在SaaS环境中，厂商拥有大多数的控制权和访问权，本质上，厂商控制整个堆栈，从hypervisor到应用和安全监控。很少厂商能提供应用核心功能之外的访问，想要令人信服的证明厂商自称的安全设计、实施和配置是一种挑战。同时IaaS服务客户采用非常技术的方法确保其云实例的安全，SaaS应用客户则采取合同和流程性质的方法，着重强调评估。

在SaaS环境中，厂商拥有大多数的控制权和访问权，本质上，厂商控制整个堆栈，从hypervisor到应用和安全监控。很少厂商能提供应用核心功能之外的访问，想要令人信服的证明厂商自称的安全设计、实施和配置是一种挑战。同时IaaS服务客户采用非常技术的方法确保其云实例的安全，SaaS应用客户则采取合同和流程性质的方法，着重强调评估。