顯而易見地，軟件即服務(wù)(SaaS)正在持續(xù)成長中，也持續(xù)被企業(yè)和家庭用戶所接受。跟據(jù)Gartner在2011年7月所公布的消息，SaaS的營收規(guī)模在2010年達(dá)到100億美元，而且還在成長中。事實(shí)上，Gartner公司預(yù)估在2011年會成長20%以上，來到121億美元。

根據(jù)Gartner對SaaS的定義，軟件”被一個或多個供應(yīng)商所擁有、提供和遠(yuǎn)端管理。供應(yīng)商透過通用的程序代碼和數(shù)據(jù)設(shè)定來提供應(yīng)用程序，而且采取一對多的模式來提供給簽約客戶隨時取用?？梢圆扇∈褂昧坑?jì)費(fèi)，或者其他多種套餐訂閱模式”。而幾乎每個相關(guān)主題的文章或演講會舉的例子都是Salesforce.com，雖然他們是SaaS領(lǐng)域里主要的供應(yīng)商，但是要知道，SaaS有多種不同的類型?？蛻絷P(guān)系管理、人力資源管理、云端備份、協(xié)作平臺、會計(jì)審核平臺、服務(wù)支持中心管理、托管服務(wù)和網(wǎng)頁/電子郵件過濾等等，不勝枚舉。

對于供應(yīng)商和客戶來說，可以明顯的看出經(jīng)濟(jì)效益，用戶使用SaaS的成本，和自己購買軟件加上布署的成本比起來是吸引的多。因?yàn)榧谢奶刭|(zhì)，SaaS供應(yīng)商可以更迅速和容易地去更新以及管理軟件和服務(wù)，可以直接觀察客戶使用模式來改善應(yīng)用程序。而它的可擴(kuò)展性和以量計(jì)價(jià)模式對于客戶和供應(yīng)商來說都極具吸引力。另外，它也提供更有彈性的整合能力和開放界面，許多SaaS供應(yīng)商開始提供社群媒體模式的協(xié)作功能或開放界面(APIs)。

雖然SaaS能夠提供靈活和具有成本效益的應(yīng)用使用環(huán)境來取代傳統(tǒng)模式，但它并非沒有風(fēng)險(xiǎn)。因?yàn)檗D(zhuǎn)移到托管平臺，而不是留在自己內(nèi)部，企業(yè)必然會犧牲許多對于營運(yùn)環(huán)境的控制。特別是在SaaS里，你幾乎只能選擇要上傳或不上傳某些數(shù)據(jù)，而剩下的就不是你能掌控了。但是你還是得為自己的數(shù)據(jù)保護(hù)負(fù)起法律和監(jiān)管責(zé)任。

SaaS環(huán)境下的風(fēng)險(xiǎn)有許多種，而且大多數(shù)都和它所提供的好處相關(guān)。正如前面提到的，你的供應(yīng)商透過某些網(wǎng)絡(luò)分析來了解你對服務(wù)平臺的使用狀況，他們也能夠存取你所有的數(shù)據(jù)，這會產(chǎn)生未經(jīng)授權(quán)存取或被內(nèi)部員工監(jiān)控的風(fēng)險(xiǎn)。

系統(tǒng)的集中化特質(zhì)和多租戶(Multi-tenanted)環(huán)境底下的單一設(shè)定模式意味著，如果有一個漏洞影響到一個客戶，那么很有可能會讓其他客戶也都受到相同的影響。EPSILON數(shù)據(jù)外泄事件就是一個最近的例子，而它也影響了許多使用同一個SaaS供應(yīng)商的Fortune 500大公司。弱點(diǎn)攻擊可能牽涉的范圍很廣。如果沒有正確地設(shè)計(jì)，開發(fā)和設(shè)定的話，多數(shù)SaaS供應(yīng)商會使用的常見協(xié)定和軟件堆疊，例如HTTP、XML / SOAP、JSON、CSS和JavaScript，都有現(xiàn)成并且常常會被利用的漏洞。如果服務(wù)平臺提供更大的彈性來允許客制化和外部整合(一個SaaS廠商的重要賣點(diǎn))，就越有機(jī)會讓一些客戶產(chǎn)生出漏洞，而讓其他廠商也承受被攻擊的后果。這是多租戶環(huán)境下的必然后果。

五個關(guān)鍵的安全問題要問你的SaaS供應(yīng)商：

1 - 滲透測試 - 如何以及多常進(jìn)行整個環(huán)境的滲透測試，是否有能力自己獨(dú)立對部分環(huán)境進(jìn)行滲透測試？如果沒有常常進(jìn)行深入的滲透測試，你就不能得知當(dāng)前安全狀況的全貌。

2 - 數(shù)據(jù)安全 - 在使用資源共享的SaaS供應(yīng)商數(shù)據(jù)中心時，如何對儲存和傳輸中的數(shù)據(jù)進(jìn)行加密？誰可以拿到加密金鑰？是否有做權(quán)責(zé)區(qū)分(separation of duties)，并將加密金鑰和數(shù)據(jù)維護(hù)分開負(fù)責(zé)？供應(yīng)商是否能提供你SAS 70報(bào)告？

3 - 多租戶 - 是否有提供單一租戶托管的選項(xiàng)？還要確認(rèn)單一租戶是否只包括應(yīng)用程序，還是也包括數(shù)據(jù)儲存的部份？

4 - 災(zāi)難復(fù)原 - 當(dāng)發(fā)生災(zāi)難性故障、受到外部入侵或數(shù)據(jù)遺失時，有準(zhǔn)備備份和回復(fù)的程序嗎？備份的數(shù)據(jù)儲存在哪里(再次提醒，需要加密)以及如何有效地回復(fù)？

5 - 用戶驗(yàn)證 - SaaS應(yīng)用程序的登入程序?yàn)楹?？是否使用多因子認(rèn)證？是否可以和客戶正在使用中的認(rèn)證機(jī)制做整合？