当谈及安全性和云计算模型时，平台即服务(PaaS)有着它自己特殊的挑战。与其他的云计算模型不同，PaaS安全性所要求的应用程序安全性专业知识往往是大多数公司无法投入巨资就能够拥有的。这个问题很复杂，因为众多公司都使用进驻式基础设施级安全控制战略作为应用程序级安全性风险的应对措施(例如，一旦应用程序代码发布生产，使用WAF以缓解所发现的跨网站脚本程序或其他前端问题)。由于缺乏对PaaS中底层基础设施的控制，这一战略在PaaS部署应用中变得不具实际操作性。

　　考虑到PaaS与控制相关的灵活性，你必须对底层计算环境具有一定的控制能力。如同IaaS一样，PaaS提供了近乎无限的设计灵活性：你可以基于社交网站构建任何应用，以实现内联网网站或CRM应用程序。但是，与IaaS不同的是，应用程序下的堆栈是不透明的，这就意味着支持应用程序的组件和基础设施都是(根据设计)一个黑盒。也就是说，与SaaS类似，安全性控制必须内置于应用程序本身中但与SaaS中服务供应商通常实施应用于所有客户的应用程序级安全控制不同的是，在IaaS中安全控制措施是针对你的应用程序的。这就意味着必须由你自己承担责任以确定那些控制措施是合适的并执行具体的实施。

　　这里的一个简单图示，表明了模型与客户之间的差异：