随着云计算的快速发展以及国家政策的推动,现在越来越多的创业公司将业务搬上云端,希望利用利用云上丰富的资源配置,以及弹性计算等特点,解决初创初期资金和时间短缺的痛点。希望实现以较少的成本获得最多优质资源的愿望,帮助企业在发展过程中抢得先机,让企业迅速成长,在竞争中活下来。
除了资金和发展时间的制约,企业安全问题也是创业公司需要面对的一个严峻考验。在创业初期,大多数创业公司更多侧重产品的可用性而非安全性,为了推动项目上线,一切以功能实现为主。而随着企业的成长,技术架构层面上的问题与安全问题都会逐渐暴露出来,为企业发展带来大量不稳定因素。
安全除了内忧,还有外患——环伺在创业公司周围的黑产产业链。伴随着创业公司的进一步发展,带着明显利益诉求,来自恶意竞争者与黑产团伙的勒索病毒攻击、DDoS攻击等攻击手段将会层出不穷。一个不慎公司就可能遭受巨大的打击,面临着倾覆的危机。
面对复杂的安全问题,创业公司纵使有心加强安全管理和安全建设,但却常常有心无力。一方面,常规的靠硬件堆积的网络安全模式不适合创业企业的体量和资金状况,另一方面,组建企业自有安全团队所要付出的极大工作量和人力成本,也让创业公司无以为继。
在这种情况下,寻求一家技术实力的过硬的第三方安全服务平台通常才是有效的对应举措。但国内外安全厂商门派林立,各有专长,创业公司又应该如何选择适合自己的安全服务商和安全服务呢?
以企业在初创期通常需要的抗DDoS服务和网站CDN加速的需求来说,业内很多初创团队的安全人员用过国际老牌的安全厂商Cloudflare的产品,一方面认为国际安全厂商实力过硬,再有就是cloudflare的CDN加速与DDoS防护服务有免费版羊毛可以薅。不过实际上不同企业的技术架构相差甚大,免费版和低价版与企业需求并不匹配,要满足自身安全需求还是需要定制,才能进一步提升性能和安全性。
个人不推崇Cloudflare还有很重要的一点,其在中国并没有中文服务,这意味着一旦网站遭遇严重的安全问题时很难从Cloudflare得到迅速响应的安全运维支持,以及极高的沟通成本,这样并不利于企业长期的安全建设。
实际上,随着国内云安全生态体系力量的壮大,许多国内的大型安全厂商与云服务提供商都在云安全领域加大资源投入,表现出了极强的SaaS化安全服务能力,在CDN内容分发网站加速,DDoS流量清洗,抗黑客入侵等多方面都表现出了不容小觑的安全实力。
以国内一家老牌安全厂商知道创宇举例来看,据调查数据显示,2019年其在国内云安全市场上占有率仍处于领先位置,在国内云安全市场拥有一定话语权。笔者和周围朋友所在的企业都或多或少的都有采购过知道创宇旗下的产品和服务。
据其官方介绍,其旗下的CDN产品加速乐以SaaS的模式部署接入,为用户网站解决web系统访问速度慢的问题。知道创宇在全球部署了1000+分布式服务节点,能够轻松实现全球全网资源加速,通过恶意流量清洗的功能帮助用户降低成本。据与周围用过的加速乐的朋友交流,加速乐集成了网络全站加速和安全防护两个属性,可以真正将网站页面访问、下载速度倍级提升。加速乐CDN加持过的网站IP实际为加速乐IP,隐藏服务网站的真实IP,在用户访问是也对用户IP进行检测,在最大限度上保护源站安全,这种SaaS模式对创业企业的安全建设来说确实十分友好。
抗D保-DDoS流量清洗服务
抗D保-DDoS流量清洗服务
另外,DDoS流量清洗服务也是知道创宇的主力安全服务,这方面知道创宇方面对外公布数据显示,其在全球拥有超过4Tbps的防御带宽的分布式数据中心,配合全球Anycast流量攻击清洗机制,可以完美防御顶级的DDoS,保证业务不中断。据了解,近年来知道创宇一直在国家大型活动期间为政府网站提供安全服务,其在行业内也宣称至今无一起被攻破事件发生,在行业里面享有不错的口碑。
作为一个有几年工作经验的甲方从业者,笔者认为企业的安全建设分为三个阶段,初创期、高速成长期和稳定发展期。在初创期企业需要更多考虑着手改善企业知名度低、不易获取客户信任、网站访问速度慢、用户体验较差等问题,同时做好防护来自外部的网络攻击,对企业网络资产进行梳理,识别隐藏的安全风险。
企业发展到高速成长阶段,则应该重点关注内部安全和数据安全,同时继续防范外部安全威胁。针对终端安全、安全审计、业务反欺诈等方面加大投入,用应用安全产品来保证业务程序、软件、系统和服务的安全开发和防护,用风控产品保证业务连续性和风险可控性等等,确保企业安全高速成长。
而在企业的稳定发展期,企业需要进一步从态势感知、威胁情报、漏洞扫描、攻防对抗、应急演练等方面提安全能力。及时关注漏洞信息和威胁预警,对行业内已公布漏洞进行自检和防护,形成企业安全建设的良性发展。
因此随着创业企业的成长,除了信息安全外,企业发展所需要的安全边界也会扩大,可能存在诸如业务反欺诈、风控,以及商业品牌保护、商业保密等涉及业务安全和商业安全等更多层面的安全需求。安全防护只是企业安全建设的一个方面,在企业发展不同发展阶段安全需求的侧重点不同,因此在选择第三方安全服务平台和产品应该综合考虑企业发展过程中的整体安全防护需要,经过权衡之后选择综合实力强产品线长,拥有体系化综合解决方案,同时也兼具成熟的安全运维能力的安全厂商来服务。再横向对比国内具有综合业务安全解决方案的安全厂商,国内实际上拥有综合安全解决方案实力的大型安全厂商屈指可数,而前面提到的知道创宇仍然是一个很好的选择,值得重点考虑。
从产品线上看,在业务安全方面,知道创宇有针对恶意爬虫和自动化工具监测的机器流量管控工具,有帮助企业网站进行IPv6升级服务,还有舆情监测和业务反欺诈产品。在商业安全方面,也有包括信用认证、网站https域名升级、加密通讯工具等多个产品。能够更紧密贴合企业业务的整体安全解决方案,基本可以满足不同类型企业的业务场景需求,在企业发展的不同阶段提供更贴合业务的解决方案,帮助企业体系化的做好安全建设。
综合来看,创业企业在选择第三方服务平台和安全服务时还是要紧跟实力过硬,拥有丰富经验和产品线的大型安全厂商。一方面,大型安全厂商在企业安全服务市场中已经积累了足够丰富的安全服务经验,另一方面,大型厂商也拥有更多的拳头产品和服务,丰富的安全服务和产品线能够帮助创业企业解决在不同发展阶段的的复杂安全问题,为创业企业的健康快速发展提供更好的安全防护和更全面更综合的解决方案。