在过去十年左右的时间里，软件即服务已经成为一种无处不在的许可和交付模式，对于终端用户和开发者来说都有无数的实际好处。然而，和其他几乎所有的许可模式一样，它也有缺点，其中一些缺点是SaaS供应商需要为其所有（或大多数）用户依赖某种集中的托管系统这一事实所特有的。

自然，这有可能使SaaS的安全问题复杂化，在这种情况下，一个单一的漏洞可能会损害大量的敏感用户数据。然而，现代SaaS的使用对数据加密和安全风险极为重视，以至于技术不一定是最常见的故障点。

事实上，这里争论的关键点是（正如通常的情况一样）与SaaS应用的最佳实践有关。当代的安全措施在大多数情况下工作得足够好，但如果用户的敏感数据没有得到最谨慎的处理，恶意的攻击很可能使灾难恢复变得几乎不可能。

SaaS安全的核心

使用SaaS功能的核心是将一个人的业务的某些关键功能外包出去。虽然SaaS应用程序涵盖了极其广泛的利基市场、服务和功能，但它们的主要吸引力在于它们是一个集中的、按需使用的组件，可以作为一个特定任务的本地实施和/或解决方案的替身。

不言自明的是，SaaS应用程序在有关软件的中央主机和终端用户（即你）之间携带了大量的数据。这些数据需要特权访问管理，特别是在关键业务的SaaS应用程序的情况下。如果所采取的安全措施失败，这种假设的数据传输就会像人们所期望的那样面临危险，但奇怪的是，服务提供商的SaaS安全系统极不可能被突破。

在实践中，SaaS安全几乎完全取决于SaaS的使用，以及代理商本身是否遵守了指定的最佳实践。对于SaaS安全来说，最佳实践既需要技术流程，也需要对人的因素进行培训，因为两者都同样重要。

关于云计算和安全风险

由于SaaS应用程序有效地运行在云环境中，客户的数据不断漂浮，理论上会受到潜在数据泄露的影响。然而，在几乎所有的情况下，适当的安全措施可以将云计算部署所带来的风险降到最低。

事实上，一个系统的加密能力很少是成功盗取数据的原因。相反，在确保SaaS应用程序的安全时，主要关注的是用户认证。谁可以访问什么数据？他们有哪些方式可以将关键的网络安全功能泄露给恶性行为者？懒惰的安全实践会不会普遍暴露出活跃的SaaS服务？

这些是致力于优先考虑SaaS安全的安全团队需要为他们的SaaS安全检查表提出的一些问题。那么，关键的启示是，在这个特定的链条中最薄弱的环节是--人的因素。

SaaS安全。实践中的最佳做法

考虑到上述情况，SaaS安全是一个双管齐下的问题。对于从事SaaS应用的安全团队来说，必须通过（可选择的）安全功能的技术实现以及用户实例化来维护数据的完整性，其中特权身份--在SaaS应用上工作和使用的实际人类--将他们拥有受损证书的概率降到最低。

由于各国的法规遵从性不同，而且基础设施即服务和其他版本的SaaS根据总部的设立而得到不同的对待，因此几乎不可能提供一个真正深入的最佳SaaS安全实践概述。

取而代之的是，以下是一个概括性的功能清单，在讨论SaaS安全时应该牢记。无论是从SaaS提供商的角度，还是从那些可能使用有关SaaS应用程序的人的角度来看：了解这些要素是关键，通过适当的渠道实施这些要素，将大大增加整个SaaS的安全性。

数据安全保护

用最简单的术语来说，所有SaaS供应商都应该有各种方法来保护数据安全不受侵犯。在这种情况下，通过传输层安全证书（SSL/TLS）应用的数据加密将是一个坚实的基础，但愿意更进一步的SaaS供应商应考虑首先为客户提供控制其关键加密方法的选项。

理想情况下，服务提供商应该让他们的安全团队为他们所有的SaaS服务启用客户端和服务器端加密。然而，他们如何做到这一点将取决于所提供的具体SaaS应用。目标很简单：云基础设施需要从上到下进行全面加密。

灵活性和可扩展性

与同等服务的本地实现相比，aaS应用实例有一个非常具体的优势：根据用户的具体需求，它们实际上是可以无限扩展的。这些SaaS资源显然是一个有用的工具，无论我们讨论的是横向还是纵向可扩展性。然而，拥有自适应的SaaS产品在安全方面也是有用的，因为它减少了成功的DDOS攻击的风险。

SaaS供应商越是能使其平台多样化和规模化--最好是通过使用自动化工具--它成功维持业务连续性和保护公共云的几率就越大。这种安全模式也依赖于已经到位的威胁检测。SaaS公司保持态势感知以最大限度地提高整个数据的安全性是至关重要的，这一点在服务的可扩展性方面也是如此。

安全和权限管理

对于SaaS供应商来说，牢牢掌握其SaaS应用程序的后端访问权限是绝对关键的。尽管它不符合 "黑客 "的根深蒂固的形象，但社会工程是一个恶意分子可能依赖的最强大的工具之一。SaaS供应商需要有一个中央身份提供者，如果有需要，可以在瞬间启用或禁用SaaS控制台访问。

除此之外，多因素认证对所有现代SaaS平台都是非常有用的，因为它减少了给定的云服务沦为随机小规模数据泄露的牺牲品的几率，而这些数据泄露可能每隔一段时间就会发生。通过仔细和有意识地通过访问权限管理整个企业，SaaS供应商可以更容易地保护数据，并为其代理和用户提供增强的认证。

网络控制

对涌入和流出数据中心的网络流量进行控制，对当代SaaS解决方案来说是极其重要的。所谓的周边防御方法使用可靠的工具清单来过滤未知的和不熟悉的流量的恶意因素。用防火墙筛选所有通过的流量，似乎是一种简单易行的方式，以满足SaaS使用的监管合规性，但这是一种久经考验的安全方法，不应该被忽视。

用先进的IDS/IPS系统（即入侵检测系统）来加强防火墙，将为云供应商增加另一层安全。这些功能在流量通过防火墙后对其进行认证，分析其是否有可疑的活动。

数据加密是第一步

提供更大的客户价值的能力对SaaS供应商来说是积极的关键。特定的SaaS用例承诺了本地服务不可能实现的易用性，更不用说将可能非常昂贵的业务费用卸载到相对便宜（但同样有效和可靠）的云服务的能力。

然而，正如我们在这篇文章中所显示的，使用适当的认证方法和最新的SSL/TLS安全只是一个开始，因为关于确保一个人的SaaS安全的最佳实践几乎延伸到了操作的每个其他领域。

同样重要的是要注意，这里概述的做法只是对需要付诸实施的功能的概括。SaaS应用彼此之间有很大的不同，这将取决于安全领导者如何在个案的基础上应用它们。

安全需要成为SaaS供应商的一个主要考虑因素

作为一个SaaS供应商，安全对你来说也是一个主要的考虑因素--它应该是--所以，每隔一段时间检查一下一切是否正常可能会有好处。加密密钥是否已经到位？登录凭证是否安全无恙？如果开发过程最终缺乏，是否应该重新关注不同的安全相关项目？

尽管大多数现代SaaS选项代表了许多功能的逻辑演变，这些功能以前必须是本地的和/或由雇主永久支持的，但它们也是恶意分子的主要目标，他们可能希望打击数据的母源。一个流行的SaaS所涵盖的信息范围简直让人摸不着头脑，保持它的安全是一项令人难以置信的重要任务，遗憾的是，它远没有听起来那么有魅力。

尽管如此，通过从一开始就依靠既定的最佳实践，将SaaS转向一个不同的方向应该永远不会发生，你和你的用户都会很高兴地知道，数据泄露几乎是一个完全没有问题的整体。