软件运营服务是（Software as a Service，简称 SaaS）让用户能够通过互联网连接来使用基于云的应用程序。常见示例有电子邮件、日历和办公工具。 它不需要用户将软件产品安装在自己的电脑或服务器上。

以上关于 SaaS 的解释来自于百度百科，实在忍不住吐槽一下，整段文字定义像是来自于某个非严肃论坛，很难想象我们的国人每天搜索和参考的都是这样的信息源头，简陋、误导和随意。如果按照这样的定义，BAT 们都应该集体跳出来谴责，因为他们的企业微信、钉钉、飞书都需要在客户电脑里安装软件客户端，都不是 SaaS 服务了。对比下面 Wikipedia 的定义，足见差距：

Software as a service (SaaS/sæs/) is a cloud computing service model where the provider offers use of application software to a client and manages all needed physical and software resources. Unlike other software delivery models, it separates "the possession and ownership of software from its use".  SaaS 软件的本质，是把软件的所有权和使用权进行分离，分离的技术手段依靠云。SaaS use began around 2000, and by 2023 was the main form of software application deployment.

01

—

国内大企业并不喜欢 SaaS

 自主可控，是刻在我们近代国人骨子里的基因，原因自然不用多讲。因此无论企业还是个人，但凡有点实力的，都希望自己能够掌控一切，而 SaaS 相反却是一个劝人“放弃自我”的外来传教士，遇到我们国内的大企业，自然是要碰得头破血流。下面这张图非常直观的展示了 SaaS 的诱惑，黑色方框里的部分是指全托管而完全不用客户操心的内容，相反白色方框里的内容需要客户自己搞定。纵使诱惑如此多，我们的大企业还是义无反顾的选择 On-Premise 本地化部署，甚至应用代码也 自研。

  （本地化部署 vs. IAAS vs. PAAS vs. SAAS）

因此，在国内大企业客户面前，我们要去讨论标题里的发问《数据安全，能够 SaaS 化吗？》，本身就是一个伪命题。

02

—

中小企业离不开 SaaS

提供 SaaS 服务的软件企业，很难赚到钱的事实，并不能掩盖 SaaS 在中小企业应用极度广泛的现状。IM 软件（企微、钉钉、飞书）、自媒体平台（公众号、抖音号、小红书）、CRM 软件（纷享销客、销售易）、电商平台、会议软件，无一不是 SaaS。甚至可以说中小企业，就长在各种 SaaS 之上，这和国内大型企业的现状恰恰相反。基于此，我们终于有了讨论我们的主题的前置条件，中小企业需要 SaaS 化的数据安全吗？

03

—

第一个尝试，CASB

CASB 叫做云端安全访问代理，是 SaaS 云服务的安全代理，可以做很多网络侧的安全防护。不过最初的 CASB 真正被应用的场景，还是云端数据的加密，因为这是一个空白的场景，其它网络测的安全方案替代品已经很多，并不需要再包装这么一个新的安全概念用以营销。

Janky，公众号：连续创业的JankyCASB 已死，SASE 开始

—

中小企业有真实数据安全需求吗

小企业的安全诉求，其实和大企业一样， 需要安全感，需要尽量把控一切。

小企业作为一个社会个体，在市场竞争中相较于大企业，几乎在每一个竞争维度上都是弱势群体。现金流很脆弱、政策决定生死、过度依赖个别员工、过度依赖一两个客户，每一个变量的波动都容易震死自己。

安全感也变成了企业的一个奢侈品，想要增加安全感，一定不要信修身养性让自己变得自信的这种胡诌，正常人的表现都是尝试去把控能把控的一切，这就是控制欲的源头。

Janky，公众号：连续创业的Janky小企业搞安全，重点是增加把控力获取安全感

—

另一种尝试，解决另一端风险

往期回顾：