随着SaaS的日益普遍，关于SaaS的安全问题也随之而来。成本问题曾经是潜在SaaS客户最头痛的问题，但是现在，随着越来越多的云网络被用于战略和关键任务业务应用，安全问题名列榜首。

“安全问题是阻止企业选择SaaS的首要原因，”Forrester分析师Liz Herbert近日表示。

云计算资源比传统网络系统更加高度集中化，很大程度上是因为虚拟技术允许单个服务器承载很多虚拟机器以及多个客户的数据。

如果承载15台虚拟机器的服务器被攻击，“那么15台机器都将出于危险之中，”Gartner分析师Neil MacDonald表示。

在选择SaaS之前有很多安全风险问题需要考虑，以下我们将主要讨论五个安全问题：

1.云计算中的身份验证并不成熟

Forrester分析师Chenxi Wang表示，云供应商本身并不会周全地在他们的云计算平台中加入身份验证服务（通常存在于企业防火墙后面的服务）。有一些第三方技术可以让IT部门加强云计算中基于角色的访问控制。但总体而言，“这个领域目前仍然处于早期阶段，”她表示。

谷歌有一个“安全数据连接器”，它能够在客户数据和谷歌业务应用程序之间形成一个加密连接，同时让客户自己控制哪些员工可以访问谷歌应用程序资源。

但是这种方法可能很难处理，因为使用多个SaaS应用程序的客户会发现需要处理很多不同的安全工具，第三方产品至少能够提供连接到很多不同类型SaaS应用程序的优势。

云计算中身份和访问管理还有很长的路要走，云安全联盟认为。

“对企业应用程序的身份验证和访问控制进行管理仍然是IT部门面临的最大挑战，”根据云安全联盟的研究显示，“虽然企业可以部署没有良好身份验证和访问管理战略的云计算服务，但从长期来看，将企业的身份验证服务扩展到云服务中是非常必要的。”

不过，云安全联盟表示，SaaS的发展速度已经超越了建立全面行业标准的速度，该组织表示“对用户资料文件有限的专业支持”，并且包括服务供应标记语言（SPML）的行业标准在几年来都没有被更新。

2.云标准很薄弱

“我们已经通过了SAS 70 审计，”这是很多云服务供应商吹捧其安全认证的依据之一。SAS 70是一种旨在显示服务供应商对数据有足够控制能力的审计标准。这种标准的制定并没有考虑云服务的情况，但它现在却已经成为云服务标准的基准。

分析师表示，比SAS 70更好的是ISO 27001，国际标准化阻止公布的信息安全规范。

ISO 27001是一个相当全面的标准，它涵盖了很多客户关心的运行安全方面的问题。“这对于我来说，至少是评估SaaS供应商是否成熟的一个基本依据，”Wang表示。

ISO27001“并不完美，但是却是往正确的方向迈进了一步，”MacDonald表示，“这是最好的标准，但这并不意味着这样就已经足够。”

然而，将你的数据交给通过ISO27001标准的供应商并不能保证你的数据的安全性。调查发现，很多公司自称符合ISO 27001标准，然后却承认“在特权用户管理方面存在不足”，包括在用户间管理员帐户的共享以及向用户授予非必要的更宽泛的特权。