SaaS评估：不要低估复杂性

　　对某些安全功能进行外包（比如，消息安全和过滤服务），看起来似乎很容易，但即使是这些简单的功能也有一定的复杂性。虽然消息—过滤服务的外部特性使其看起来很容易采用，但是如果所有入站消息只由它们来负责处理的话，一旦出现错误可能会牵一发而动全身。

　　把这一情况考虑在内，并记住上面提到的最佳做法，企业应该调查服务供应商是如何处理服务中断以限制这种风险的。企业还应该考虑的是，在信息安全和过滤服务中，每个用户都需要有自己的帐户。这些帐户必须进行创建、维护、移动、改变以及删除，就像企业中任何其他用户帐户一样。那么，从服务供应商那里确认这些帐户是否能够与现存的帐户同步很重要。如果可以，请确认同步过程需要企业IT支持团队进行哪种程度的额外工作。如果不能同步，那么企业不仅需要确保用户在使用此项服务时能够非常方便的访问独立帐户，还要了解创建、修改或者删除帐户对支持资源造成的影响。

　　企业还要考虑到由电子邮件和消息系统进行处理的敏感信息。供应商在保证这些信息安全，或者在响应电子发现（e-discovery）需求中所起到的作用是什么？企业应该记住，最终担负起法律或者监管责任的是自己而不是供应商。如果企业有保护消息数据安全的特定职责，或者需要对电子发现进行准备，那么你需要询问服务供应商是否能够及时、一致的响应消息产生，或者确保传送中的消息安全。如果可能的话，具体细节应该体现在SaaS服务级协议（SLA）中。如果供应商不支持具体的要求，那么在签订SLA之前最好了解一下这些情况。如果信息非常敏感，不管服务供应商有什么措施，企业可能都要考虑怎样才能最好的保护数据安全，譬如使用数据丢失保护（DLP）工具，以确保重要的信息不被丢失。

　　服务可用性对业务而言非常关键，但这会出现另外一个问题。通过托管的漏洞评估，服务中断将不会影响到公司业务所依赖的IT服务可用性。虽然这可以让采用过程更加容易，但你必须记住漏洞评估本身就有可能破坏关键业务的可用性或者性能。在这种情况下，你可以采用分阶段的方法来尽量减少这些风险。前期可以用来熟悉服务以及它们对业务系统的影响，后期则需要衡量服务对不太关键资源产生的影响，而最初对关键资源的测试可以按照维护计划按部就班的进行，比如，直到企业相信自己有能力主导评估的时候再进行。

　　由于托管安全服务的范围不断扩大，企业和提供商将需要在可靠性和成本之间寻找一个平衡点。在一般情况下，本文的这些指导方针能够协助潜在消费者更加彻底地理解：服务是怎样使用的？谁将使用这个服务？消费者与提供商各自的责任界限在什么地方？这些都是充分利用安全SaaS的关键所在。

　　SaaS评估：对SaaS服务级协议的几点思考（上）