盡管軟件即服務(wù)(SaaS)和基礎(chǔ)架構(gòu)即服務(wù)(IaaS)環(huán)境在都包含外包服務(wù)上類似，但是一個(gè)要確保SaaS應(yīng)用安全的客戶戰(zhàn)略卻更為復(fù)雜。因?yàn)镾aaS和IaaS環(huán)境主要的不同在SaaS環(huán)境缺乏控制，確保SaaS應(yīng)用安全戰(zhàn)略也就完全不同。在這篇文章中，我將住處SaaS環(huán)境中的職責(zé)。

在SaaS環(huán)境中，廠商擁有大多數(shù)的控制權(quán)和訪問權(quán)，本質(zhì)上，廠商控制整個(gè)堆棧，從hypervisor到應(yīng)用和安全監(jiān)控。很少?gòu)S商能提供應(yīng)用核心功能之外的訪問，想要令人信服的證明廠商自稱的安全設(shè)計(jì)、實(shí)施和配置是一種挑戰(zhàn)。同時(shí)IaaS服務(wù)客戶采用非常技術(shù)的方法確保其云實(shí)例的安全，SaaS應(yīng)用客戶則采取合同和流程性質(zhì)的方法，著重強(qiáng)調(diào)評(píng)估。

客戶的最初任務(wù)是評(píng)估SaaS產(chǎn)品的安全設(shè)計(jì)、實(shí)施和配置。問題涉及廣泛，從回顧和評(píng)估安全策略到確保SaaS產(chǎn)品之后的代碼是否編寫安全。在評(píng)估一項(xiàng)產(chǎn)品中，目的是理解流程、策略和技術(shù)的成熟度，旨在確保SaaS實(shí)例(以及和應(yīng)用數(shù)據(jù)相關(guān)的)的安全。會(huì)話文檔細(xì)節(jié)，尤其是策略和控制非公開。這個(gè)文檔隨后會(huì)用到。

一旦SaaS實(shí)例是功能，同廠商工作來執(zhí)行最初的法規(guī)遵從評(píng)估。目的不是“捕捉”廠商的任何東西，也不是敵對(duì)的。目的就是確保策略能被村手、控制實(shí)現(xiàn)和功能以及期望可實(shí)現(xiàn)的產(chǎn)出。

評(píng)估完成且完成補(bǔ)充，還需要做很多事。廠商環(huán)境升級(jí)會(huì)導(dǎo)致控制關(guān)閉或者被忽視。你的SaaS廠商可能也在升級(jí)之后失敗或者對(duì)于威脅概況趨勢(shì)響應(yīng)失敗。訂立一些內(nèi)容仍舊重要：要求廠商在改變的環(huán)境中為你升級(jí)，確保評(píng)估在規(guī)則基礎(chǔ)中執(zhí)行。

記住，安全水平應(yīng)該與數(shù)據(jù)敏感性或SaaS應(yīng)用功能重要性相對(duì)應(yīng)。如果SaaS應(yīng)用簡(jiǎn)單的為你的公司菜單服務(wù)，就別設(shè)置的過高。但是如果你計(jì)劃存入企業(yè)戰(zhàn)略運(yùn)營(yíng)計(jì)劃，就要花時(shí)間評(píng)估唱上了，確保他們能夠保護(hù)你的數(shù)據(jù)且也能服務(wù)你本身。