怎樣讓一家SaaS企業不再為安全擔憂?
數字經濟日漸成為主流的今天,云計算的快速發展是其重要推手。根據Forrester近日發布的報告,預測到2026年之前,全球公有云市場將激增至1萬億美元,是2022年4466億美元的2倍多,未來4年年增長率將超過20%。
作為云計算市場的重要組成部分,軟件即服務(SaaS)的創新發展,是推動云市場蓬勃發展的重要因素。據公開數據顯示,全球公有云市場中,SaaS占比約四成,是當仁不讓的主力軍。
對SaaS企業來說,不僅要充分利用云原生的特性來拓展其業務,更要積極擁抱云原生安全架構來實現最佳安全防護,才能得以在這場數字化浪潮中站穩腳跟。
騰訊安全副總經理董文輝認為,上云是企業兼顧成本、效率和安全的最優解。這在銷售易身上表現得尤為明顯。作為一家企業級CRM廠商,銷售易為眾多用戶提供數字化的客戶運營解決方案。借助騰訊云原生安全體系,銷售易打造了客戶信任的企業級CRM的落地實踐。
記者對銷售易安全負責人李哲祎以及多位騰訊安全的技術專家進行了采訪,了解SaaS企業以及云上其他類型的企業,如何運用騰訊專業的第三方云原生安全能力,快速便捷地構筑自身的安全防線,從而保障業務的穩定運轉。
在當前的云環境下,SaaS企業首先要關注哪些安全風險?
李哲祎認為,作為一個業務全部構建在云上的SaaS企業,銷售易面臨的安全風險來自于三個方面。
第一,是數據安全,這是SaaS企業的底線。用戶把核心商業數據放在銷售易這個平臺,平臺必須不惜一切代價保護好數據的安全,要保證數據防泄漏、防丟失,保證系統的抗攻擊性、可用性。
其次,是近年來備受關注的供應鏈安全。一套SaaS系統包括了從底層的服務器到網絡產品,到云端的PaaS服務,到郵件、短信平臺等第三方供應商,這些環節的風險都需要關注,嚴格評估。同時,SaaS應用的研發不可避免地要引入開源、中間件等第三方代碼,這些也是需要重點關注的風險點。
最后,銷售易的開發、測試、生產環境全部上云,一方面要關注云上常見的安全風險,例如Web端的常見軟件風險:SQL注入、跨站等,另外自研軟件也要避免開發上的缺陷,必須符合云原生產品的安全特性及要求。
面對這些嚴峻的風險,騰訊作為云服務提供商,一方面,通過多年的經驗和積累,保障騰訊云平臺自身的安全;另一方面,對云上的用戶,騰訊同時也提供了全方位而又便捷的安全服務。
董文輝表示,傳統異構設備堆疊式的安全架構已無法應對日新月異的安全風險,需要以“一體化”的理念重構云原生安全防御體系。
為什么要強調云原生安全?董文輝介紹,在云原生安全架構下,威脅的處置效率大大提高。面對復雜的攻擊場景,安全可以做到以“原子”化的能力,快速地組合,應對新的安全挑戰。面對突發的大流量攻擊,云原生的優點更加突出,云的彈性能力,可以做到TB級的防護。對此,李哲祎也認為,云原生安全提供了更好的安全性,可以說是銷售易CRM的一個核心競爭優勢。
安全不僅要有效,還要好用。董文輝介紹,之所以提出“一體化”的安全理念,是因為騰訊對云上客戶做了深度調研后發現,大部分企業都是IT運維人員和程序員來承擔安全職責,不知道如何去構建一套完整的安全體系,往往以為買一個云防火墻或者WAF、主機安全就能發揮作用,在認知和防護上不夠全面。
因此,基于安全極簡化的思路,騰訊安全為云上客戶打造了一套騰訊云原生“3+1”安全防御體系,通過云安全中心打通云防火墻、云WAF、云主機安全三道防線,覆蓋網絡安全、應用安全、主機安全和安全運營管理四個常用維度,幫助客戶低成本、快速地搭建立體縱深的安全防護體系,同時極大地降低運營成本,讓安全的門檻大大降低,易用且好用。
騰訊安全副總經理、云原生安全技術負責人龍海介紹,“3+1”安全防御體系分三層架構。底層是以情報和安全服務為基礎的一些安全的原子能力,中間是各類安全單品,通過資產、事件、場景,形成網格化的聯動,上層是安全中心,匯集了各個單品的數據,提供一個中心化的全面的視角,看到整個云上的資產、風險、事件,提供關聯分析、溯源等高階安全能力。
以log4j漏洞為例,龍海介紹了“一體化”安全體系的優勢。以前,企業從漏洞的爆發,到檢測受影響的資產、開啟防護的補丁,再到最終漏洞的修復或者隔離,一般需要在多款產品中進行數十項的操作配置,整個流程往往需要花費180個小時以上的時間。在騰訊云安全中心,這一類的安全問題可簡化成三個步驟只需一鍵,就能開啟全方位防護;只需一鍵,就能對云上業務進行360度安全體檢,發現云上所有風險與告警;只需一鍵,就能處置所有風險與告警。
董文輝表示,極簡易用是騰訊云安全中心的目標,這套“3+1”安全防御體系能夠讓企業的安全團隊不需要做各種復雜的配置和檢查,依托云安全中心就可以解決大部分的安全問題,大大提升安全運營的效率。對于一些個性化的需求,如游戲行業比較關注DDoS攻擊,可以再疊加抗DDoS攻擊的能力;SaaS行業關注數據安全,可以在數據安全的方向上再疊加更多安全能力。
作為這套安全體系的受益者,李哲祎表示,整體的使用感受可謂“物超所值”。銷售易作為軟件提供商,既要保護公司內部數據的安全,也要保證給客戶提供服務的SaaS應用從系統到數據的整體安全。通過騰訊一體化安全方案,銷售易不僅實現了成本可控,還形成了整體云原生架構的縱深防御,達到了預期的防控效果。
李哲祎舉例,SaaS應用是一個開放系統,整體都在互聯網上,當發現一個新的風險點時,從代碼層面解決問題難以控制時效,還容易引發業務風險,通過騰訊的云WAF,就可以利用現有規則及時做一些限制性的調整,快速止損。此外,銷售易服務了很多大型企業,對合規有著嚴格的要求,借助騰訊成熟的安全產品,可以幫助銷售易實現更好的合規,吸引更多的客戶。
李哲祎強調,和騰訊的安全合作得到的不僅僅是產品,而是深層次的專家服務。當新型安全事故爆發時,企業可以借助騰訊快速更新的規則,及時達到安全防護的效果,在遇到棘手的問題時,也可以請騰訊的安全服務團隊介入,彌補企業自身的不足。
顯然,在騰訊“一體化”安全體系的幫助下,不管是SaaS企業還是其他云上用戶,都可以讓安全不再成為企業發展的絆腳石,將安全運營“化繁為簡”,從而把人力物力更多地投入到自身的業務運營上,專注于企業的發展。
銷售易和騰訊的成功合作,正如騰訊副總裁丁珂所說,安全共生是企業行穩致遠的最優路徑。實現“安全共生”,就是充分發揮安全廠商“專家”和生態廠商“行家”的角色分工,提升安全生態的精耕細作和貼身服務能力。上云已成企業數字化轉型的必由之路,期待騰訊安全打造一個越來越極簡易用的云安全防線,幫助企業實現云上安全“最優解”。
