专访梭子鱼:以“立体交付”保障Web应用安全

本文涉及的产品
数据安全中心,免费版
简介: 今年6月初,梭子鱼网络有限公司在北京召开了2009年度“融合安全•立体交付”百城巡展北京发布会。会上,梭子鱼中国区销售总监梁中钢总结了这两年企业用户最常遇到的几大难题,给出了梭子鱼对此的相关产品和解决方案——梭子鱼Web应用防火墙。

今年6月初,梭子鱼网络有限公司在北京召开了2009年度“融合安全•立体交付”百城巡展北京发布会。

会上,梭子鱼中国区销售总监梁中钢总结了这两年企业用户最常遇到的几大难题,给出了梭子鱼对此的相关产品和解决方案——梭子鱼Web应用防火墙。


梭子鱼2009年度“融合安全•立体交付”北京发布会


会后,梁中钢(以下简称梁)先生接受了CSDN记者的技术专访,详细分析了梭子鱼的“应用交付”理念,以及在中国市场的未来发展计划。


1. 最近梭子鱼据几份IT趋势报告对09年IT行业发展趋势做出了6大方向的预测,我们看到,除却“安全”本身,其他也都和“安全”有相关性。那么,在当前经济的坏境和安全的形势下,“安全”市场发展状况如何?


梁:梭子鱼认为,0 9年是充满机遇和挑战的一年。

随着互联网应用和企业信息化的程度越来越高,企业对互联网安全(威胁)也越来越重视。企业不能忽视安全问题,即使他的预算紧张,但数据丢失等所造成的总成本损失都远超过企业花在保护数据和网络安全上的钱。

所以说,当前企业用户并没有减少安全预算——相反是在增加,但他对安全产品的功能需求会更加严格。

总体来说,目前安全市场的发展还是向前。


2. 在刚刚的发布会上,梭子鱼提出了“融合安全•立体交付”的理念,请问这里的“融合”是融合了哪些方面,是否能够做到“完整的覆盖”?接下来还会涉及哪些方面的应用?


梁:应用交付是一个成熟的概念了,应用交付的核心是保障核心应用的高效、安全,但是市场上关于交付的理解过多的偏向保障应用的交互高效性上,而忽略了安全的重要性,两者是相辅相成的。

目前,梭子鱼覆盖了针对三大方面的应用:邮件的应用、Web的应用和数据库的应用,每一个应用都有相对安全产品,为每一个细分的应用提供整体的交付方案。

梭子鱼的想法是,针对用户所有的应用都有细分的解决方案,整体的应用则有整体的解决方案。

未来,我们可能会先加入IM的“即时应用”,更多(应用)还在研论规划中。


3. “立体交付”的“立体”涵义何解?梭子鱼定义的“应用交付”是怎样的?


梁:应用交付的概念对于“安全”来说是两个词——应用与交付,一是以负载均衡为核心提高访问的高可靠性、高效的“交付”,一是以应用加速为核心的加速的“交付”。所有的交付概念都过多的强调了访问高效性,而忽略了没有安全的交付是没有任何意义的。

交付的核心价值就是可用、高效和安全,所以梭子鱼提出的概念是,从解决方案的角度为用户解决为题——我们把安全融合进来,整个的交付是针对整个的应用层面来提高用户应用的高效和安全。


4. 从上面可以明确名看到梭子鱼已经作出从邮件安全到应用安全的“转身”,那是什么让梭子鱼有了这样的“应用的转身”?这个“转身”改变的又是什么?


梁:现在,大家提到的安全概念更多的是对安全的一个加固概念。

随着早期IT基础建设的结束,用户现在的投资是:30%基础设备+40%的应用+30%的安全。这里的安全其实是一个大的交付概念,是一个保障体系。

由此看,用户目前需要的已不再是一款单一的安全产品,它需要的是一个真正的解决方案,一个能保障每个细节的应用都是高效和安全的解决方案。

网络建设的发展是一个必然的优化过程。对企业来说,如果前期投入的改变能够带来更大收益,改变就是值得的。

同理,我们也是这样。

一个产品会有它的生命周期,公司的发展也无法依赖单一的产品。

梭子鱼的改变,是会有持续的产品加入,为用户持续的提供解决方案、优化这个解决方案。这样的话,对于前期销售的产品也是一个有效的保证。


(那么,对于已售产品是升级,还是全新的改变?)


两部分都有。既有对老产品的升级延续,又有对新理念的提供。例如,我们接下来提供的解决方案是如何把数据存储的既可存又可用。

总得来讲,我们的“改变”——从细分的角度是针对用户的应用,提供不同的解决方案来做优化和完善;从大的概念讲,梭子鱼的想法是,我们要成为全球领先的网络厂商,从安全到交付到网络。


梁中钢 梭子鱼中国区销售总监


5. 商战上数据已成企业最重要的资产。但在目前的经济形势下许多企业IT安全建设资金会否减少,数据防泄露产品的采购规划是否会被延期。对此您怎么看?DLP市场前景如何?


梁: 从我们来看,用户并没有真正的减少各方面的安全预算,只是花钱更理性,会考虑真正能为自己解决问题的东西。

现在的企业已越来越依赖于IT基础设施,信息更在企业中扮演着非常重要的角色。那么,企业关键数据的有效保护,数据安全必然是保障企业运行和发展的重要组成部分。此时企业在数据安全上考虑的是选择A产品还是B产品,是哪个更可靠、更稳定,更可用。

比如现在的汽车业虽然很不景气,但一些的大型汽车制造业还在考虑数据备份和数据存储的改造工程,否则它将连自身的正常生产都很难保证——可能要查一条轮胎是哪年生产的都找不到。

这也是梭子鱼做数据备份、数据存储的一个重要理念:针对于应用做细分,并且要求存储按自身的要求定制存储,按实际的需要提取数据,做到可存可取,实现存储的可用性。


6. 梭子鱼在美国宣布收购了Yosemite,整合了备份和灾难恢复技术。这次的收购对梭子鱼的产品结构线带来了哪些影响?


梁:梭子鱼收购之后Yosemite,对品牌和技术进行了整合。

在数据安全存储方面,梭子鱼有4方面:一是有硬件存储设备;二是备份软件;三是解决方案本身,在美洲有2个大型IDC,可以达到远程备份;四是能够把企业客户端的数据即时备份到服务器端。

作为数据安全存储,我们首先从整体概念考虑,做到了全面性。其次是我们对应用进行了细分:考虑到用户在将来提取时的检索条件和备份存储区域的划分。

现在的用户买的不是任何硬件存储设备、备份软件,而是要一套整体的安全体系。


7. 从安全角度上说,企业的管理和技术怎样才能相辅相成?这方面您有什么建议?


梁:这是一个概念:真正的安全是一个保障体系

目前,企业IT投资中安全占到了30%,这不光是设备的投资,还有人员的投资。我们希望并相信将来国内的企业安全是由信息主管来负责,而不仅仅是网管。

网管买的是设备,信息主管则是媒介。信息主管考虑的更多的是策略,有许多的管理体系需要建立和完成。毕竟设备是完成信息安全内控的手段,企业安全要通过信息主管的管理来协调,达到企业管理与信息安全的相辅相成。


8. 接下来,梭子鱼将有什么新的产品计划?在中国区的市场策略和发展方向有哪些新举措?


梁:未来两年,梭子鱼将完成20条产品线,将有10家厂商收购。

要做的产品有硬件存储设备、软件备份、客户端即时备份和网络防火墙,以及应用加速类的产品。

关于收购,梭子鱼坚持针对每一个细分的应用进行,围绕这个“应用”把所有保障体系收购完成,做成一个细分应用的解决方案,最后把细分应用融合,做成一个保障体系,保证整个交付领域的应用、高效和安全

和其他安全厂商相比,梭子鱼是以众多细分领域优秀产品组成大的解决方案。大家其实是殊途同归。

整体策略上,梭子鱼中国会根据总部规划结合本土特征进行,不一定按总部产品的推出顺序进行推广。今年到明年,我们的重点是应用层防火墙,并将持续很长时间。

具体的销售模式,我们内部的销售团队会对产品销售进行完整的销售规划。

每段时间我们会以一款产品作主打,做到一定份额后继续推下一款,渐进形成完整的解决方案;同时还将面对国内的高端用户和伙伴,把梭子鱼的解决方案落实到终端。这两者并不会造成冲突。


关于梭子鱼:

梭子鱼网络有限公司(Barracuda Networks INC)成立于2002年,总部位于美国硅谷,是一家提供包括邮件安全和归档、WEB应用安全、负载均衡等产品的网络应用厂商。

2004年,梭子鱼网络有限公司正式进军中国并在上海成立了梭子鱼网络(中国)有限公司。目前,梭子鱼中国为中国企业用户提供9款系列产品和四大解决方案。

目录
相关文章
|
2天前
|
缓存 安全 搜索推荐
阿里云先知安全沙龙(北京站) ——浅谈Web快速打点
信息收集是网络安全中的重要环节,常用工具如Hunter、Fofa和扫描工具可帮助全面了解目标系统的网络结构与潜在漏洞。遇到默认Nginx或Tomcat 404页面时,可通过扫路径、域名模糊测试、搜索引擎缓存等手段获取更多信息。AllIN工具(GitHub: P1-Team/AllIN)能高效扫描网站路径,发现敏感信息。漏洞利用则需充分准备,以应对突发情况,确保快速拿下目标站点。 简介:信息收集与漏洞利用是网络安全的两大关键步骤。通过多种工具和技术手段,安全人员可以全面了解目标系统,发现潜在漏洞,并制定有效的防御和攻击策略。
|
11天前
|
安全 应用服务中间件 网络安全
实战经验分享:利用免费SSL证书构建安全可靠的Web应用
本文分享了利用免费SSL证书构建安全Web应用的实战经验,涵盖选择合适的证书颁发机构、申请与获取证书、配置Web服务器、优化安全性及实际案例。帮助开发者提升应用安全性,增强用户信任。
|
1月前
|
SQL 负载均衡 安全
安全至上:Web应用防火墙技术深度剖析与实战
【10月更文挑战第29天】在数字化时代,Web应用防火墙(WAF)成为保护Web应用免受攻击的关键技术。本文深入解析WAF的工作原理和核心组件,如Envoy和Coraza,并提供实战指南,涵盖动态加载规则、集成威胁情报、高可用性配置等内容,帮助开发者和安全专家构建更安全的Web环境。
70 1
|
1月前
|
安全 前端开发 Java
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第26天】Web安全是现代软件开发的重要领域,本文深入探讨了XSS和CSRF两种常见攻击的原理及防御策略。针对XSS,介绍了输入验证与转义、使用CSP、WAF、HTTP-only Cookie和代码审查等方法。对于CSRF,提出了启用CSRF保护、设置CSRF Token、使用HTTPS、二次验证和用户教育等措施。通过这些策略,开发者可以构建更安全的Web应用。
102 4
|
1月前
|
安全 Go PHP
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第27天】本文深入解析了Web安全中的XSS和CSRF攻击防御策略。针对XSS,介绍了输入验证与净化、内容安全策略(CSP)和HTTP头部安全配置;针对CSRF,提出了使用CSRF令牌、验证HTTP请求头、限制同源策略和双重提交Cookie等方法,帮助开发者有效保护网站和用户数据安全。
86 2
|
1月前
|
存储 安全 Go
Web安全基础:防范XSS与CSRF攻击的方法
【10月更文挑战第25天】Web安全是互联网应用开发中的重要环节。本文通过具体案例分析了跨站脚本攻击(XSS)和跨站请求伪造(CSRF)的原理及防范方法,包括服务器端数据过滤、使用Content Security Policy (CSP)、添加CSRF令牌等措施,帮助开发者构建更安全的Web应用。
104 3
|
1月前
|
SQL 安全 Go
PHP在Web开发中的安全实践与防范措施###
【10月更文挑战第22天】 本文深入探讨了PHP在Web开发中面临的主要安全挑战,包括SQL注入、XSS攻击、CSRF攻击及文件包含漏洞等,并详细阐述了针对这些风险的有效防范策略。通过具体案例分析,揭示了安全编码的重要性,以及如何结合PHP特性与最佳实践来加固Web应用的安全性。全文旨在为开发者提供实用的安全指南,帮助构建更加安全可靠的PHP Web应用。 ###
46 1
|
2月前
|
Kubernetes 安全 应用服务中间件
动态威胁场景下赋能企业安全,F5推出BIG-IP Next Web应用防火墙
动态威胁场景下赋能企业安全,F5推出BIG-IP Next Web应用防火墙
59 3
|
2月前
|
监控 安全 Apache
构建安全的URL重定向策略:确保从Web到App平滑过渡的最佳实践
【10月更文挑战第2天】URL重定向是Web开发中常见的操作,它允许服务器根据请求的URL将用户重定向到另一个URL。然而,如果重定向过程没有得到妥善处理,可能会导致安全漏洞,如开放重定向攻击。因此,确保重定向过程的安全性至关重要。
138 0
|
2月前
|
云安全 SQL 安全
数字时代下的Web应用程序安全:漏洞扫描服务的功能与优势
在当今这个数字化时代,Web应用程序不仅是企业与用户之间互动的桥梁,更是企业展示服务、传递价值的核心平台。然而,随着技术的不断进步,Web应用程序的复杂性也在不断增加,这为恶意攻击者提供了可乘之机。安全漏洞的频发,如SQL注入、跨站脚本攻击(XSS)、跨站请求伪造(CSRF)等,严重威胁着企业的数据安全、服务稳定性乃至经济利益。在这样的背景下,漏洞扫描服务作为一道重要的安全防线,显得尤为重要。本文将深入探讨漏洞扫描服务在面对Web应用程序安全问题时,所具备的功能优势。