四大行业客户访谈实录——他们这样建设云安全

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全中心 免费版,不限时长
云安全中心 防病毒版,最高20核 3个月
简介: 中国南方航空、群之脉、众安保险、中国扶贫基金会安全负责人

在云成为新一代基础设施的今天,云安全的重要性已经成为共识,但不同于传统安全的架构与特性,围绕“云安全该如何建设”的讨论也愈发热烈。


阿里云基于多年云上安全治理经验,作为全球第三、国内第一大云服务商,在2022年年初,重磅发布安全年度报告。在此份报告中,我们对来自不同规模、不同云部署模式的4名企业CIO、安全部门负责人进行了深度访谈,近距离描绘各企业在云安全建设中的选择、困惑和现状。


真实的声音最为宝贵,既是对后来者的一份有益参考,也是云安全厂商的一盏指路明灯。


此文为访谈实录快览,预知更多详细内容,可扫描文末二维码获得报告完整内容。


受访对象背景


黄文强    中国南方航空CIO


南航自2016-2017年开始逐步将营销、电商、票务等业务搬到云上,以适应更加开放、弹性的业务需求。目前南航采取了公有云、私有云、IDC共存的混合架构,未来拟进一步提升企业上云率。


贾坤    中国扶贫基金会信息部主任


基金会在2011年做IT建设时开始考虑使用公有云,从2014年开始将逐步将项目部署在公有云上,在2015-2016年两年的时间里,实现了业务全量上云。


康德胜    众安保险CTO


众安保险是国内首家互联网保险公司,由“保险+科技”双引擎驱动,已实现业务全量上云,对金融云部署、云上流量防护等问题有充足经验。


周仕彬  

上海群之脉信息科技有限公司安全负责人

群脉在2010年就开始接触云业务,从国外的亚马逊云、微软云,到国内的阿里云。目前群之脉科技业务上云率达到70-90%,预期在未来五年内达到业务全量上云。


Q

为什么选择上云,上云给业务带来了哪些改变


黄文强

云就像是从辛苦“打井”到接入“自来水管道”。在传统IDC数据中心下,安全的组件、服务器的组件,网络方面……所有东西都是in-house的,都要单独的去申请预算。相关技术人员的招聘、培训方向也是采用传统的内容。


上云之后,我们就可以直接应用云上的现成安全方案、扩容方案,就相当于我们以前是自家打了个水井,人口扩张之后,我需要不停地把水井打深一点,打快一点,所有的打井工作、提水工作都得自己来,现在上云之后,使用云服务商的服务,就相当于家里接了自来水,可以根据我的使用量来去扩大或者减少,我们只需要按需采购、灵活调配就可以了,非常方便,所以整体的预算和采购流程都发生了变化。



周仕彬

我们之前在选购产品的时候,有供应商评审小组,这个小组可能来自财务,产品以及开发团队,选型的时候也是从安全、功能、价格、品牌力这些方面来考虑。因为我们的客户都来自于各行业的头部客户,所以安全也是整个选型中非常重要的一点。在我们整体上云之后,供应商的数量急剧减少,因为阿里云就可以统一输出我们需要的服务器资源,网络资源,还有安全资源,甚至PaaS层的一些资源。


这种基于云的统一采买,包括管理、开票、审计等等,大大地减少了管理的复杂度。以IT部门为例,当前我们IT团队仅有2人,但完全可以支持云上千万级别的资源管理。



贾坤

云带来的高弹性和低成本,支撑起了我们整个后端的生产力。因为我们是一个做公益捐赠的单位,信息化的预算有限,上云以后采购服务的方法比去运维一个IDC的成本是大幅下降的。此外,由于我们业务特性,比如公益网站,一般情况下访问情况稳定,但是如果有突发事件,访问量就会突然间变得很大,在传统环境下很难承载,但云上就可以很好解决这个问题。



Q

上云给安全建设带去了什么变化,企业云安全建设现状如何


周仕彬

回顾群脉的历史,从单点到系统,云安全建设是一个逐渐体系化的过程。


  • 刚上云的时候,核心业务不在云上,没有做任何安全防护;
  • 2014-2015年,开始将核心业务部署在阿里云上,为了保障业务高可用和不间断性,做了一系列业务系统改造;
  • 2016年,业务经历了快速增长,公司进行了几轮渗透测试,发现了很多漏洞。我们一方面是加紧去修复这些漏洞,另外一方面我们开始正式去使用云安全产品,比如说WAF、防火墙等;
  • 2018年,从组织架构侧我们成立了SRE小组,并且采购了安骑士(主机安全产品)、堡垒机等来保护运维安全;
  • 2019年,公司开始把多套核心系统,甚至CI/CD的发布平台都放在了云上,利用云的安全能力来保障更多的系统;
  • 2020年,正式组建了安全团队,邀请了专业的机构来做等保的安全认证,整体规划公司的信息安全管控和合规建设。


在建设云安全的过程中,我们也发现云安全给公司带来了更低的成本(对初创公司非常有帮助)、更规范透明的管理(不需要再采购各类供应商的硬件资源)、更安全方便的身份管理、更高效的自动化…而且,安全还帮助我们争取到了一个核心客户。他非常关注安全的问题。我们就以自己公司的云安全建设作为案例,在和阿里云的共同配合下,这个头部企业不仅采购了我们的产品,同时还把它在中国一半的服务器资源搬到了阿里云上,这其实是一个非常典型的安全、风险、责任共担的案例,阿里云帮我们解决基础平台的安全,我们去负责自己上层业务的安全,给到客户一个从下至上全面的安全保护。



康德盛

相比起线下,云上业务的安全防护模式发生了变化。众安业务从最初就是云原生部署的,目前只有办公环境需要采购一些硬件设备,所以也不需要硬件防火墙,交换机等盒子,维护传统安全硬件、设备的人员预算也变少了。但是相应的,我们也采购了很多SaaS化安全服务产品,来应对云上各类安全威胁。


在部署的安全产品上,我们的基础的安全能力都用的是阿里云的防护,比如说DDoS、VPC之类,可以进行流量的筛选。而因为技术能力、产品发展等等原因,在偏业务领域的方向,我们用的是自己自研的产品,比如说WAF(Web应用防火墙),在流量过滤上可以设置更贴近企业业务逻辑的规则。


当然安全产品的部署也是有一个过程的,我们2013年左右的时候上了阿里云的金融云,当时其实就是把金融云当成一个机房来用,但是在虚拟层之上很多东西都是我们自己来开发的。当然后来会发现云厂商提供的应用、服务很多比我们自己开发的好,投入产出比更高,那么我们就会选择进行替换,现在我们也不断的来看云厂商的哪些产品如果性价比更高,持续关注。


Q

企业云安全建设目前遇到的难点和问题是什么


黄文强

其实云本身的,云底座的,云管平台本身的安全防护能力怎么去保证,是挺重要的,比如购买的安全产品,它对我们来说是一个黑盒,运行维护需要依赖服务商。比如产品发生了一些问题,还是需要云服务商的支持,如果响应不及时,可能就会影响到我们的系统恢复,也希望云服务商能提升企业上云后的安全感。


其次是如何利用好云上安全工具,发挥它的价值,是需要我们把云上和云下的安全工具进行融合,内部去对安全人员进行更多的培训的。企业内部的服务器时代,对人员的培训更多的是集中在数据库、存储层、主机侧,包括开发应用系统层面业务相关的内容,上云之后,培训需要更偏应用和数据层面,以及云底座的知识学习。更重要的是云产品、底座相关的原理,只有在懂原理的基础上,才能正确的使用工具,比如这个是专门针对容器的,这个是专门针对流量的,才能把它使用好。



康德盛

目前云上安全最大的挑战还是在数据安全上,而且国家现在对于数据合规方面也有很多要求,我觉得这也是阻碍很多企业上云的最重要原因之一。一方面涉及大家对于云厂商信任程度的问题,另一方面也是担心云上存在无孔不入的漏洞,导致数据被黑客拿走。


对于众安来说,我们不止有一个云,而是多云,甚至是多厂商之间的多云,我们其实是希望云厂商能够把底层的东西开放出来,通过CASB(云访问安全代理)之类的功能可以实现多云之间的协同,比如通过API可以实现统一管理,这种开放性是我们所需要的。


从数据安全的角度来说,我们需要既存储数据又存储密钥,那对于企业来说,把各个东西放在不同的地方对我们来说更有安全感,但是分成两个机构、两个云去存放,彼此又没有办法互通。另外,比如说我们现在搭建了一个办公网络,那么一定涉及到数据共享的问题。除了数据库以外,很多是文件、文档,大部分都是线下的,当然也包括一些线上的共享文档,主要是提供给大家共同撰写、修改文档的一个功能,但是大部分文档还是比较传统的。那员工把文件拷走了怎么办,员工之间任意共享、传输怎么办?在云上的话,这个牵扯到权限管控的问题,每一台服务器、每一台虚拟机都要管,公司内外部的文件、不同部门的权限分配,还包括在移动端的,手机上的文件共享怎么来管控,这其实一直都是我们的痛点,但是目前解决也不是很好。


Q

未来五年甚至十年,期待云安全会演变成什么样的形态


贾坤

对于像我们这样小规模的企业而言,期待的是开箱即用、自动化程度高、SaaS化部署的云安全产品。比如云防火墙,因为它是边界防护,不需要改动现有任何东西,对客户无感的情况下就可以使用,这种简单的产品对于小机构来说是最有用的。其次,在商业模式上,希望云安全的定价模式可以更灵活一些,提供给企业多种定价阶梯选择,并且支持按量计费。



康德盛

总结起来,我们有三个期待。


第一个,希望云厂商提供更多的开放能力,实现跨平台、跨产品的统一;

第二个,是在数据存储、数据管理上,能够引入第三方托管的概念,比如CASB,云访问安全代理,提升整体数据安全合规的能力;

第三个,我们对于网络安全保险这类产品也比较关注,企业买了这些保险产品之后,可以得到一些保护承诺。



周仕彬

希望安全可以成为一个普惠事业,通过《网络安全法》、《数据安全保护法》、《个人隐私保护法》,我们可以看到安全已经变得越来越重要,对于大的云服务商,他们应该也有一些社会责任来维护互联网的安全。


Q

有没有给予其他企业的云上安全建议


黄文强

首先,上云一定是必然趋势,上云可以给企业带去很多的便利性,也更加安全可靠,把专业的事情交给专业的人去做。


然后做云上安全,还是要充分使用云原生的安全工具,并且要注意安全产品和服务的快速迭代,跟上云安全防护的步伐。


在应用系统部署方面,传统的企业架构不是云原生的,对云的适配性肯定会遇到问题,所以传统的系统架构也要逐步往云原生的方向去改造、去发展。再进一步,互联网就是让所有的公司内部的系统、业务都上网,上云,所以长远来看所有的信息系统都需要用云的技术重新做一遍,以适应云原生的架构。



周仕彬

我觉得首先是要增加对云的了解度,接受度。其实现阶段,很多企业都已经完成了所谓的信息一体化建设,目前在向数字化转型,再说大一点就是“互联网+”这种概念演进。对于这些客户而言,产品的研发,市场的投放,客户的圈选,各类营销活动,在很大程度上都是依赖各种数据的计算分析。如果说企业想做一场活动,预估参与的是1万人,但最终达到10万人,在云下是很难来支持这样一个规格的,云上就可以解决这样的问题。


至于云上的安全建设,我觉得按照云厂商提供的best practice来建设就行,比如一家刚上云的公司,必然需要一个VPC,然后在VPC里把安全组配置好,流量出入口要管控,开启WAF,开启云安全中心及建立好安全基线,网络防火墙和堡垒机结合公司实际情况决定是否开启,流程安全和业务安全更多依赖公司内部管控。现阶段安全靠企业自己来维护和承担,投入成本是非常高的,专业的人专业的公司做专业的事情,我们要将我们的一部分的安全责任、安全需求托管给更专业的云厂商来做。

相关文章
|
云安全 存储 运维
四大行业客户访谈实录——他们这样建设云安全
中国南方航空、群之脉、众安保险、中国扶贫基金会安全负责人深度访谈
279 0
四大行业客户访谈实录——他们这样建设云安全
|
云安全 弹性计算 前端开发
|
云安全 运维 监控
阿里云云安全中心入选Gartner CWPP全球市场指南 为客户提供一体化安全解决方案
这次入选的阿里云云安全中心就是这样一款集主机安全、容器安全和安全运营管理中心为一体的解决方案。通过一个平台实现集中式安全管理,不仅可以做好主机层面的反病毒、防勒索、防黑客等基本安全防护,而且可以实现从安全加固、威胁检测、到调查响应、主动防御为一体的自动化安全运营闭环,让企业里的安全运营人员从海量告警中解放出来,同时帮助云上缺乏专业安全运营人员的客户自动修复安全问题,实现全方位默认安全防护。
575 0
阿里云云安全中心入选Gartner CWPP全球市场指南 为客户提供一体化安全解决方案
|
1月前
|
云安全 人工智能 自然语言处理
用AI来做云安全是怎样一种体验?阿里云安全AI能力大曝光
阿里云内容安全大模型获CSA安全金盾奖
1039 2
|
1月前
|
云安全 安全 数据安全/隐私保护
带你读《阿里云安全白皮书》(十八)——云上安全重要支柱(12)
随着数智化发展,企业面临复杂的资产管理需求。阿里云提供全链路身份管控与精细化授权方案,涵盖细粒度权限管理和身份凭证保护,确保数据资产安全。支持多因素认证和最小权限原则,减少风险暴露,提升企业安全效率。详情见《阿里云安全白皮书(2024版)》。
|
1月前
|
云安全 安全 网络安全
带你读《阿里云安全白皮书》(十一)——云上安全重要支柱(5)
阿里云通过内部红蓝对抗体系,常态化模拟真实场景下的APT攻击,持续提升平台安全性。蓝军团队采用MITRE ATT&CK框架,系统模拟外部攻击,红军团队则进行持续防守。整个过程包括攻击规划、执行和复盘修复阶段,确保及时发现并修复安全漏洞,提升整体防御水平。
|
1月前
|
存储 云安全 人工智能
带你读《阿里云安全白皮书》(二十四)——云上安全建设最佳实践(2)
本文介绍了阿里云在AI大模型云上安全方面的最佳实践,涵盖数据安全、模型安全、内容安全和合规性四大关键挑战。阿里云通过数据加密、私有链接传输、机密计算等技术手段,确保数据和模型的安全性;同时,提供内容安全检测、Prompt问答护栏等功能,保障生成内容的合法合规。此外,阿里云还帮助企业完成算法及模型备案,助力客户在AI大模型时代安全、合规地发展。
|
1月前
|
云安全 安全 数据可视化
带你读《阿里云安全白皮书》(十二)——云上安全重要支柱(6)
阿里云构建了7x24小时全自动化红蓝对抗平台,通过深度整合内外部攻防案例,进行高频次、自动化的演练,提升对复杂攻击的应对能力,确保安全防护体系持续优化。平台具备全自动化演练、随机性与多样化、可视化输出、节点负载智能控制、日志追踪与审计、应急场景秒级熔断等特性,确保演练过程稳定高效。

热门文章

最新文章

相关产品

  • 云安全中心