如何在XaaS上有所不為

XaaS很容易讓人想到服務是被一個租客使用者所消費。一個服務必須是對使用者有價值才能吸引使用者去消費。讓我們來考慮“安全作為服務”的情況：設想一個服務是一種安全保障，讓租客确信其資訊在服務端接收處理時具有某種程度上的免除風險。我不禁要問這樣的服務究竟會對租客産生多大價值來吸引消費。毫無疑問，一個成功的資訊安全産品或解決方案可以具有很大價值，吸引使用者購買該産品或方案作為資産來擁有。這是使用者自己擁有IT資産的情況：為了保護好自有财産嘛，就在保護手段上花點錢吧。還不光是花錢問題，當安全作為财産時，使用者要自己安裝配制管理和檢查安全措施，這些事常常是很複雜的。在雲計算的情況，使用者租用而不是擁有IT資源，資訊處理任務也變成了服務。服務提供方和接受方要采用服務等級協定（Service Level Agreement, SLA）來約定服務的品質等級。資訊安全的保障自然是SLA要包含的内容。是以當安全變成服務時，租客顯然不再做哪些複雜的安裝配制管理和檢查安全措施了（謝天謝地！）。那麼在這種情況下，“安全作為服務”還會對租客産生消費價值嗎？我認為“安全作為服務”的消費價值會在SLA的保證之下大打折扣。

也許安全作為服務應該叫做“安全作為自我服務”(Security as Self-Service)才更有意義。所謂自我服務，就是不再向租客銷售安全服務，而是自我消費安全服務。也就是雲計算資料中心采用安全作為财産的方式，安裝配制管理和檢查安全措施，以保證租客資訊的安全。雲計算資料中心自我消費安全服務的結果是：服務提供方對于保護租客資訊的安全信心大為增強，進而敢于簽訂具有高安全等級品質的SLA來吸引租客消費計算/存儲等等其他服務。其實在提出“平台證明作為服務”（Attestation as a Service）時，我所定義的平台證明恰恰是本地證明（local attestation），這是由雲計算資料中心在自身資料中心内部對計算/存儲平台軟體環境安全狀況做驗證工作。這的确是“平台證明作為自我服務”（Attestation as Self-Service）。這種自我服務不必在本地發生，比如平台軟體環境安全狀況的驗證方是一個遠端實體，但該遠端實體一定不是一個計算/存儲服務的消費方。因為消費方依賴SLA來保障安全會更有效，而不要自己參與十分複雜的安全事務管理。

更有意義的做法是把“安全作為自我服務”與“安全作為公共服務”（Security as a Public Service）結合起來。“安全作為公共服務”是由一個具有公信能力的組織機構提供的一項公共服務，這種服務能夠對“安全作為自我服務”的提供方，即雲計算服務商，産生強制限制作用，使後者向消費者提供的計算/存儲服務具有可被監管、風險控制、規則遵從（Governance, Risk and Compliance, GRC）的性質。顯然，像“安全作為自我服務”一樣，這種“安全作為公共服務”也屬于非售品。

本文轉自 wenbomao 51CTO部落格，原文連結：http://blog.51cto.com/wenbomao/327937，如需轉載請自行聯系原作者