-这可能需要数月甚至数年的时间- 通常超出预算，对业务几乎没有优势。结果是企业推迟了升级，并在多个版本的软件上破坏了客户社区。尽管COTS/许可证模型在软件生产中提供了规模经济，但底层基础设施的不断发展导致了软件生命周期，从而创建，维护和死亡（生命周期结束）。 有时与术语互换使用根据需求，SaaS应用程序通常允许客户使用他们想要使用的软件，而无需高成本 安装、操作和升级任何软件或硬件。换句话说，供应商提供的服务可以通过Iteret订阅和访问，而不是客户必须自己许可，安装和管理的物理产品。SaaS提供了显著更低的成本和更具可扩展性的计算能力，因为IT资源（开发人员、管理员、操作员）由组织整合和共享，在提高效率的同时仍然保持严格的数据安全措施。 本文档的目的是阐明SaaS的目标，它是如何工作的，以及在评估SaaS解决方案时什么是重要的。 SaaS的区别 由于SaaS通常是由交付模型而不是底层技术定义的，因此许多托管其应用程序并允许通过Iteret访问的软件供应商将自己归类为SaaS供应商-这导致了SaaS周围的许多混乱。尽管如此，“托管在云中”并不是SaaS的代名词。尽管SaaS解决方案在技术上托管在云中，但它们具有托管解决方案不支持的次要关键功能：SaaS供应商支持所有客户的单个代码库，也称为多租户。 运营内部解决方案的成本是站不住脚的。进入云计算”，使用托管在Iteret上的远程服务器网络来存储，管理和处理数据，而不是在本地服务器或个人计算机上。“云计算提供了显著更低的成本和更可扩展的计算能力，因为计算资源由组织整合和共享，在提高效率的同时仍然保持严格的数据安全措施。云计算可以降低拥有和操作本地系统的成本，但不会改变维护、升级和发展COTS软件的成本。对于消费者或供应商来说，跨多个版本的开发和支持资源的碎片化是软件即服务(SaaS)交付模型的来源。在SaaS交付模式中，软件供应商不仅承担托管软件的成本，还承担维护和升级软件的成本。 换句话说，SaaS供应商为所有客户开发、支持和部署单一版本的软件，使供应商能够专注于持续的增值创新。 托管其本地解决方案并将其称为SaaS的传统本地供应商不提供SaaS的成本节约，因为他们花费许多资源来维护自己软件的多个版本以及广泛的支持基础设施矩阵。由于他们的客户通常在任何给定时间使用不同的版本，因此这些托管供应商也无法像SaaS供应商那样共享基础架构和运营资源。 因此，他们的客户无法从SaaS解决方案提供的共享资源的效率中受益，而最终通常需要支付维护、升级和自定义的费用。 当供应商能够提供其软件的单个版本并服务于全部使用该版本的多个客户(租户)时,存在多租户架构。 一个合适的类比是电网：单个发电厂可以支持许多客户，这些客户可以以他们喜欢的任何方式使用电力。发电厂根据客户的使用情况分别向每个客户收费，但是对工厂的任何改进都会同时使所有客户受益。 SaaS与托管和内部部署解决方案不同，因为： •客户共享单一版本的软件。•客户共享IT基础架构和运营资源。•新功能或性能增强可同时使所有客户受益。•更新由供应商管理，不收取额外费用。•数据中心操作、应用程序和数据具有世界一流的安全性。•服务级别保证包括响应时间、正常运行时间、备份和灾难恢复。•它提供持续的维护和性能调整。•没有任何永久许可证(即付即用定价)。 单租户或托管解决方案通常通过多实例实现来实现。这将 类似于选择不利用电网，而是建立和维护单一电源 每个客户的工厂。虽然每个客户仍然可以获得所需的电力，但他们不会从共享基础架构中获得好处。这样，多租户使利用共享硬件和软件资源的SaaS客户受益。托管的单租户解决方案提供商无法提供相同的组优势。 多租户是确定供应商提供SaaS服务还是托管服务的重要特征。多租户的主要优势包括： •相同的版本-所有客户都可以使用相同版本的软件。多租户 解决方案在每个租户之间提供“安全墙”，因此每个客户都可以安全地隔离并保护其免受其他客户的意外访问。没有客户数据在另一个租户中存储或访问，并且仅允许通过验证的用户身份验证进行访问。多租户的规模经济本质上是吸引客户使用SaaS解决方案的首要因素。•创新-客户始终可以访问其软件提供商提供的最新创新，而不会有与旧版本隔离的风险。可以访问创新，因为SaaS供应商仅维护软件的一个版本，并且可以同时升级所有客户。这还允许客户在每次更新时发布新功能时更快地使用创新。 确保特定供应商的解决方案满足所有这些特征是确认您正在与真正的SaaS供应商打交道的最佳方式，该供应商可以为您提供现代SaaS解决方案的好处。这些特征将在以下各节中更详细地讨论。 为什么多租户很重要 在评估SaaS供应商时，您应该寻找的一个关键术语是多租户，这对于使供应商能够提供SaaS应用程序的好处至关重要。了解托管解决方案的陷阱以及为什么它们不是真正的SaaS也同样重要。 •配置，而不是自定义-该系统可以被配置为适应单个客户的需求而不影响其升级路径。为了为许多客户提供服务，大多数多租户SaaS解决方案提供配置选项以满足不同的需求。与许多内部部署解决方案提供的昂贵的自定义不同，配置是与应用程序功能分开捕获的，因此可以在不危及客户配置的情况下进行持续更新。配置功能内置在系统中并定期进行测试，SaaS供应商通常会保证配置选项在任何更新中都能正常工作。内部定制没有任何此类保证。 任何对话都不必从“您使用的是哪个版本？”或“您正在运行的是什么硬件配置？”开始。所有客户都可以更轻松地集思广益，共同制定有助于推进解决方案的想法。 SaaS供应商与托管供应商 提供本地和托管解决方案的供应商可能不支持多租户，这意味着他们将消耗支持多个版本的资源，而不是推动创新。即使他们确实支持多租户，如果托管解决方案受到供应商内部部署产品的发布时间表的限制，他们的托管客户也可能需要等待几年才能获得新版本。如果您正在考虑SaaS解决方案，您应该通过询问以下问题来仔细研究您是否能够获得真正的SaaS的好处。 •客户社区-客户可以更轻松地讨论最佳实践，并与其他客户分享部署的想法和解决方案，因为每个人都使用相同版本的软件。 在评估潜在的SaaS提供商时，仔细研究声誉和安全能力非常重要。在选择将处理个人身份信息(PII)或财务数据的供应商时，强烈建议确保信息安全是其核心能力之一。选择的提供者在他们的安全实践中应该是透明的，并且能够展示他们使用多层安全的深度防御方法和方法。 如果供应商正在销售多租户SaaS解决方案以及内部部署解决方案，请询问供应商 他们认为这两种方法都会对你更有效。一家销售这两种方法的公司往往会有一个“分裂的个性”，因为销售到任何单一模式都会对其他收入模式产生不利影响。许多 这些供应商依赖于与内部部署或单租户托管解决方案相关的许可证和支持收入，通常会导致建议使用云解决方案来增强内部部署解决方案，而不是替换它们。这将导致大多数客户的系统成本更高，因为没有关闭或重新利用传统基础设施，但会产生云解决方案的额外成本。 保护客户数据。其中一些层可能包括： •组织安全-建立和培养安全意识文化。•现场安全-用于托管生产和非生产环境的数据中心设施的物理安全性。•通信安全-确保数据传输安全，并监视网络是否有入侵和/或漏洞的迹象。•应用程序安全-确保安全性是软件开发过程的核心，并确保第三方在功能发布之前对应用程序进行渗透测试。应用程序提供的功能使客户能够建立职责分离，维护适当的基于角色的权限，并深入了解详细的审计报告也至关重要。•数据库安全-所有客户数据在静止时都应使用具有客户唯一加密密钥的强加密(AES256)进行加密。这包括备份中的数据。 因此，在考虑SaaS解决方案时，获得SaaS模型所提供的所有好处的唯一方法是确保供应商利用多租户平台并完全致力于SaaS交付模型。 SaaS安全 SaaS交付模式的成功在很大程度上取决于服务提供商保护每个客户的业务和员工数据的机密性、可用性和完整性的能力。由于并非所有信息安全计划都是平等的，因此考虑SaaS供应商的公司将选择具有最强信息安全能力的供应商的最高优先级至关重要。 在SaaS的早期，安全性成为最大的问题之一，因为SaaS交付模式相对较新，公司在自己的防火墙外存储敏感数据感到不舒服。然而，随着SaaS模式的成熟和发展，从客户关系管理软件到战略采购再到人力资本管理和财务，它已经被证明是高度稳定的，在许多情况下，比传统的内部部署解决方案更安全。 您的SaaS供应商应该能够提供有关每个主题的详细信息安全文档。但是在进入SaaS安全性的技术细节之前，请考虑两个问题： 关于服务组织控制和国际标准化组织的更多信息 服务组织控制（SOCs）是一系列会计准则，向客户审计师和服务审计师提供有关服务组织的控制措施的信息。SOC1报告描述了服务组织对财务报告的内部控制。 1.供应商是否有可靠的声誉？ 评估SaaS解决方案安全性的最佳方法是声誉。公司的领导团队以及当前客户对供应商的评价很重要。2.供应商的客户保留率是多少？尽管可能不可能与所有供应商的客户交谈，但保留率非常有用。理想情况下，保留率应在较低的保留率应该对供应商的可靠性提出严重的问题。 SOC2报告侧重于与安全性，可用性，处理完整性，机密性和隐私相关的控制。任何托管个人身份信息的云供应商都应具有SOC2-其中包括 许多或所有的信任原则-证明他们致力于保护敏感的客户数据。 国际标准化组织（ISO）27001是一种全球公认的基于标准的安全方法，概述了 组织的信息安全管理系统(ISMS)。它最初由ISO和国际电工委员会（IEC）于2005年发布，并于2013年更新。ISO27001安全控制由第三方严格定义和审核。ISO27018是ISO/IEC于2014年发布的补充标准，其中包含适用于处理PII的云服务提供商的指南。 当与潜在的SaaS供应商谈论安全性的更多技术方面时，您应该请求以下方面的详细信息： •数据保护-管理和保护数据的收集、传输和存储。个人身份或财务信息等敏感数据的加密是任何数据保护策略的关键组成部分。•身份验证-如何授权客户和外部Web服务访问和处理系统中的数据。•数据存储-客户应随时对其数据进行安全访问；供应商应在紧急情况下制定数据备份和恢复政策和程序。•服务级别协议(SLA)-描述供应商对客户的责任的文档，包括数据保护、客户权利和供应商责任。•认证-SaaS供应商应该能够提供的SOC1、SOC2和/或SOC3报告；如果供应商还可以显示ISO27001和27018认证，这表明对数据安全的特殊勤奋。 SaaS的TCO和ROI SaaS解决方案之所以具有吸引力，部分原因是它们可以提供潜在的成本优势。但是部署SaaS解决方案真的可以为您的公司节省资金吗？与大多数情况一样，答案可能是。由于每个企业都有不同的需求，每个供应商都提供不同的解决方案，因此需要进行一些分析才能确定SaaS解决方案是否可以通过其提供的内容提供实际