云安全越來越火了。

一個(gè)可以佐證的細(xì)節(jié)是——在今年3月，被譽(yù)為全球安全市場風(fēng)向標(biāo)的舊金山RSA大會上，一個(gè)主題為“云上做網(wǎng)絡(luò)安全”的論壇快開始了，門口仍然有三排人等待入場。一位大廠的參會者感慨，從企業(yè)IT基礎(chǔ)設(shè)施角度看，上云無疑已經(jīng)成了眾多業(yè)務(wù)方近年來的第一選擇，也使得市場上廠商開始基于云做更合適的安全產(chǎn)品。

關(guān)注點(diǎn)轉(zhuǎn)移

志翔科技產(chǎn)品副總裁伍海桑博士也關(guān)注了 RSA 很多年。十幾年前，他從清華大學(xué)畢業(yè)后到美國讀書，畢業(yè)后就踏進(jìn)了網(wǎng)絡(luò)公司 Juniper，參與了當(dāng)時(shí)世界上最快防火墻的研發(fā)，隨后在華為西歐地區(qū)部負(fù)責(zé)網(wǎng)絡(luò)產(chǎn)品管理和市場開拓。后來，他又到愛立信做云計(jì)算和虛擬化方向的產(chǎn)品。接下來，就是和朋友們一起創(chuàng)業(yè)，成立安全公司志翔科技。

伍海桑

創(chuàng)業(yè)的人要跑得要比市場的風(fēng)更快一些，才有可能成功。志翔科技定位于將大數(shù)據(jù)技術(shù)應(yīng)用于解決數(shù)據(jù)和業(yè)務(wù)安全問題，隨著企業(yè)數(shù)字化轉(zhuǎn)型，數(shù)據(jù)與業(yè)務(wù)的云化，志翔科技的產(chǎn)品和解決方案也在向虛擬化與云的形態(tài)快速延伸。 

數(shù)據(jù)安全和云安全近幾年一直高居RSA熱詞前列，盡管去年歐洲 GDPR的實(shí)施讓數(shù)據(jù)安全中的合規(guī)成為一時(shí)大熱，但今年云安全和數(shù)據(jù)安全又再此回歸關(guān)注熱榜前兩名，這也印證了伍海桑和志翔創(chuàng)業(yè)團(tuán)隊(duì)五年前開始創(chuàng)業(yè)時(shí)，在產(chǎn)品方向選擇上眼光的準(zhǔn)確性。

云安全是一個(gè)很大的范疇，包含很多領(lǐng)域，簡單的可以歸納為“上云的安全”和“云上的安全”，伍海?？偨Y(jié)。上云的安全，是描述對于云作為基礎(chǔ)設(shè)施的的各種安全顧慮，亦即云自身的安全，比如，云基礎(chǔ)設(shè)施建設(shè)安全、云主機(jī)加固、防病毒、防DDoS等“打地基蓋房子”階段的問題；而云上的安全則是企業(yè)上云后，面臨的安全運(yùn)維、身份認(rèn)證、業(yè)務(wù)合規(guī)、多租戶信息安全等眾多風(fēng)險(xiǎn)挑戰(zhàn)。

面對眾多的市場需求和選擇，志翔如何選定自身的方向？“行業(yè)和市場趨勢是有跡可循的，對照國外云市場的發(fā)展——從IaaS為主逐漸向SaaS轉(zhuǎn)移，國內(nèi)的云市場也會遵循這樣的軌跡。通俗的說就是從圈地打地基，到開始建房裝修。”伍海桑認(rèn)為，安全是緊貼業(yè)務(wù)而發(fā)展與演進(jìn)的，我們預(yù)判，安全的需求會在云計(jì)算走向應(yīng)用的階段，進(jìn)一步釋放與爆發(fā)，企業(yè)上云的趨勢不可逆，相應(yīng)，云上的安全，像身份認(rèn)證、安全接入、業(yè)務(wù)合規(guī)、云端數(shù)據(jù)管控和安全運(yùn)維等等一系列問題都將成為熱點(diǎn)。 

“這些問題催生出很多新的技術(shù)手段與產(chǎn)品，而我們當(dāng)時(shí)想的要做一個(gè)產(chǎn)品，是去把這些上云的企業(yè)和機(jī)構(gòu)從安全的顧慮和安全的束縛中解放出來，讓企業(yè)不管身處怎樣的虛擬環(huán)境，都能專注于高效創(chuàng)新和業(yè)務(wù)發(fā)展，不被安全所累。在這個(gè)目標(biāo)下，怎么去做呢，我們把“無邊界’和‘零信任’作為了整體產(chǎn)品和解決方案設(shè)計(jì)的核心理念?！蔽楹Ｉ卒h網(wǎng)說。“無邊界”指我們要擯棄過去的邊界安全、筑墻保護(hù)觀念，把無處不在的數(shù)據(jù)，和來自人與設(shè)備隨時(shí)隨地的操作訪問作為安全保護(hù)的重點(diǎn)；而“零信任”是默認(rèn)任何訪問者都存在未知風(fēng)險(xiǎn)，要隔離他們與業(yè)務(wù)系統(tǒng)、數(shù)據(jù)，以身份權(quán)限（也就是誰能在什么時(shí)間做什么這些問題）作為新的安全邊界，來建立工作模式。通過這種方式才能夠更好的兼顧與平衡業(yè)務(wù)數(shù)據(jù)的安全和工作效率。方向定下來，一切就變得清晰。

志翔對電力“巡檢云”的安全管控，就是一個(gè)經(jīng)典的云上安全案例

“接下來，我們就開始圍繞這個(gè)核心，貼合不同行業(yè)上云與云上的實(shí)際安全痛點(diǎn)，來進(jìn)行產(chǎn)品和解決方案延伸與落地。目前已經(jīng)應(yīng)用于電力行業(yè)的志翔‘巡檢云’安全解決方案就是一個(gè)典型的實(shí)例?！?/p>

伍海桑向雷鋒網(wǎng)介紹，電力企業(yè)在全國各地有龐大的傳輸基礎(chǔ)設(shè)施，這些設(shè)備由外包人員定期巡查、排檢來進(jìn)行設(shè)備的運(yùn)維與監(jiān)控，是常見且高效的選擇。但是這個(gè)過程中，企業(yè)面臨兩大業(yè)務(wù)安全問題。首先，出于成本等多種因素考慮，外包人員一般都用手機(jī)等自有終端進(jìn)行數(shù)據(jù)采集上傳，終端種類多、難管理，難以確保上傳數(shù)據(jù)與內(nèi)容安全可信；其次，數(shù)據(jù)被上傳到服務(wù)器后，如何按操作訪問權(quán)限正確分配給相應(yīng)部門開展業(yè)務(wù)也成難題。

對于電力企業(yè)而言，巡檢排查統(tǒng)計(jì)等任務(wù)，已經(jīng)上云了，叫“巡檢云”。企業(yè)希望在其“巡檢云”中，有一套云安全機(jī)制，能幫他們實(shí)現(xiàn)：

1、在例行巡檢工程量很大的情況下，外包人員能靈活高效地完成巡檢任務(wù)。

2、無論外包巡檢人員使用終端和所上傳的數(shù)據(jù)安全狀況如何，最終進(jìn)入服務(wù)器用于下一步業(yè)務(wù)開展的數(shù)據(jù)安全、可信，并確保服務(wù)器端存儲安全和合規(guī)管理、訪問及操作；

根據(jù)這樣的需求，簡單的說，“巡檢云”本身有很高的安全要求，而外包巡檢人員所使用的終端設(shè)備和上傳的數(shù)據(jù)等，是很難保證其“干凈度”和“安全性”的。在這種條件下，不妨換用云時(shí)代的思路來解決問題：不用花過多精力來管控這些終端設(shè)備，而把安全關(guān)注點(diǎn)集中到云這端來。

志翔在“巡檢云”中提供的安全機(jī)制，很好的將“零信任”付諸于產(chǎn)品，利用分布式防火墻、微隔離、可信計(jì)算等技術(shù)手段，構(gòu)筑可靠的環(huán)境來讓數(shù)據(jù)-應(yīng)用-進(jìn)程等各司其位，并對服務(wù)器端數(shù)據(jù)按業(yè)務(wù)需求進(jìn)行隔離于合規(guī)管控，讓電力企業(yè)巡檢業(yè)務(wù)風(fēng)險(xiǎn)的問題迎刃而解。

“我打個(gè)比方，這個(gè)實(shí)現(xiàn)過程就像讓在外面玩了滿身泥巴的孩子，到家快速收拾干凈吃飯、休息，盡量少的把泥帶進(jìn)家里?！蔽楹Ｉ＝榻B?！皣獾姆孔哟蠖嘤袀€(gè)“泥巴屋”，特別適合有小孩子的家庭。小孩在外面隨便玩，弄得一身泥，回來就先進(jìn)泥巴屋，把臟衣服和鞋都脫了，這就像是我們對上傳數(shù)據(jù)的第一道過濾和對程序的管控。泥巴衣服鞋子都處理差不多了，再進(jìn)到屋里去洗澡，這是第二道清洗?！?/p>

經(jīng)過過濾和清洗，“干凈”的數(shù)據(jù)上傳到服務(wù)器，接下來還有一套更嚴(yán)格的安全機(jī)制?！拔以俅騻€(gè)比方，這就像咱在家里的吃飯和起居衛(wèi)生，規(guī)定這種鞋只能在洗手間洗澡穿，另一種鞋只能在臥室里穿，睡覺有專門的睡衣，這放在我們這個(gè)安全的案例里，就是‘可信計(jì)算’——只有滿足了某種條件才有身份權(quán)限干這件事?！?/p>

這些是志翔在“巡檢云”中安全機(jī)制的基本工作原理，而同時(shí)，我們花了很多的精力，來深入的了解客戶業(yè)務(wù)，貼合客戶的業(yè)務(wù)特性、工作需求不斷打磨，讓客戶的“巡檢云”不僅能做到可用，更要實(shí)用和好用。

就拿實(shí)用來說，要考慮到應(yīng)對問題的規(guī)模和響應(yīng)速度。因?yàn)閲乙罅搜矙z排查的頻度，布線人數(shù)，以往電力企業(yè)通過云專網(wǎng)的傳統(tǒng)方式也可以解決問題，但是響應(yīng)和問題處理的速度都非常慢，效率低下。

“還拿泥巴屋來打比方，這就像是對泥巴屋位置的考慮。如果蓋房，大家都一定會把泥巴屋放在從車庫進(jìn)房子的地方，或者是從后院進(jìn)房子的門廊這里，肯定不會設(shè)在屋內(nèi)的廁所旁邊，因?yàn)槲乙『⒉话雅K衣服穿進(jìn)門弄臟屋子。所以，是把‘泥巴屋’統(tǒng)一設(shè)在一個(gè)地方，還是在房屋的每一個(gè)入口都設(shè)置一個(gè)，這個(gè)決定于使用的頻度和范圍，是大隔離和微隔離的權(quán)衡，是保證實(shí)用性必須考慮的問題?！蔽楹Ｉ卒h網(wǎng)說。

而同時(shí)，如果某地有突發(fā)的小范圍區(qū)域強(qiáng)化巡檢需求，能否做到以分鐘級的響應(yīng)速度快速搭建一個(gè)臨時(shí)的“泥巴屋”來提供隔離與可信環(huán)境，這就是“好用”要回答的問題，這也可以說是云計(jì)算中，資源調(diào)度應(yīng)該具有的大優(yōu)勢。這些都是我們需要不斷去迭代和優(yōu)化的方向。

在云安全領(lǐng)域，選準(zhǔn)方向，跑在前面？

目前，志翔這套安全解決方案已經(jīng)進(jìn)入部署，從行業(yè)口碑和實(shí)際收益上都給公司帶來很大回報(bào)。志翔科技在過去三年每年?duì)I收增長均超過100%，尤其是2018年，公司整體營收已經(jīng)過億。而回頭看，當(dāng)初能準(zhǔn)確的預(yù)判市場趨勢與行業(yè)需求，選擇了這個(gè)產(chǎn)品定位，公司也經(jīng)過了詳細(xì)的分析與調(diào)研。

云安全是一個(gè)巨大的領(lǐng)域，要找準(zhǔn)一個(gè)對的產(chǎn)品方向，并快速建立起產(chǎn)品壁壘，這一點(diǎn)看上去好像很容易：依靠經(jīng)驗(yàn)預(yù)判市場，找準(zhǔn)目標(biāo)然后撒開腿跑，很大概率就可以跑到前面。事實(shí)上，在眾多看上去可行的路徑前，躲開極具誘惑力的誤導(dǎo)選項(xiàng)，選擇不做什么并不簡單。前幾年，云訪問安全代理（CASB）在快速發(fā)展的美國云市場很火，但由于中國的公有云至今仍未大規(guī)模發(fā)展，CASB也相應(yīng)沒能在中國市場出現(xiàn)爆發(fā)。很多從國外回來創(chuàng)業(yè)的安全團(tuán)隊(duì)剛開始選擇了這個(gè)領(lǐng)域，之后也隨著市場的降溫逐漸放棄轉(zhuǎn)型。伍海桑認(rèn)為，我國的云計(jì)算市場跟美國有很多差異，合規(guī)管控的要求和做法不一樣，企業(yè)對數(shù)據(jù)放到公有云上的顧慮也更多，所以相比公有云方向，大企業(yè)部署私有或?qū)Ｓ性茣且环N趨勢，基于這樣的判斷，我們在最早選擇產(chǎn)品方向的時(shí)候就果斷放棄了CASB。

除了在產(chǎn)品方向上的看得準(zhǔn)，公司能在行業(yè)里快速發(fā)展，伍海桑認(rèn)為也離不開以下兩點(diǎn)：

第一，把一個(gè)東西從物理搬到虛擬空間時(shí)，大家的第一反應(yīng)都是先復(fù)制原來的機(jī)制，實(shí)現(xiàn)功能，然后再來考慮優(yōu)化?！疤孤实卣f，我們先抓住了這個(gè)時(shí)間差，在市場大熱前，就把功能實(shí)現(xiàn)了，接下來又通過在不同行業(yè)的應(yīng)用來檢驗(yàn)?zāi)ズ希尞a(chǎn)品不斷迭代優(yōu)化，變得實(shí)用和好用。這其實(shí)還是得益于我們在起步的時(shí)候?qū)τ谑袌鲱A(yù)判的準(zhǔn)確?！?/p>

第二，迭代創(chuàng)新。有了一個(gè)好的技術(shù)和產(chǎn)品基礎(chǔ)后，志翔科技可以做更多新的嘗試。還拿泥巴屋隔離風(fēng)險(xiǎn)的例子來說，物理房間打隔斷能做成多少空間，需要多少工具，一清二楚。從另一個(gè)角度，如果房間是虛擬的，實(shí)際上會有更多想象空間?！疤摂M房間沒有所謂的承重墻之類的局限，建墻拆墻實(shí)際上是瞬間的事情。腦洞大開一下，是不是可以以更快的速度完成一個(gè)臨時(shí)隔離空間的構(gòu)建，這是一個(gè)新問題，也是我們正在去解決的。我們把這兩點(diǎn)都做到，抓住的就是兩個(gè)時(shí)間差?！蔽楹ＩＵf。

為 “巡檢云”開發(fā)的安全機(jī)制，僅僅是志翔科技的安全技術(shù)和產(chǎn)品在電力行業(yè)的一個(gè)落地案例。找到一個(gè)適用的行業(yè)快速落地后，志翔一直在努力將這樣的能力復(fù)制與調(diào)整用于更多領(lǐng)域，并不斷的通過漸進(jìn)和迭代來創(chuàng)新，讓其更加實(shí)用、好用。在云和大數(shù)據(jù)的時(shí)代，志翔科技將在政法、金融、高科技、教育等領(lǐng)域給出更具想象力的精彩答案。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。