我在上月發表一文“如何在XaaS上有所不為?”中認為雲計算服務中有兩個非常重要的成員:即“安全作為自助服務”(Security as Self-Service)和“安全作為公共服務”(Security as a Public Service),而且這兩種服務不必像其他各種服務那樣推銷給雲使用者去使用。
“安全作為自助服務”可以使雲服務提供商能夠自信地在SLA中承諾強等級的服務條款。如果我們說這是雲計算安全的必要條件,則這種自助服務一定不能成為雲安全的充分條件。類似于公司管理的情形,來自内部的自我監控管理是必要的,但不充分,還需要補上來自外部的強制監控管理。在雲計算中我們也需要“安全作為公共服務”以補充“安全作為自助服務”。一個運作“安全作為公共服務”的實體,其利益必須獨立于雲服務提供商之利益。回顧曆史或許會有助于解釋這一需求。著名的RSA安全公司于1982年創立,專門從事發掘公鑰加密與數字簽名技術的商業應用潛能。初創時RSA公司的主線産品是商用公鑰加密與數字簽名的資訊安全軟體。我們都知道正常公鑰的使用必須配備一個PKI公鑰認證服務系統,向使用者認證一把公鑰與其擁有者之間的一一對應關系。自從成立起直到以後的十幾年中RSA公司都在自行提供公鑰認證服務,成為一個事實上的行業公鑰認證機構。直到1995年以前,RSA公司都沒有認識到下面這個問題居然會是一個問題:身為一個公鑰加密軟體的提供商和身為一個公鑰認證服務的權威機構,一身兼任這兩個角色其實存在着利益沖突:前者是要追求私營商業上的利益,而後者是要確定一種公共責任。是以在1995年RSA公司分離出公司的一部分,組成了一個獨立公司專門經營PKI認證服務。這個獨立公司發展成現在工業界衆有名的VeriSign公司,是專門頒發PKI根證書的工業根(The Industry Root Certificates, 該公司還擁有 .com 與 .net 的頂級域名伺服器)。
同理在雲安全中,我們也需要一個獨立并且能保障公共利益的權威機構來提供“安全作為公共服務”。這樣的權威機構可以對雲計算使用者提供很有用的安全服務。比如,它可以通過用審計的方法來強制一個雲服務提供商采用技術手段實施“安全作為自助服務”。該權威機構為且僅為那些通過了雲安全方審計的雲服務供應商頒發認證證書。如此,雲使用者就可以從權威機構頒發的證書判斷出他們的确被介紹給了一個信譽良好的雲服務供應商。
“安全作為自助服務”和“安全作為公共服務”,以自我監控管理和強制監控管理相結合的方式互為動因,這是實作雲計算安全不可缺少的要素。
本文轉自 wenbomao 51CTO部落格,原文連結:http://blog.51cto.com/wenbomao/347035,如需轉載請自行聯系原作者
![【圖解HTTP】——確定Web安全的HTTPSHTTPS小結[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)