云安全产品助力客户构建降本与增效的平衡体系

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全中心漏洞修复资源包免费试用,100次1年
云安全中心 防病毒版,最高20核 3个月
简介: 本次分享由阿里云智能集团安全产品专家王忠雨主讲,主题为“云安全产品助力客户构建降本与增效的平衡体系”。内容涵盖企业降本增效的背景、挑战及解决方案。通过合理使用云安全产品资源,如跨云、跨账号和跨地域的统一管理,实现资源利用率提升和成本降低。同时,自动化运维和智能化运营的最佳实践,如WAF智能白名单和云防火墙策略梳理,进一步提高了管理效率。最后介绍了云安全产品的售卖逻辑优化,如弹性付费和阶梯价格,帮助客户在不同场景下灵活控制成本。

云安全产品助力客户构建降本与增效的平衡体系

 

内容介绍:

一、企业降本增效的背景趋势和挑战

二、合理使用云安全产品资源降本

三、自动化运维提升管理效率最佳实践

四、合理使用云安全产品售卖逻辑降本

 

本次分享的主题是云安全产品助力客户构建降本与增效的平衡体系,由阿里云智能集团安全产品专家王忠雨分享。

 

一、企业降本增效的背景趋势和挑战

分享两组数据,第一组数据,是统计所有上市公司的半年报在关键策略中提及的降本增效,这样的公司数据在近两年有非常明显的上升趋势。第二个数据,是一个调研报告,其调研的主要是一些企业的创新策略分布,而这个分布在地域上,要么在国内深挖,要么出海。而在创新策略上,要么通过新的创新策略带来增长点,要么不太关注增长。它们重点关注的是通过提效来提升利润率,当然也有一些业务会选择收敛掉可能变化的业务,从而聚焦到核心业务上

这代表着降本增效的核心就是企业创新的核心策略,通过降本增效提升利用率是目前选择最多的。这两组数据表明,大部分企业都在面临降本和增效策略所带来的一些问题和困难。其实我们是属于一个it相关的团队或者组织。那么提到降本增效对于it团队来讲,它的挑战是巨大的。首先是优先级的问题,在it的系统上,云安全产品也在支撑着所有的业务,降本增效到底应该从谁开始这个优先级应该如何衡量,每个人降多少,这都是it团队面临的问题。

第二个问题是降本指标给到it,it要承担风险这里面主要的风险有两个,第一个是稳定性风险,如果某机器不要了,那这个机器它导致业务停止怎么办?第二个是安全合规的风险,如果在降本的过程中收敛到了一些安全的设备,那他所带的安全的合规风险往往是不可预估的。当然除了这两个之外,还有一个是降本的可持续性,比如你今年降本了,那你明年还怎么降?往往有很多收敛资源的策略是不可持续的。

今年降了百分之三十,明年再需要降百分之三十的时候,这是没有办法完成的。基于这个逻辑,从降本的角度来讲,大家潜意识里会觉得减少一些人力的投入,以及资源的投入,但对比起来,更建议大家选择合理的资源分配,因为有很多客户的资源的使用,是没有达到很高的利用率的,那么从增效的角度来讲,支撑规范化和数字化这两个点的建设成本是比较高的,也就是为了降本,可能需要做一个bi,把我的所有的资源先捅进去,那么它的门槛和周期就会比较长,所以建议通过自动化和智能化的手段来提升在运维过程的效率。

 

二、合理使用云安全产品资源降本

接下来是比较具体的内容,即如何提升利用率。第一个场景是跨云,今天有很多客户的业务是没有all in到任何一家云的,并且也有很多客户也没有all in到idc。他们的业务形态往往都是分布在不同的云和idc上,那么大家可能会有范事的习惯,即用了谁家云资源,或者IDC资源,即选择所提供的选择范围内的安全产品。

而这是大家的习惯性意识,它会导致我们购买很多个厂商的安全产品,并且这些不同厂商的安全产品会部署在不同的云和idc上。而这些不同的云、不同的idc以及不同的厂商的安全产品会有不同的管理方式和策略模板,那么其管理成本就很高,另外如果我们要买一个硬件的安全产品,或者买云厂商的包年包月的付费模式,一般来讲门槛是5000qps,如果我们有十个机房或者云,那么就需要买十个5000qps的设备,意味着50000qps的资源只带了两万的效益,而这带来了大量的资源浪费。

那么云的方案是什么样的呢?通过一套方案实现统一的管理和控制,在实现统一的管理和控制的同时,共享同一套资源,那么在资源中waf的方式,便可以实现对其他云的介入,同时waf的产品可以支持软件化部署到IDC,也可以防护住内网的集成应用流量,同时也可以进行主题的防护。而整个平台的管理和策略都是统一的,这样的方案它首先会降本,从而使跨云的版本规模的成本得到大幅的下降。第二个是增效,只需要管理一个控制台,不需要来回切换,也不需要学习不同安全产品的配置逻辑。第三,它是体质的因为所有的云和资源都享有阿里云级别的防护能力,并且所有的规则会自动的实时更新,不需要额外投入更多的资源。

第二个场景是跨账号,有很多客户用了阿里云就会有很多的账号,因为它的业务组织比较复杂,可能有a团队、b团队,并且每个团队都用自己的账号来管理自己的资源,这给安全管理带来了很大的挑战。在组织架构中,安全管理的人员可能是一个团队或者是一个人,那么就意味着他需要这些账号都给他分配子账号,然后匹配对应的安全策略,并且每个账号单独买一些安全产品,尤其是和云产品相关联的,比如wasp云产品接入模式、高仿的原生防护。

主机安全是基于账号的资产进行相关的安全防护,这意味着需要在不同的账号买不同的安全产品,这带来了极大的管理成本的浪费,在今年,大部分产品都已经支持了多账号的管理,多账号指的是b账号可以通过资源目录id的平台,把它的安全产品委托给账号1进行统一的管理,而这意味着所有的安全资源,即产品的规格消耗都是账号业务的规格。在这里,可能也会有业务问,账号2也需要去管理怎么办?这种场景只要在账号里面再通过账号进行资源的隔离和管理的划分,便可以实现上述的场景,这也是多账号场景目前比较好的方案,它能够覆盖大部分客户的业务的实际场景,进行降本、提质和增效,同时配置侧流水拉起会变得更快、更准。

而在这里大家平时不会太关注的点是跨region的资源整合,如果您用了阿里云安全的多region的方案,然后部署了传统的安全方案,就需要在 region1和region2分别去买安全产品,而安全产品往往是分为了管控和防护引擎,这样至少需要部署两台机器。有的客户选择只在一个region做统一的管控,那么也会带来跨region公网流量传输的成本,并且每个region里面的实例,都是七十规格,即5000qps,它在某种程度上也会带来最大的浪费,而从云安全产品成立之初,它一直都是这样的方向。

我们也是中心化的架构,即在每个region中,安全防护不叫实例,叫节点,比如每个人只要买一套安全实例便可以同时的在不同的日志中应用安全能力,它已经不再是睿智化的降本增效的效果。

接下来给大家分享一个案例,在今年新上的原生防护中的游戏行业的客户,他在4region都有业务,意味着他要买4套原生防护1.0的实例,那么他不得不分region买,在原生防控2.0上新之后,在这个方案中,它如果是中心化的架构,那么他只要买一套实例便可以实现全部逻辑,并且可以降本75%,当然这个事例是四个region,如果有更多的region,那这个比例会变得更高,甚至之前还有ipv 6和ipv 4分别要买两个region,而这个问题也没有了,那么如果再加上ipv4ipv6,那买的region会更多,在突破这个门槛之后,能够更好的为大家做到降本,并且空间和幅度也是非常巨大的。

三个点,可能大家的感知不会很明显,这是一些基础的安全产品,如DDOS、云防火墙,我们每个产品里面都有很多模块,如果您有传统安全或者idc安全的运维经验可能会知道,我们画的每个框框都是一个独立的安全产品。

在线下,比如buff买了硬件、防法买了硬件,ap安全买了硬件,像dos的四层、七层防护也是一样的,包括主机防护、云防火墙防护,这些在很多安全方案里面都是独立的安全产品,这意味着您的流量通过反向代理的接入要窜三层,并且每一层都要把流量连接起来看一遍,还要为旁路部署部署三次,如果你的流量进行三份,并且每一份都在解析,那么这里面消耗的资源是非常巨大的,这意味着您的主机上要装三个agent,并且每一个agent都有消耗的独立资源,只要把流量解析一次,那么延迟就会更低,成本以及管理成本会更低一体化架构为大家带来的降本增效的价值

其本质是突破,不管是云region还是账号之间的剥离都要把资源进行通用,然后帮助客户实现降本增效,不管是成本上的,还是运维的效率上都会有非常大的提升

 

三、自动化运维提升管理效率最佳实践

自动化运维提升管理效率最佳实践共有两个,可能很多厂商会更多的宣传自动化运维,并且可以通过调用api接口来实现某种功能,这是大家经常提的方案,但是经过近一年的时间来看,有很多客户的深度能力是不适合自建的。比如waf的智能白名单,那么怎么识别出白名单呢?它需要很深的安全水位的门槛,同时也需要很深的情报的相关积累。

在这里,讲两个维度,第一个维度是基础的能力推荐用api或自动化运维的方式。首先是自动化运维,自动化运维有两个方向,这两个方向也比较适合客户自己去做,即产品本身的运维,您可能会关心产品运行的状态是否有问题,以及它的资源有没有超,他接的流量有没有什么问题?那么这种产品运维比较适合通过api直接去查,并且这类的api基本上都已经实现了api接口,即你可都不需要跨几个api去调用就可以实现了。第二个场景是大家比较常见的安全的自动化运营,即识别分析到处置的自动化闭环的环境,这样的过程可以通过。

比如园区中心ap安全的能力识别到一些风险,当您识别到这些风险之后,去验证风险和攻击ip会不会对业务有威胁的行为,如果有的话就要进行处置,也可以通过api接口直接在高防buff或者云防火墙上封掉就可以了,这是最简单的自动化运维的场景,在您的业务当中会有很多类似的每天重复在做的事情,它们都可以用此方案来进行解决,便于提升运维的效率。

接下来给大家讲一下智能化运营,即ai加持如何帮助客户实现智能化的运维,首先对于waf产品,大家可能会面临的问题,比如这个不应该拦,那你为什么拦他?有什么样的问题?尤其是有些企业客户的开发水平不是很高,业务里面本身带有了一些敏感字符,这就会导致他触发很多疑似攻击或误报的问题。

那么在正常情况下,我们的工单也收到过很多类似的反馈,那我们怎么处理呢?我们应该把所有的误报和漏报的数据聚合到一起,并进行达标,在达标之后再学习,比如他的最后一局的闭环的中文字符的占比,就可以通过这些字段来学习哪些可能是白名单,那么只要自动白名单之后,它就会自动的把一些规则id和url相组合,并添加到白名单,即他自己就会帮你形成一个自动化的闭环,这样能够减少日常的分析、误报的场景、投入的资源等,如果您在安全的投入人员不是很多的情况下,分析误报的成本也是比较高的。

第二个场景是云防火墙产品的智能策略的梳理,很多安全人员都是网络网工出身的,对这种所谓的ip封禁,或者访问范围acl的策略也都是非常熟悉的,在这个过程中,在策略里面,往往会有一些a策略和b策略冗余,或者a策略和b策略冲突,或者策略是重复的,而我们自己往往会发现基于业务的反馈,如果我们不拦截了,那么这又是一个策略背错了。

如果没有业务反馈,就会导致它持续这样,而它本质上也会消耗你acl的性能资源,那么云防火墙有个能力是它能够自动的帮您梳理策略,有哪些的问题,然后并给出您提出建议,以及你应该如何进行修改的策略,例如,我们之前配了七套策略,那么通过梳理之后,有两条就可以覆盖掉了,那么不管是管理的成本,还是日常运维的成本,它们都会降低很多。

下一个是高防的c防护,从对抗的角度来讲,它是持续变化的,即攻击者也在持续改变自己的手段,其实很多所谓的防cc能力都是给您一个非常灵活的,可以限频的acl配置,即您可以自己去配,如果您认为这个访问有问题,您就可以把它拦掉。但是我能给你提供的是你可以在我这里灵活的配置,在高仿的产品里,它有后台可以进行学习全网的攻击流量,而这个全网不是您的全网,而是他能够实时的识别有哪些新的攻击模型,并且这个攻击模型遇到了什么样的问题,以及这个模型是不是符合正常的水位、是不是符合正常极限?

形成这个模型之后,它会自动形成策略,并且会下发到每个客户,比如即使有什么新鲜的攻击,其实有一些连你自己也识别不出来的攻击,通过智能思维防护就可以帮你抗住这样的攻击,即除了c防护水位比较高之外,它能为您提供更自动化和精细化的防护效果。

 

四、合理作用云安全产品售卖逻辑降本

接下来画了两个大家常见的流量图,第一种流量图,它可能某一天会有一个比较大的流量波动,比如我今天搞了大促活动,或者我有一个什么样的发售,或者有异常的攻击,都会导致我在某一天,我的水位会特别高,在这种场景下,我们是否需要把购买的安全产品的水位拉到上面那条线呢?答案是之前是需要的,现在是不需要的,现在不需要是因为我们支持弹性o费,即可以设置一个弹性o费,那么它只针对你这一天收费,而不需要为了这一天去买一个月。

第二种场景是可能不是只有一天,要连续几天,那么耗费的成本也会很高,该怎么办呢?原先的产品已经支持了客户自助的进行升配和降配,可以在活动之前把购买的资源升到需要的水位,之后在活动结束之后把它降配到日常的水位就可以了。还有一些中小型客户,他的日常的流量不是很大,可能waf的高级版就2000qps,连100qps都不到,那么我如果需要waf防护该怎么办呢?而阿亮版本会基于你的实际请求数据收钱,即你用了什么功能就相应的收费,助力你进行安全的防护。

云安全全线产品在售卖上的优化,主要有两个方向,第一个,我们会致力于降低客户的消费门槛,比如我是预付费,那么我的规格就会变小,包括资源包有一些小的规格。第二点是我们有没有做一些消费单价的下降,共有三个点,第一点是我们做一些阶梯价格,买的更多,就越便宜,第二点是做一些弹性的后付费,适用于临时有波动的场景,第三个是价格下降,这里面因为涉及的产品比较多,就没有罗列出具体的策略。

接下来展示哪些产品应用或哪些策略,在策略的极端场景下,能够为你省多少钱,例如日志,在使用安全产品时,同时可能也会涉及到一些关联的资源。那经常有客户说我的日志满了,我要不要升,或者我不想升,我又想整成新的日志怎么办?日志是可以去合理的选择存储的市场的,包括存储的字段,并且这个字段也可以结合日常运维,斌给需要进行选择的可能存了很多字段,也可能一个IP的字段存了很多次,那么这些都是在做无用的浪费。

阿里云安全:致力于打造好用的安全产品,并帮助客户用好安全产品。

相关文章
|
运维 监控 算法
应对双11挑战,阿里巴巴智能化运维体系演进与建设
“能用机器做的就不要让人去做,自动化一切可以自动化的。”
9490 12
|
7月前
|
存储 安全 区块链
云上数字资产管理:解锁数字经济新蓝海,护航企业价值增长
生态化建设:数字资产管理将不再局限于企业内部,而是逐步向生态化方向发展。企业将与产业链上下游伙伴、第三方服务机构等共同构建数字资产管理生态体系,实现资源的共享和价值的共创。 结语 云上数字资产管理作为数字经济时代的重要产物,正以其独特的优势和价值引领着企业资产管理的变革和发展。面对未来的机遇和挑战,企业需要不断加强技术创新和人才培养
440 0
|
测试技术 vr&ar
【客户价值】 SaaS 环境中的价值实现——客户成功的信条
【客户价值】 SaaS 环境中的价值实现——客户成功的信条
【业务架构】价值链分析:提高客户价值和盈利能力
【业务架构】价值链分析:提高客户价值和盈利能力
|
存储 人工智能 运维
带你读《生命科学行业云上解决方案及最佳实践》——生命科学行业面临的痛点与挑战
带你读《生命科学行业云上解决方案及最佳实践》——生命科学行业面临的痛点与挑战
202 0
|
调度
在线教育行业云上技术服务白皮书-客户活动云上护航介绍-云上护航服务核心内容
在线教育行业云上技术服务白皮书-客户活动云上护航介绍-云上护航服务核心内容
100 0
|
机器学习/深度学习 监控 安全
在线教育行业云上技术服务白皮书-客户活动云上护航介绍-在线教育客户业务护航保障案例(中)
在线教育行业云上技术服务白皮书-客户活动云上护航介绍-在线教育客户业务护航保障案例
112 0
|
弹性计算 安全 中间件
在线教育行业云上技术服务白皮书-客户活动云上护航介绍-在线教育客户业务护航保障案例(上)
在线教育行业云上技术服务白皮书-客户活动云上护航介绍-在线教育客户业务护航保障案例
155 0
|
弹性计算 人工智能 监控
在线教育行业云上技术服务白皮书-客户活动云上护航介绍-在线教育客户业务护航保障案例(下)
在线教育行业云上技术服务白皮书-客户活动云上护航介绍-在线教育客户业务护航保障案例
124 0

热门文章

最新文章