云安全越來越火了。

一個可以佐證的細節(jié)是——在今年3月，被譽為全球安全市場風向標的舊金山RSA大會上，一個主題為“云上做網(wǎng)絡安全”的論壇快開始了，門口仍然有三排人等待入場。一位大廠的參會者感慨，從企業(yè)IT基礎設施角度看，上云無疑已經(jīng)成了眾多業(yè)務方近年來的第一選擇，也使得市場上廠商開始基于云做更合適的安全產(chǎn)品。

關注點轉移

志翔科技產(chǎn)品副總裁伍海桑博士也關注了 RSA 很多年。十幾年前，他從清華大學畢業(yè)后到美國讀書，畢業(yè)后就踏進了網(wǎng)絡公司 Juniper，參與了當時世界上最快防火墻的研發(fā)，隨后在華為西歐地區(qū)部負責網(wǎng)絡產(chǎn)品管理和市場開拓。后來，他又到愛立信做云計算和虛擬化方向的產(chǎn)品。接下來，就是和朋友們一起創(chuàng)業(yè)，成立安全公司志翔科技。

伍海桑

創(chuàng)業(yè)的人要跑得要比市場的風更快一些，才有可能成功。志翔科技定位于將大數(shù)據(jù)技術應用于解決數(shù)據(jù)和業(yè)務安全問題，隨著企業(yè)數(shù)字化轉型，數(shù)據(jù)與業(yè)務的云化，志翔科技的產(chǎn)品和解決方案也在向虛擬化與云的形態(tài)快速延伸。 

數(shù)據(jù)安全和云安全近幾年一直高居RSA熱詞前列，盡管去年歐洲 GDPR的實施讓數(shù)據(jù)安全中的合規(guī)成為一時大熱，但今年云安全和數(shù)據(jù)安全又再此回歸關注熱榜前兩名，這也印證了伍海桑和志翔創(chuàng)業(yè)團隊五年前開始創(chuàng)業(yè)時，在產(chǎn)品方向選擇上眼光的準確性。

云安全是一個很大的范疇，包含很多領域，簡單的可以歸納為“上云的安全”和“云上的安全”，伍海?？偨Y。上云的安全，是描述對于云作為基礎設施的的各種安全顧慮，亦即云自身的安全，比如，云基礎設施建設安全、云主機加固、防病毒、防DDoS等“打地基蓋房子”階段的問題；而云上的安全則是企業(yè)上云后，面臨的安全運維、身份認證、業(yè)務合規(guī)、多租戶信息安全等眾多風險挑戰(zhàn)。

面對眾多的市場需求和選擇，志翔如何選定自身的方向？“行業(yè)和市場趨勢是有跡可循的，對照國外云市場的發(fā)展——從IaaS為主逐漸向SaaS轉移，國內(nèi)的云市場也會遵循這樣的軌跡。通俗的說就是從圈地打地基，到開始建房裝修?！蔽楹ＩＵJ為，安全是緊貼業(yè)務而發(fā)展與演進的，我們預判，安全的需求會在云計算走向應用的階段，進一步釋放與爆發(fā)，企業(yè)上云的趨勢不可逆，相應，云上的安全，像身份認證、安全接入、業(yè)務合規(guī)、云端數(shù)據(jù)管控和安全運維等等一系列問題都將成為熱點。 

“這些問題催生出很多新的技術手段與產(chǎn)品，而我們當時想的要做一個產(chǎn)品，是去把這些上云的企業(yè)和機構從安全的顧慮和安全的束縛中解放出來，讓企業(yè)不管身處怎樣的虛擬環(huán)境，都能專注于高效創(chuàng)新和業(yè)務發(fā)展，不被安全所累。在這個目標下，怎么去做呢，我們把“無邊界’和‘零信任’作為了整體產(chǎn)品和解決方案設計的核心理念?！蔽楹Ｉ卒h網(wǎng)說?！盁o邊界”指我們要擯棄過去的邊界安全、筑墻保護觀念，把無處不在的數(shù)據(jù)，和來自人與設備隨時隨地的操作訪問作為安全保護的重點；而“零信任”是默認任何訪問者都存在未知風險，要隔離他們與業(yè)務系統(tǒng)、數(shù)據(jù)，以身份權限（也就是誰能在什么時間做什么這些問題）作為新的安全邊界，來建立工作模式。通過這種方式才能夠更好的兼顧與平衡業(yè)務數(shù)據(jù)的安全和工作效率。方向定下來，一切就變得清晰。

志翔對電力“巡檢云”的安全管控，就是一個經(jīng)典的云上安全案例

“接下來，我們就開始圍繞這個核心，貼合不同行業(yè)上云與云上的實際安全痛點，來進行產(chǎn)品和解決方案延伸與落地。目前已經(jīng)應用于電力行業(yè)的志翔‘巡檢云’安全解決方案就是一個典型的實例。”

伍海桑向雷鋒網(wǎng)介紹，電力企業(yè)在全國各地有龐大的傳輸基礎設施，這些設備由外包人員定期巡查、排檢來進行設備的運維與監(jiān)控，是常見且高效的選擇。但是這個過程中，企業(yè)面臨兩大業(yè)務安全問題。首先，出于成本等多種因素考慮，外包人員一般都用手機等自有終端進行數(shù)據(jù)采集上傳，終端種類多、難管理，難以確保上傳數(shù)據(jù)與內(nèi)容安全可信；其次，數(shù)據(jù)被上傳到服務器后，如何按操作訪問權限正確分配給相應部門開展業(yè)務也成難題。

對于電力企業(yè)而言，巡檢排查統(tǒng)計等任務，已經(jīng)上云了，叫“巡檢云”。企業(yè)希望在其“巡檢云”中，有一套云安全機制，能幫他們實現(xiàn)：

1、在例行巡檢工程量很大的情況下，外包人員能靈活高效地完成巡檢任務。

2、無論外包巡檢人員使用終端和所上傳的數(shù)據(jù)安全狀況如何，最終進入服務器用于下一步業(yè)務開展的數(shù)據(jù)安全、可信，并確保服務器端存儲安全和合規(guī)管理、訪問及操作；

根據(jù)這樣的需求，簡單的說，“巡檢云”本身有很高的安全要求，而外包巡檢人員所使用的終端設備和上傳的數(shù)據(jù)等，是很難保證其“干凈度”和“安全性”的。在這種條件下，不妨換用云時代的思路來解決問題：不用花過多精力來管控這些終端設備，而把安全關注點集中到云這端來。

志翔在“巡檢云”中提供的安全機制，很好的將“零信任”付諸于產(chǎn)品，利用分布式防火墻、微隔離、可信計算等技術手段，構筑可靠的環(huán)境來讓數(shù)據(jù)-應用-進程等各司其位，并對服務器端數(shù)據(jù)按業(yè)務需求進行隔離于合規(guī)管控，讓電力企業(yè)巡檢業(yè)務風險的問題迎刃而解。

“我打個比方，這個實現(xiàn)過程就像讓在外面玩了滿身泥巴的孩子，到家快速收拾干凈吃飯、休息，盡量少的把泥帶進家里?！蔽楹Ｉ＝榻B?！皣獾姆孔哟蠖嘤袀€“泥巴屋”，特別適合有小孩子的家庭。小孩在外面隨便玩，弄得一身泥，回來就先進泥巴屋，把臟衣服和鞋都脫了，這就像是我們對上傳數(shù)據(jù)的第一道過濾和對程序的管控。泥巴衣服鞋子都處理差不多了，再進到屋里去洗澡，這是第二道清洗。”

經(jīng)過過濾和清洗，“干凈”的數(shù)據(jù)上傳到服務器，接下來還有一套更嚴格的安全機制。“我再打個比方，這就像咱在家里的吃飯和起居衛(wèi)生，規(guī)定這種鞋只能在洗手間洗澡穿，另一種鞋只能在臥室里穿，睡覺有專門的睡衣，這放在我們這個安全的案例里，就是‘可信計算’——只有滿足了某種條件才有身份權限干這件事?！?/p>

這些是志翔在“巡檢云”中安全機制的基本工作原理，而同時，我們花了很多的精力，來深入的了解客戶業(yè)務，貼合客戶的業(yè)務特性、工作需求不斷打磨，讓客戶的“巡檢云”不僅能做到可用，更要實用和好用。

就拿實用來說，要考慮到應對問題的規(guī)模和響應速度。因為國家要求了巡檢排查的頻度，布線人數(shù)，以往電力企業(yè)通過云專網(wǎng)的傳統(tǒng)方式也可以解決問題，但是響應和問題處理的速度都非常慢，效率低下。

“還拿泥巴屋來打比方，這就像是對泥巴屋位置的考慮。如果蓋房，大家都一定會把泥巴屋放在從車庫進房子的地方，或者是從后院進房子的門廊這里，肯定不會設在屋內(nèi)的廁所旁邊，因為我要小孩不把臟衣服穿進門弄臟屋子。所以，是把‘泥巴屋’統(tǒng)一設在一個地方，還是在房屋的每一個入口都設置一個，這個決定于使用的頻度和范圍，是大隔離和微隔離的權衡，是保證實用性必須考慮的問題?！蔽楹Ｉ卒h網(wǎng)說。

而同時，如果某地有突發(fā)的小范圍區(qū)域強化巡檢需求，能否做到以分鐘級的響應速度快速搭建一個臨時的“泥巴屋”來提供隔離與可信環(huán)境，這就是“好用”要回答的問題，這也可以說是云計算中，資源調(diào)度應該具有的大優(yōu)勢。這些都是我們需要不斷去迭代和優(yōu)化的方向。

在云安全領域，選準方向，跑在前面？

目前，志翔這套安全解決方案已經(jīng)進入部署，從行業(yè)口碑和實際收益上都給公司帶來很大回報。志翔科技在過去三年每年營收增長均超過100%，尤其是2018年，公司整體營收已經(jīng)過億。而回頭看，當初能準確的預判市場趨勢與行業(yè)需求，選擇了這個產(chǎn)品定位，公司也經(jīng)過了詳細的分析與調(diào)研。

云安全是一個巨大的領域，要找準一個對的產(chǎn)品方向，并快速建立起產(chǎn)品壁壘，這一點看上去好像很容易：依靠經(jīng)驗預判市場，找準目標然后撒開腿跑，很大概率就可以跑到前面。事實上，在眾多看上去可行的路徑前，躲開極具誘惑力的誤導選項，選擇不做什么并不簡單。前幾年，云訪問安全代理（CASB）在快速發(fā)展的美國云市場很火，但由于中國的公有云至今仍未大規(guī)模發(fā)展，CASB也相應沒能在中國市場出現(xiàn)爆發(fā)。很多從國外回來創(chuàng)業(yè)的安全團隊剛開始選擇了這個領域，之后也隨著市場的降溫逐漸放棄轉型。伍海桑認為，我國的云計算市場跟美國有很多差異，合規(guī)管控的要求和做法不一樣，企業(yè)對數(shù)據(jù)放到公有云上的顧慮也更多，所以相比公有云方向，大企業(yè)部署私有或專有云會是一種趨勢，基于這樣的判斷，我們在最早選擇產(chǎn)品方向的時候就果斷放棄了CASB。

除了在產(chǎn)品方向上的看得準，公司能在行業(yè)里快速發(fā)展，伍海桑認為也離不開以下兩點：

第一，把一個東西從物理搬到虛擬空間時，大家的第一反應都是先復制原來的機制，實現(xiàn)功能，然后再來考慮優(yōu)化?！疤孤实卣f，我們先抓住了這個時間差，在市場大熱前，就把功能實現(xiàn)了，接下來又通過在不同行業(yè)的應用來檢驗磨合，讓產(chǎn)品不斷迭代優(yōu)化，變得實用和好用。這其實還是得益于我們在起步的時候對于市場預判的準確?！?/p>

第二，迭代創(chuàng)新。有了一個好的技術和產(chǎn)品基礎后，志翔科技可以做更多新的嘗試。還拿泥巴屋隔離風險的例子來說，物理房間打隔斷能做成多少空間，需要多少工具，一清二楚。從另一個角度，如果房間是虛擬的，實際上會有更多想象空間?！疤摂M房間沒有所謂的承重墻之類的局限，建墻拆墻實際上是瞬間的事情。腦洞大開一下，是不是可以以更快的速度完成一個臨時隔離空間的構建，這是一個新問題，也是我們正在去解決的。我們把這兩點都做到，抓住的就是兩個時間差?！蔽楹ＩＵf。

為 “巡檢云”開發(fā)的安全機制，僅僅是志翔科技的安全技術和產(chǎn)品在電力行業(yè)的一個落地案例。找到一個適用的行業(yè)快速落地后，志翔一直在努力將這樣的能力復制與調(diào)整用于更多領域，并不斷的通過漸進和迭代來創(chuàng)新，讓其更加實用、好用。在云和大數(shù)據(jù)的時代，志翔科技將在政法、金融、高科技、教育等領域給出更具想象力的精彩答案。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。