“万物皆可为服务”（“XaaS”） 这个X可以为任何单词的首字母。随着这个趋势的进一步明显，云端成为了决定你IT系统是否好用，你的企业是否具有生产力的关键因素。如果你投资到了“以软件为服务”的产业中，你如何确定SaaS服务商建起了足够高的安全壁垒，保护你的服务免于外部的威胁呢？下面的几种情况可以供你参考，你可以依循这几个内容向你的SaaS服务商质询，你是否真的在安全方面做好了完全的准备？又或者仅仅还是在筹划中？

　　先回顾一则新闻：一家公司因为负债太多，它的客户不得不拿出100万英镑来让自己的服务能够存续下去。所以设想一下下面的场景吧，如果你的SaaS解决方案提供方，又或者是管理数据中心的SaaS公司，因为某个突然爆出来的重大危机而关门停业，这个时候你的所有数据都是在这个系统上，你完全没有任何控制权，从某种意义上来说，数据成为了“人质”，你必须付出“赎金”才能让数据得以存续下去。

　　这个时候该怎么做呢？一个操守比较好的SaaS提供商会跟你签这样一份协议：在提前商定的价格之下，如果中途这个服务因为各种意外出现中止，那么第三方的SaaS公司会中途把数据接手过去，给你充足的时间考虑下一步该怎么办。这个第三方公司将从协议生效的第一天开始就有你的系统、数据的拷贝，所以跟你签协议的这一方就无法“勒索”你了。

　　尽管你跟他们签有协议，声称你拥有对数据的绝对所有权，但这只是法律层面。如ugoni并没有控制这个平台，法律文件在面对违约情况时也没有办法保护你，你要回自己的数据是很难的。所以这个时候将数据能够放在第三方的手中，以保证你随时随地都能够掌握主动权，这就是一个很好的策略。

　　当你在考虑选择哪家SaaS提供商的时候，往往这是一个需要彻底搞明白的问题。但是往往下面的几件事情会被你忽视过去。你需要落实数据中心是否有妥善的安全围栏，防止任何陌生人接触到它。是否存在门禁系统？还是谁能够从中大摇大摆地穿过？它是否在街边？河边？铁路边？电站边？这些地理环境很有可能给你的数据中心带来一定的风险。要知道，绝大多数的IT事故发生都是人为原因以及硬件上的出错，所以你真的应该希望人们都尽可能远离数据中心，它最好能处在一个人迹罕至鸟不拉屎的地方最安全不过。在考查工作中，一定要先期做足功课！

　　理想状况下，你的数据最好能有四份拷贝，它们分别存放在相距非常远的不同地点，这样一场突如其来的灾难不会彻底吞没所有拷贝。最好跟两家SaaS提供商保持合作，这样在必要的时候能够在数据找回过程中拥有一定程度的控制权。一些SaaS提供商都有两个存储地点，但是不提供“第三方安全网”服务，还有一些公司就将你的数据放在一个地方。很明显这些做法都是存在风险的，你对风险的控制几乎不存在。

　　你在“数据找回”这个工作上是否有签一些协议（比如“SLA”，即“服务标准协议”）？比如规定了找回的时间是多久？找回的方式是怎样的？一般来说，如果一家数据中心忽然宕机（相信我，它发生的频率远远超出你想象），他们首先要做的是重启这个数据中心，然后他们会有一个清单，上面写满了客户名字，当然其中也包括你，至于你到底排在这个单子的第几行就没人能说的清了。“数据找回方案”其实有很多种，这取决于你付款的多少。

　　这个时候你最好得衡量一下自己购买这个“数据找回方案”的钱，和没有这个方案你所遭受的损失之前哪个大一些了。但话又说回来，谁愿意把自己家的数据放在别人家里，他们在忙着重启自己服务的时候再来搞定你的数据找回服务呢？这完全不值得信赖嘛。

　　其实一个靠谱的SaaS服务商应该给你提供数据找回的时间承诺，而不仅仅是跟你签“SLA协议”。然后再寻找是否有可能存在一些第三方的服务商，来给你的数据提供附加的保护服务，以避免自己的系统完全落入到一个服务商的手中。

　　如果遭遇了系统病毒的入侵，如果你的数据找回方案是把数据备份放在第二个地点，你的备份系统很快就会被感染。这个时候你又从哪里来找回数据呢？你的SaaS服务商需要做的是给你的系统做好备份后，经过测试，然后放到一个跟你的现有系统没有任何关系的独立场所，保证病毒不会干扰到这里。这里仍然要考虑第三方，他们往往会给你拿出妥善的解决方案。

　　一次大规模的DDOS攻击会让你的服务商带宽阻塞，你的IT系统有可能几个月都恢复不了，尽管目前有一些软件工具能够帮助你管理风险，但是这样的袭击是无法完全规避得了的。如果你的服务商运气不好遭遇上这么一次大规模袭击，它的预案是什么？它能立刻将你的系统转交给其他独立平台吗？解决方案由他们去想，但是你得问出这个问题。