盡管軟件即服務（SaaS）和基礎(chǔ)架構(gòu)即服務（IaaS）環(huán)境在都包含外包服務上類似，但是一個要確保SaaS應用安全的客戶戰(zhàn)略卻更為復雜。因為SaaS和IaaS環(huán)境主要的不同在SaaS環(huán)境缺乏控制，確保SaaS應用安全戰(zhàn)略也就完全不同。在這篇文章中，我將住處SaaS環(huán)境中的職責。

在SaaS環(huán)境中，廠商擁有大多數(shù)的控制權(quán)和訪問權(quán)，本質(zhì)上，廠商控制整個堆棧，從hypervisor到應用和安全監(jiān)控。很少廠商能提供應用核心功能之外的訪問，想要令人信服的證明廠商自稱的安全設(shè)計、實施和配置是一種挑戰(zhàn)。同時IaaS服務客戶采用非常技術(shù)的方法確保其云實例的安全，SaaS應用客戶則采取合同和流程性質(zhì)的方法，著重強調(diào)評估。

客戶的最初任務是評估SaaS產(chǎn)品的安全設(shè)計、實施和配置。問題涉及廣泛，從回顧和評估安全策略到確保SaaS產(chǎn)品之后的代碼是否編寫安全。在評估一項產(chǎn)品中，目的是理解流程、策略和技術(shù)的成熟度，旨在確保SaaS實例（以及和應用數(shù)據(jù)相關(guān)的）的安全。會話文檔細節(jié)，尤其是策略和控制非公開。這個文檔隨后會用到。

一旦SaaS實例是功能，同廠商工作來執(zhí)行最初的法規(guī)遵從評估。目的不是“捕捉”廠商的任何東西，也不是敵對的。目的就是確保策略能被村手、控制實現(xiàn)和功能以及期望可實現(xiàn)的產(chǎn)出。

評估完成且完成補充，還需要做很多事。廠商環(huán)境升級會導致控制關(guān)閉或者被忽視。你的SaaS廠商可能也在升級之后失敗或者對于威脅概況趨勢響應失敗。訂立一些內(nèi)容仍舊重要：要求廠商在改變的環(huán)境中為你升級，確保評估在規(guī)則基礎(chǔ)中執(zhí)行。

記住，安全水平應該與數(shù)據(jù)敏感性或SaaS應用功能重要性相對應。如果SaaS應用簡單的為你的公司菜單服務，就別設(shè)置的過高。但是如果你計劃存入企業(yè)戰(zhàn)略運營計劃，就要花時間評估唱上了，確保他們能夠保護你的數(shù)據(jù)且也能服務你本身。