云计算解决方案可让企业快速部署服务以及降低总体拥有成本，这也是为什么首席信息官(CIO)转向软件即服务(SaaS)来提供有效高效服务的原因。

然而，尽管云计算解决方案有很多优势，但企业还必须考虑部署SaaS的安全影响。成功云计算转型的关键是在转移到SaaS解决方案时使用适当的安全控制。

 

　　部署SaaS最佳做法

部署SaaS并不会自动保证整体基础设施的安全性，企业应该查看需要保护的服务的安全控制情况。例如，你必须了解针对客户关系管理(CRM)解决方案的攻击的特定后果。同时，你必须确保你的安全信息和事件管理(SIEM)解决方案能够从这个CRM中收集数据。

同样重要的是管理联合身份，因为很多SaaS解决方案要求不同类型的身份验证。强迫用户输入多个密码并不足以构建正确的安全文化。

IT经理通常会基于不现实的战略决策来决定是否部署云计算交付模型。但如果公司决定不允许其员工利用云计算服务，可能为时已晚。云计算服务已经在企业功能中使用，例如很多库使用云端应用程序接口(API)，而员工早就开始使用云应用。

　　复杂的生态系统

云应用的生命周期必须包含动态安全分析，这些应用是复杂生态系统的一部分。它们可能今天很安全，第二天就布满漏洞，这主要取决于生态系统的状态。

企业应该专注于向服务安装安全控制，确保部署这些控制的技术不会依靠交付模型。否则，你可能会被迫部署不是基于战略决策的技术和业务模型，只是为了挽救以前的投资。为内部部署和云服务提供相同的安全控制是良好安全策略的关键因素。

　　SaaS提供商的责任

应用是恶意攻击者执行网络攻击的窗口，因此，安全应该成为这些应用开发周期的一部分。SaaS提供商需要不断测试他们的产品，并根据安全响应专家制定的流程和最佳做法对漏洞作出响应。

供应商还应该在非常坚实的基础设施即服务(IaaS)以及平台即服务(PaaS)上提供SaaS，最后，SaaS提供商还必须遵守隐私和数据管理法规。

(责任编辑：安博涛)