当云计算涉及到通过软件服务交付时，必要的保护措施是独立的软件提供商首要关心的事情，他们应该从所有接入点、用户以及各个角度保护他们的SaaS基础设施。

　　但需要注意的是并非所有的云计算都是安全的。在大众市场上，可能会有相对廉价的云存储或者云计算服务，但都缺乏较高的企业级安全措施。

　　对安全的需求度

　　如果你的客户需要部署严密的安全措施，相同的控制必须在云中进行复制。如果你的数据或者声誉因为安全而受到损害，那么通过SaaS交付节约的成本对企业来说并没有太多的价值。

　　当你接受提供商的云服务时，所要考虑的不仅仅是云本身的安全保护，还要考虑网络和物理设施安全。

　　云安全

　　当你想把云基础设施进行外包时，你将会希望找到一个在网络、操作系统以及最佳实践等方面都有丰富经验的服务提供商。加密和VPN（VirtualPrivateNetwork）服务也是必须要考虑的。卖方应提供相应的咨询服务，无论是自己提供还是通过合作伙伴，都应该提供安全风险评估、入侵测试、威胁管理服务和补救措施。

　　似乎被忽视的领域是web应用防火墙服务，这些服务可以帮助拒绝无效的请求和保护应用程序。

　　开发商和建筑师都说他们的网络是安全的，因为他们使用了加密技术。加密保护了你应用程序的数据，但他并不能阻止不必要的请求。应用防火墙可以为你的应用程序创建一个“护城河”，可以阻止正在处理的无效或者是不适当的应用程序请求，从而节省了CUP资源和记忆周期，更重要的是防止了数据泄漏。

　　最后，你应该了解你的服务供应商如何应对恶意攻击，你的供应商是否有一个安全的数据中心。

　　网络安全

　　网络安全应该保护你的SaaS环境中所有的虚拟接入点，供应商应该有察觉新出现的威胁和应对攻击的能力，在它们成为真正的威胁之前编写程序和制定策略，严格杜绝危险出现。

　　一些供应商同时监测在互联网上的多个客户，所以他们经常能够看到并迅速接触威胁。这对独立软件开发商来说可能是一个重要的协议，很可能几天都看不到攻击，因为它可能不是直接目标。如果外部发生威胁时，厂商可以积极相应、编写规则以防止它的出现。

　　物理安全

　　目前，虚拟化迅速扩张让很多人不再考虑物理设施的安全。但是不管你是托管方、托管服务商或是云服务提供商，最重要的是保证你存储数据的物理设施是安全的。

　　服务提供者应确保其物理设施的接入点是被保护的，利用值班的看守、安全摄像机、全身扫描和其他的措施以防止违规行为的发生。

　　在考虑物理安全的同时，还要考虑服务提供商的灾难恢复解决方案。您的数据存储安全么？存储在什么地方？会不会被加密保护，如果将您现有的数据转移到磁带，磁带是否备份加密？

　　就总体而言，无论你的SaaS应用程序的数据存储在数据中心、网络中、或者是云中，安全都是最重要的。IT决策者要提高警惕，对任何事物都不能过度信任。 （张楚）