在文章《安全即服務：云端安全的優勢與風險（一）》和《安全即服務：云端安全的優勢與風險（二）》中，我們主要為讀者講述了企業需要考慮基于云計算的安全服務的八個優點，那么下面我們一起看看安全即服務的缺點有哪些：

安全即服務的風險

對于緩解安全風險，世界上并不存在完美的工具，安全即服務也不例外。基于云計算的安全服務和所有其他云服務相同的安全風險一樣，主要分為以下幾個類別：

1. 云供應商對你的數據擁有一定程度的訪問權限。云供應商必須謹慎處理安全相關的數據，因為這些數據的泄露可能導致多個數據泄露事故。更全面的云計算服務應使用加密技術，但這里仍然存在供應商密鑰管理的問題。對于需要擁有最高數據保密性的應用的企業，最好考慮使用內部解決方案。

2. 安全即服務將是從互聯網訪問。對于內部系統，安全專業人員不需要考慮這個風險，在過去，將內部防火墻管理工具暴露在互聯網從來都是不被接受的做法。這些服務器的身份驗證系統必須提供強大的多因素身份驗證，以確保適當的保護水平。你還需要考慮潛在的DoS攻擊，如果沒有強大的保護，攻擊者可能會修改服務或者阻止企業管理或訪問這些服務。

3. 安全即服務供應商間輸出服務的開放標準不太可能。使用這些服務的企業需要明白供應商間的任何切換將是完全手動的操作，包括在新供應商處重新建立防火墻規則、虛擬機配置和身份驗證方法。

4. 企業應該進行詳細的供應商盡職調查審計，以對待任何其他云服務供應商的方式來對待安全即服務。企業應該仔細選擇供應商，并調查其財務狀況，以確保他們不會突然人間蒸發。徹底檢查服務供應商的信息安全狀態，從SAS-70或者SSAE-16審計報告以及漏洞評估報告開始。企業需要完全信任云供應商，所以，這種審計是至關重要的。

5. 對于基于云計算的安全服務，合規是另一個難以解決的問題。一個服務可以提供一流的審計報告，并滿足所有盡職調查的技術要求，然而，卻可能仍然不能滿足合約或法律協議，例如HIPAA法案要求的商業伙伴合約（Business Associate Agreement）。這種情況正在改善，但企業必須了解安全即服務供應商將如何滿足其特定的合規要求。

很多信息安全專業人士對部署任何類型的外包服務都充滿焦慮，這是安全即服務需要考慮的。目前的經濟發展讓很多類型的員工產生一定的抗拒，安全專業人士擔心自己被云服務取代。然而，這些新服務可以讓安全專業人士將時間和精力投入到更高水平的戰略性安全項目中，而不是每天的日常維護工作。這將有助于安全計劃實現更高的效率，而這實際上還可能增加工作安全性。此外，誰真的愿意花整晚的時間來編制另一個更新版本的Snort？