请输入关键字
top
志翔科技用大数据技术为行业云构建“安全之翼”
2019.04.02

[原载:《雷锋网》][原文链接]

云安全越来越火了。

一个可以佐证的细节是——在今年3月,被誉为全球安全市场风向标的旧金山RSA大会上,一个主题为“云上做网络安全”的论坛快开始了,门口仍然有三排人等待入场。一位大厂的参会者感慨,从企业IT基础设施角度看,上云无疑已经成了众多业务方近年来的第一选择,也使得市场上厂商开始基于云做更合适的安全产品。

关注点转移

志翔科技产品副总裁伍海桑博士也关注了 RSA 很多年。十几年前,他从清华大学毕业后到美国读书,毕业后就踏进了网络公司 Juniper,参与了当时世界上最快防火墙的研发,随后在华为西欧地区部负责网络产品管理和市场开拓。后来,他又到爱立信做云计算和虚拟化方向的产品。接下来,就是和朋友们一起创业,成立安全公司志翔科技。

志翔科技用大数据技术为行业云构建“安全之翼”

伍海桑

创业的人要跑得要比市场的风更快一些,才有可能成功。志翔科技定位于将大数据技术应用于解决数据和业务安全问题,随着企业数字化转型,数据与业务的云化,志翔科技的产品和解决方案也在向虚拟化与云的形态快速延伸。 

数据安全和云安全近几年一直高居RSA热词前列,尽管去年欧洲 GDPR的实施让数据安全中的合规成为一时大热,但今年云安全和数据安全又再此回归关注热榜前两名,这也印证了伍海桑和志翔创业团队五年前开始创业时,在产品方向选择上眼光的准确性。

云安全是一个很大的范畴,包含很多领域,简单的可以归纳为“上云的安全”和“云上的安全”,伍海桑总结。上云的安全,是描述对于云作为基础设施的的各种安全顾虑,亦即云自身的安全,比如,云基础设施建设安全、云主机加固、防病毒、防DDoS等“打地基盖房子”阶段的问题;而云上的安全则是企业上云后,面临的安全运维、身份认证、业务合规、多租户信息安全等众多风险挑战。

面对众多的市场需求和选择,志翔如何选定自身的方向?“行业和市场趋势是有迹可循的,对照国外云市场的发展——从IaaS为主逐渐向SaaS转移,国内的云市场也会遵循这样的轨迹。通俗的说就是从圈地打地基,到开始建房装修。”伍海桑认为,安全是紧贴业务而发展与演进的,我们预判,安全的需求会在云计算走向应用的阶段,进一步释放与爆发,企业上云的趋势不可逆,相应,云上的安全,像身份认证、安全接入、业务合规、云端数据管控和安全运维等等一系列问题都将成为热点。 

“这些问题催生出很多新的技术手段与产品,而我们当时想的要做一个产品,是去把这些上云的企业和机构从安全的顾虑和安全的束缚中解放出来,让企业不管身处怎样的虚拟环境,都能专注于高效创新和业务发展,不被安全所累。在这个目标下,怎么去做呢,我们把“无边界’和‘零信任’作为了整体产品和解决方案设计的核心理念。”伍海桑对雷锋网说。“无边界”指我们要摈弃过去的边界安全、筑墙保护观念,把无处不在的数据,和来自人与设备随时随地的操作访问作为安全保护的重点;而“零信任”是默认任何访问者都存在未知风险,要隔离他们与业务系统、数据,以身份权限(也就是谁能在什么时间做什么这些问题)作为新的安全边界,来建立工作模式。通过这种方式才能够更好的兼顾与平衡业务数据的安全和工作效率。方向定下来,一切就变得清晰。

志翔对电力“巡检云”的安全管控,就是一个经典的云上安全案例

“接下来,我们就开始围绕这个核心,贴合不同行业上云与云上的实际安全痛点,来进行产品和解决方案延伸与落地。目前已经应用于电力行业的志翔‘巡检云’安全解决方案就是一个典型的实例。”

伍海桑向雷锋网介绍,电力企业在全国各地有庞大的传输基础设施,这些设备由外包人员定期巡查、排检来进行设备的运维与监控,是常见且高效的选择。但是这个过程中,企业面临两大业务安全问题。首先,出于成本等多种因素考虑,外包人员一般都用手机等自有终端进行数据采集上传,终端种类多、难管理,难以确保上传数据与内容安全可信;其次,数据被上传到服务器后,如何按操作访问权限正确分配给相应部门开展业务也成难题。

对于电力企业而言,巡检排查统计等任务,已经上云了,叫“巡检云”。企业希望在其“巡检云”中,有一套云安全机制,能帮他们实现:

1、在例行巡检工程量很大的情况下,外包人员能灵活高效地完成巡检任务。

2、无论外包巡检人员使用终端和所上传的数据安全状况如何,最终进入服务器用于下一步业务开展的数据安全、可信,并确保服务器端存储安全和合规管理、访问及操作;

根据这样的需求,简单的说,“巡检云”本身有很高的安全要求,而外包巡检人员所使用的终端设备和上传的数据等,是很难保证其“干净度”和“安全性”的。在这种条件下,不妨换用云时代的思路来解决问题:不用花过多精力来管控这些终端设备,而把安全关注点集中到云这端来。

志翔在“巡检云”中提供的安全机制,很好的将“零信任”付诸于产品,利用分布式防火墙、微隔离、可信计算等技术手段,构筑可靠的环境来让数据-应用-进程等各司其位,并对服务器端数据按业务需求进行隔离于合规管控,让电力企业巡检业务风险的问题迎刃而解。

“我打个比方,这个实现过程就像让在外面玩了满身泥巴的孩子,到家快速收拾干净吃饭、休息,尽量少的把泥带进家里。”伍海桑介绍。“国外的房子大多有个“泥巴屋”,特别适合有小孩子的家庭。小孩在外面随便玩,弄得一身泥,回来就先进泥巴屋,把脏衣服和鞋都脱了,这就像是我们对上传数据的第一道过滤和对程序的管控。泥巴衣服鞋子都处理差不多了,再进到屋里去洗澡,这是第二道清洗。”

经过过滤和清洗,“干净”的数据上传到服务器,接下来还有一套更严格的安全机制。“我再打个比方,这就像咱在家里的吃饭和起居卫生,规定这种鞋只能在洗手间洗澡穿,另一种鞋只能在卧室里穿,睡觉有专门的睡衣,这放在我们这个安全的案例里,就是‘可信计算’——只有满足了某种条件才有身份权限干这件事。”

这些是志翔在“巡检云”中安全机制的基本工作原理,而同时,我们花了很多的精力,来深入的了解客户业务,贴合客户的业务特性、工作需求不断打磨,让客户的“巡检云”不仅能做到可用,更要实用和好用。

就拿实用来说,要考虑到应对问题的规模和响应速度。因为国家要求了巡检排查的频度,布线人数,以往电力企业通过云专网的传统方式也可以解决问题,但是响应和问题处理的速度都非常慢,效率低下。

“还拿泥巴屋来打比方,这就像是对泥巴屋位置的考虑。如果盖房,大家都一定会把泥巴屋放在从车库进房子的地方,或者是从后院进房子的门廊这里,肯定不会设在屋内的厕所旁边,因为我要小孩不把脏衣服穿进门弄脏屋子。所以,是把‘泥巴屋’统一设在一个地方,还是在房屋的每一个入口都设置一个,这个决定于使用的频度和范围,是大隔离和微隔离的权衡,是保证实用性必须考虑的问题。”伍海桑对雷锋网说。

而同时,如果某地有突发的小范围区域强化巡检需求,能否做到以分钟级的响应速度快速搭建一个临时的“泥巴屋”来提供隔离与可信环境,这就是“好用”要回答的问题,这也可以说是云计算中,资源调度应该具有的大优势。这些都是我们需要不断去迭代和优化的方向。

在云安全领域,选准方向,跑在前面?

目前,志翔这套安全解决方案已经进入部署,从行业口碑和实际收益上都给公司带来很大回报。志翔科技在过去三年每年营收增长均超过100%,尤其是2018年,公司整体营收已经过亿。而回头看,当初能准确的预判市场趋势与行业需求,选择了这个产品定位,公司也经过了详细的分析与调研。

云安全是一个巨大的领域,要找准一个对的产品方向,并快速建立起产品壁垒,这一点看上去好像很容易:依靠经验预判市场,找准目标然后撒开腿跑,很大概率就可以跑到前面。事实上,在众多看上去可行的路径前,躲开极具诱惑力的误导选项,选择不做什么并不简单。前几年,云访问安全代理(CASB)在快速发展的美国云市场很火,但由于中国的公有云至今仍未大规模发展,CASB也相应没能在中国市场出现爆发。很多从国外回来创业的安全团队刚开始选择了这个领域,之后也随着市场的降温逐渐放弃转型。伍海桑认为,我国的云计算市场跟美国有很多差异,合规管控的要求和做法不一样,企业对数据放到公有云上的顾虑也更多,所以相比公有云方向,大企业部署私有或专有云会是一种趋势,基于这样的判断,我们在最早选择产品方向的时候就果断放弃了CASB。

除了在产品方向上的看得准,公司能在行业里快速发展,伍海桑认为也离不开以下两点:

第一,把一个东西从物理搬到虚拟空间时,大家的第一反应都是先复制原来的机制,实现功能,然后再来考虑优化。“坦率地说,我们先抓住了这个时间差,在市场大热前,就把功能实现了,接下来又通过在不同行业的应用来检验磨合,让产品不断迭代优化,变得实用和好用。这其实还是得益于我们在起步的时候对于市场预判的准确。”

第二,迭代创新。有了一个好的技术和产品基础后,志翔科技可以做更多新的尝试。还拿泥巴屋隔离风险的例子来说,物理房间打隔断能做成多少空间,需要多少工具,一清二楚。从另一个角度,如果房间是虚拟的,实际上会有更多想象空间。“虚拟房间没有所谓的承重墙之类的局限,建墙拆墙实际上是瞬间的事情。脑洞大开一下,是不是可以以更快的速度完成一个临时隔离空间的构建,这是一个新问题,也是我们正在去解决的。我们把这两点都做到,抓住的就是两个时间差。”伍海桑说。

为 “巡检云”开发的安全机制,仅仅是志翔科技的安全技术和产品在电力行业的一个落地案例。找到一个适用的行业快速落地后,志翔一直在努力将这样的能力复制与调整用于更多领域,并不断的通过渐进和迭代来创新,让其更加实用、好用。在云和大数据的时代,志翔科技将在政法、金融、高科技、教育等领域给出更具想象力的精彩答案。