天云盾：構筑在云端的Web安全防護

中小企業、創業公司／團隊以及云計算IaaS、PaaS、SaaS等廠商的客戶，通常缺少足夠的資金和專業團隊來應對各種安全風險，同時又要面對所在行業的巨大市場競爭。天云盾（Defportal）是一種基于云計算的創新云安全服務，用來保護客戶的WEB安全（包括：網站、WEB后端服務器等）防止被入侵、篡改、破壞和數據泄漏。主要為這些客戶提供安全防護，使其專注于自身的核心業務，無需再為安全問題而分憂。今天，天云盾（Defportal）產品全球英文版上線，我們對天云盾創始人兼CEO進行了采訪，以下為采訪實錄：

CSDN：請簡單介紹下你們的團隊？

王凱：我們團隊的核心成員都是在安全領域擁有豐富經驗的精英，大部分成員都來自于國內外傳統安全廠商，在市場、技術研發、攻防對抗等各個領域都擁有核心人員。

CSDN：你們團隊中很多都是從傳統安全廠商出來的，對比傳統的Web安全防護，云端的實現上有什么不同？優勢在哪里？在核心技術上有哪些創新？

王凱：其實我們并非都來自傳統安全領域，比如我本人曾經在多個世界500強IT企業的研究院負責安全技術的研究與開發工作，也是為數不多的較早接觸主動防御、云計算以及云計算安全概念的先行者。同時，我們也吸收了很多在傳統安全廠商擁有豐富經驗的各方面的專家。比如Ricky曾在賽門鐵克歷練多年。通過這樣的優勢互補，使我們成為一個高效的團隊，既帶來先進的技術和理念又不乏實戰精英。

傳統與云中的Web安全主要區別在于部署的方式發生了巨大變化，例如以前都是大企業自建數據中心，現在使用私有云；中小企業從租用IDC托管服務的方式變為租用IaaS廠商的虛擬服務器。而傳統Web安全更多通過專用設備進行防護，如何部署這樣的設備在云中首先是個問題，其次，云計算的精髓講究可自動擴容按需付費，一臺硬件防護設備成本高昂一次性支出的費用不是每個企業都能負擔得起，另外隨著云主機的彈性與自動擴容，專用的web防護設備本身就成為云計算種的巨大瓶頸。再次，面對復雜多樣的攻擊，部署在數據中心的硬件web防護設備很難進行集中統一管理和及時升級。最終，他的弱點在云中暴露無遺。

CSDN：天云盾如何向用戶提供服務？

王凱：由我們的目標客戶的類型所決定，天云盾的使用方法必須簡單，所以我們花盡心思將使用方法簡化到僅需一步操作――修改客戶DNS域名指向到天云盾服務器地址即可。

CSDN：為什么天云盾選擇無特征庫設計？主動防御優于現有云安全廠商的地方是什么？

王凱：主動防御是相對那些依賴特征庫被動檢測方式而言的一種創新技術，它的好處是不依賴傳統的特征庫進行匹配，效率與精準度更高并且能以不變應萬變抵御零日攻擊和未知風險。特別是在WEB防護方面，一條SQL注入語句根據目標系統的數據庫系統類型、字符集、編碼方式等可以衍生出很多攻擊手段。這樣會導致特征庫無限龐大，相反一個網站的合法操作請求是相對一個較小的規則集。另外一個優勢是無漏報，一旦攻擊者掌握特征庫的規律后可以構造復雜的請求進行混淆攻擊，這樣就可以輕而易舉繞過基于特征庫的檢測產品。

CSDN：天云盾的英文名字是Defportal，這個名字體現了你們什么樣的理念？你們對未來的定位是怎樣的？

王凱：Defportal是Defense Portal的合體，意思是防御的（大門）入口，中文名稱為天云盾，所有客戶只要接入了天云盾的WEB安全服務即可享受天云盾的保護，客戶不必再為安全分散精力，專注于其自身主營業務上，體現了安全是以服務為本的理念。談到對未來的展望我們當然有更大的夢想，我們會將更多適合在云中提供的安全服務轉化為云安全服務，幫助各類中小企業企業乃至家庭用戶享受到大企業級的安全防護體驗。

CSDN：你們主要使用了哪些公有云服務？在公有云的選取上你們主要有哪些考慮？

王凱：目前我們主要使用了阿里云、亞馬遜AWS（海外）以及品高云等一部分內在這個領域的創業廠商的IaaS服務。我們主要從三個進行考慮，第一，品牌以及技術保障能力，這點亞馬遜毫無疑問是首選，但由于它在國內的業務尚未全部開展，為了服務國內的客戶我們選擇了阿里云等，后續還會陸續的與一些有特點的IaaS廠商合作。第二，靈活的擴展性，比如提供豐富的API滿足我們的需求，包括各種資源監控的API、實例創建、自動部署以及銷毀的API以及與之對應的靈活的計費模式。第三，服務的相應速度以及特色功能，比如快速創建虛擬服務器實例的特色功能等。

CSDN：我們知道安全是共有云廠商本身一個很重要的服務，你們之間會不會有競爭關系？

王凱：我們認為IaaS廠商應專注于基礎設施的安全，像天云盾這樣的安全廠商與之互補共同為用戶的系統保駕護航，它不但不是競爭關系還是互補依賴、互相補充關系。

公有云IaaS廠商提供基礎設施服務，必然要保證安全，這是他們的職責，比如基礎網絡設施的安全，機房物理安全等。這就好比一個酒店一定要配備保安人員和門禁、視頻等基本的安全保障系統。但這并不意味著一家酒店要變成IT廠商自己去開發這些監控系統，更高效的方式是與這方面的專業廠商合作，而且云計算本身還有很多技術難題待廠商去優化和攻克，他們精力將都集中在此，正所謂術業有專攻就是這個道理。而且至今為止，無論是曾經風華正茂的微軟還是現在如火如荼的蘋果、谷歌、亞馬遜，沒有任何一個廠商能獨立將所有安全問題都解決了。另外，如果廠商把安全的方面面都做了，這也存在一個信任問題，IaaS廠商說自己安全由誰去鑒定和認證？試想如果IaaS廠商自己開發數據安全產品，它的加密算法、加密密鑰和客戶數據都保存在IaaS廠商服務器上，一旦服務器發生安全泄漏事故意味著這些看似堅不可摧的防御工事都將土崩瓦解。因此，無論從職責、研發能力還是信任等任何角度分析廠商都不可能全部自研，對外合作是唯一的明智選擇。

CSDN：您怎樣定義云安全和云安全產品？國內云安全的現狀如何？

王凱：云安全從其中文字面上可以大致有兩種理解，一種是認為云安全是解決云計算中本身存在的安全問題/隱患，如虛擬化安全；另一種是使用云計算的特性來提升信息安全能力。正確的解讀，前者應該是云計算安全，后者是云安全服務/產品，英文是Cloud Computing Security和 Security As A Service (SECaaS)。

我理解的云安全產品或服務，首先他們應該是繼承了云計算的特性――彈性、可擴展等。而國內一些傳統安全廠商將他們的特征庫或者產品其他一部分功能放到他們的web服務器上運行，就宣傳這是云安全產品，我認為這更多是在套用云計算概念做一個宣傳的手段，也有誤導客戶的嫌疑。

CSDN：安全事故一再爆發（攜程事件），您對國內安全產業的發展有哪些預見？

王凱：從斯諾登爆料棱鏡門開始，以及國內最近出現的一些重大的信息安全事件來看，我們國家的整體信息安全技術水平與防范意識還處于較低水平，盡管經過這二十年的發展有所提升，但與發達國家相比還是有一定差距。另外，用戶自身的隱私防范意識以及維權意識也比較淡泊，所以才導致很多互聯網電商對數據泄漏有恃無恐，可以在泄露成百上千的信用卡、用戶賬號等隱私后繼續經營。這與我們食品安全很像，例如在日本，如果一個餐廳被媒體報道說用過期的食材導致客戶吃壞了肚子生病，那從此就不會有任何人再光顧這家店。而在中國，它整改通過檢查后卻可以繼續經營，久而久之形成懈怠心理。

信息安全產業這個話題有些大，因為安全是一個系統工程，涉及芯片技術、計算機體系結構、操作系統應用軟件、存儲技術、網絡通信等多個領域。我們拿傳統信息安全的四大法器來說，防火墻、入侵檢測、防病毒、WEB防護已經遇到了發展瓶頸。隨著云計算、大數據、移動互聯網技術的發展，勢必會導致他們發生革命性的變化，誰能率先洞察這些變化并跟上這種變化誰就能擁有未來。

生活不易，碼農辛苦
如果您覺得本網站對您的學習有所幫助,可以手機掃描二維碼進行捐贈