杂谈:SaaS + 安全

围观次数:537 views


【零】SaaS

SaaS =Software as a Service,你不会不知道吧?

【一】撸串才是真 SaaS

一条炉子、三十斤碳、十斤调料、两个师傅、羊尿泡过的各种肉,云计算的特性它都有:

  • 资源整合、集中:假肉、假调料、假新疆人、甚至还有假钱,都给你整一块了,在家里你肯定凑不齐,凑齐七龙珠都比这容易;

  • 大规模、高效率:一个炉子八米多长,一次烤上五百多个串,要规模有规模、要效率有效率,赶上肚子小的一年都够吃了;

  • 菜单式服务:这不用说了吧;

  • 高可靠性:刮风不怕、下雨打伞、碰上停电咱用的是木炭,绝对可靠;

  • 通用性:一个炉子三十斤碳,只要你敢往火上放,就没他们不敢烤的;

  • 扩展性:业务拓展方面,有肉串、肉筋、腰子、板筋、辣椒、韭菜、大蒜 …… 基础资源拓展方面,有电炉子、火炉子、一层的、两层的、五米长的、八米长的 ……

  • 按需服务:2块,就给你一串,想吃几串就买几串,啤酒喝不完只要不开瓶还能退;

  • 低成本:米线都八块一碗了,还是素的,人家弄二两鸭肉,又上羊尿泡、又上料盖味、又给你烤、还给你送嘴边,才收你2块,这还贵?

  • 用户集中但资源隔离:哪个大排档不得坐个百八十人,但谁也不能上隔壁抢个腰子回来吃不是?

但也有通病:

  • 安全性是问题:虽然都坚称自己安全,但内部和外部风险还是不好控制,内部风险是羊尿泡假肉,外部风险实在太多了,数都数不过来;

  • 信任更是问题:有了安全上的不确定性,自然就存在了信任的问题。但架不住嘴馋人贱,大排档依旧天天爆满;

【二】破罐子破摔出来的信任

SaaS 上所谓的信任,无非就是隐私、安全那点事,但这种事,说白了都是“破罐子破摔”的事。

这么说,我的隐私就是破罐破摔出来的,最开始有网站要我填点敏感信息(最早都是手机号),其实 我、是、拒、绝、的

不过有些网站是天天要我这点信息,而且后面还有巨大的资源诱惑我 —— 记得最早我填上手机号的地方是可以免费下载电子书,然后我默默告诉自己:“就这一次、就这一次 ,而且以后还会换手机号”,结果自然是“免费吃一口、从此入虎口”。不但手机号13年没换,而且是比原来更容易被引诱 —— “底线一旦打破一次,它就不再叫做底线了”

后来,BAT(没有3)开始又用各种方式套取我的信息,我最开始裸奔是面向淘宝,我是02年开始用淘宝,就这样被她一步一步的套牢、献身,最后十周年查账单的时候,我结婚、买房、买车、生子、甚至换工作,它都知道。

再后来,发现,我的信息不但在BAT里出现,卖保险的会知道我换了什么车、卖房的会知道我家住哪、送快递的会知道我家有几口人。

所以,现在我想了想,已然裸奔了,还跟我谈什么要不要脸的问题,注册不就是填个手机号嘛 —— 没问题,买一送一,座机号也给你。

所以,在我看来,没有推不倒的墙、没有滴不穿的石、没有锯不断的木、没有磨不成的针 ……

记得前几年看过一组销售数据 —— 老客户次年重复出单的概率在 67% 点多。

SaaS 信任再成问题,慢慢也会遵循这种“重复出单”的概率 —— 只要行业内有人用了,就敢效仿了,只要一个业务接入了SaaS,明年就敢再迁三个业务上去(当然前提是没给做砸)。

如果把这种“重复出单”的事情看作是负面的话,那不就是一种破罐子破摔;

或是说,如果把破罐子破摔说的中性一点,那也不过就是一种“带有点惰性的惯性”而已。

所以这个故事告诉我们:

  • 别去找那些没填过隐私信息的人要隐私,也不要去那些没接触过SaaS的人群或行业中普及SaaS —— 成本太高

  • 使劲套取那些已经泄过隐私的人,使劲忽悠那些见过身边人用或是自己正在用SaaS的人 —— 因为惯性

  • 最后,那些不愿意透露隐私或不愿意使用SaaS的人发现,他们成了异类 —— 农村包围城市

第一颗原子弹造出来是很难的 —— 因为要突破的不只是技术问题,而是“是否可行”的问题,而一旦验证可行,后面再制造就只剩下技术问题了。

【三】SaaS + 安全 会是什么?

我可以负责任的说 —— SaaS + 安全的组合绝对是颠覆性的。其颠覆性既不在技术,也不在模式,更不在消费习惯。

而是因为,安全本非刚需、SaaS本是难以接受的新鲜事物,所以这两个东西加起来,一定是前所未有的“颠覆性的难”

做安全的听说“安全非刚需”估计坐马桶上都要跳起来。

但我从业这么多年,却一直这么想 —— 也许就是这样,我才能对这个行业还残留一点敬畏。

其实说个简单的道理。如果人人都认为安全是刚需的话。那么,有多少人会在家里配备灭火器呢?即便没有配备,又有多少人会关心小区走廊里是否配备灭火器呢?又有多少人进入大楼后会第一时间就关注到逃生通道?

信息安全是“安全”,防火安全当然也是“安全”。

而且,做信息安全这么多年,我听说过因为信息安全而致死的案例不过两只手就能数得过来;

但是,防火安全做的不好而导致的丧命事件,我想单是去年一年,大概我就得抓把头发下来才能数得过来了。

所以安全才需要立制度、设规范、甚至立法 —— 看看人类基本的刚需“食色性”有哪条是需要立法的了?宪法规定了不按时一日三餐就要枪毙了吗?所以现实就是这么残酷。

【四】都这样了,为什么安全还要SaaS化?

最明显的问题就是,安全人才太少了,其实各行各业都一样,人永远不够用、真专家就更是如此,只是安全更为凸显而已。

还有很多其他优点:

  • 减少维护成本:原来产品出了bug1000个用户要发1000个升级包,现在只要一个patch全搞定。原来做个新漏洞防御规则要推送1000遍 … 1000遍呀1000遍 …,等推到设备上时什么库都被拖干净了,现在好了,升一下平台,1000个问题全搞定;

  • 提升专家复用率:按照原始人的工作习性,其实是工作一天(他们的工作就是打猎)休息一天,也就是说,平均每天只有4个小时是有效工作。作为一个资本家的你来说,你不想把你的专家八个小时都压榨干净吗?原来1000个用户都分散全国各地,鞭长莫及,现在都在SaaS上,天天排单都排不完;

  • 监控与管理更有效:集中化一直是一种最方便的管控手段,所以这东西还有一种叫法,就是“集权化”;

  • 串单其实很重要:很多问题的解决都是靠历史case的积累,问题集中的结果带来的就是各种case集中,case集中后效力就会发挥,说白了 —— 就是你碰到问题会去百度或Google,因为你知道一定有人也碰到类似问题并且解决了;

  • 运营本身就是一种强大的竞争力:原来的销售模式下,一切都是冷冰冰、死硬硬的,SaaS化之后,就需要运营,有了运营就能流动,流动起来就不会死。原来用户会打电话过来说“你们家这设备在这里抽搐,你快来吧”,现在就会变成我对用户说“刚才您的服务器吐白沫了,我们已经治疗好了,您看这是刚才病发时候的照片、这是我们的治疗过程、这是我们的处方、当然,还有这是您的账单 ……”;

不能报喜不报忧,缺点也还是有的:

  • 体验差上加差:安全本身非刚需甚至是被迫接受的东西,这类东西本身体验就会比较差。更要命的是,你把这么毫无体验感的东西居然仍到千里之外的云上去了,那得差成什么样啊?所以安全SaaS平台的用户体验工作是非常难的,绝对比传统的互联网UED难上太多了 —— 因为你不光要有美感、还要懂业务、还要会技术、还要 ……

  • 用户无感知:与体验类似,但说到“感知”的话,可能比体验更实际一点 —— 比如,原来虽然用户也不怎么关心安全,但好歹买了台设备、更重要的是设备在手边能摸得着。现在直接都在平台上了,始终会给人一种你说什么就是什么的感觉;

  • 单点突破可能造成集体沦陷:这里说的集体沦陷并非是因为“资源集中在SaaS平台”上而导致的。而是说,从配置和策略上来讲,一个点的配置样式往往是非常可能代表了所有的配置,所以,搞下来一个目标,可能就意味着黑客已经摸清楚了你的整体策略和配置如何,再搞定其他就会容易很多(至少会搞定大部分);

【五】安全SaaS 的推进

大概会涉及到机会、思路、模式,几部分就不拆开了,混在一起写:

太小了,懒得自己搞

为什么开始互联网要抓长尾,因为中小用户都会有这种心理,所以中小用户很好拉拢到 SaaS上;

太大了,监管不起来

小有小的难,大有大的愁。一下几千个系统,不做集中是无法监管的,所以可以去看看,大企业、大集团,要么系统具备高度统一性 —— 用什么系统由集团统一找厂家开发,大家都用一样的,甚至版本和里面的插件都一样。要么就是做集中 —— 北上广三中心模式已经被多少个行业默许了?所以他们这种监管需求,天然和SaaS贴合,论安全来说,更是如此了,想想就会“你懂的”;

传统行业也有长尾

说互联网就谈“免费”和“长尾”,但如果“长尾+免费”你就真死了,很多做“长尾+免费”的互联网厂商还不都是曲线救国,想办法把用户导流到赚钱渠道上去。但传统行业大不一样啊,传统行业有几个特点:

  • 首先,传统行业也有“长尾”。传统行业的长尾就是那些长年阳光照不到但 IT建设的地方。比如,小学的IT系统、区县的政府网站、街道办事处的OA系统,这些都是用户群。而且,去看看最近两年的规范和网络安全法的草稿吧,他们即将被阳光普照;

  • 其次,这种长尾不是“免费”。传统行业里“苍蝇再小也有肉”。互联网上屌丝用户真能做到一毛不拔,但传统行业里,即便再穷的村子都能出现一年贪污百万的村长,你说给不了你十万八万,给你个三千五千总可以吧;

  • 最后,想想庞大的数量吧。截至2004年12月31日,全国县级以上行政区划共有:23个省,5个自治区,4个直辖市,2个特别行政区;50个地区(州、盟);661个市,其中:直辖市4个;地级市283个;县级市374个;1636个县(自治县、旗、自治旗、特区和林区);852个市辖区(以上统计数字摘自百度)。

交叉监管的问题

这个还是举例说吧。我开个饭店,物价的来翻菜单、税务的来翻发票、工商的来翻执照 ……,这些都能管我一下。未来安全也会如此,前面也说了,SaaS天然适合集中化和管控,但如果这么多来翻的,听谁的就是个问题。正所谓一山不能容二虎、一区不能放俩云。这个需要更多的去考虑。

【六】未来估计SaaS会逐步转向一体化的XaaS模式

XaaS 是啥?X代表未知。

as-a-Service 应该是不会变的,也有可能未来 X = I + P + S

因为,比较现实的问题就是,用户的“破罐子破摔”一定会慢慢延续到其业务层面上的 —— 既然上层的应用都接入 SaaS 了,那索性往下几层也来个一体化,你打包给我来个 (I+P+S)aaS 岂不是更好?

当然,这只是因为现在存在这几种主流的云模式而被动引导出来的一种猜想。但是,单从逻辑上来说,任何一个系统绝不可能在运营、维护和技术上都呈现长期割裂的方式 —— “我的数据托管在SaaS 上,实际的报表在联通托管的服务器上,与之对接的OA系统在内部局域网划分的VLAN里跑着”,这样的场景太扯了,长期来看,先进生产力一定会促进落后生产力的前进和靠拢,而不会是先进生产力和落后生产力的折中妥协,但最终靠拢的形式是否为 I + P + S 还真不好说,没准明天就真出来个 X 呢?


发表评论

邮箱地址不会被公开。 必填项已用*标注

广告赞助