天云盾：构筑在云端的Web安全防护

中小企业、创业公司／团队以及云计算IaaS、PaaS、SaaS等厂商的客户，通常缺少足够的资金和专业团队来应对各种安全风险，同时又要面对所在行业的巨大市场竞争。天云盾（Defportal）是一种基于云计算的创新云安全服务，用来保护客户的WEB安全（包括：网站、WEB后端服务器等）防止被入侵、篡改、破坏和数据泄漏。主要为这些客户提供安全防护，使其专注于自身的核心业务，无需再为安全问题而分忧。今天，天云盾（Defportal）产品全球英文版上线，我们对天云盾创始人兼CEO进行了采访，以下为采访实录：

CSDN：请简单介绍下你们的团队？

王凯：我们团队的核心成员都是在安全领域拥有丰富经验的精英，大部分成员都来自于国内外传统安全厂商，在市场、技术研发、攻防对抗等各个领域都拥有核心人员。

CSDN：你们团队中很多都是从传统安全厂商出来的，对比传统的Web安全防护，云端的实现上有什么不同？优势在哪里？在核心技术上有哪些创新？

王凯：其实我们并非都来自传统安全领域，比如我本人曾经在多个世界500强IT企业的研究院负责安全技术的研究与开发工作，也是为数不多的较早接触主动防御、云计算以及云计算安全概念的先行者。同时，我们也吸收了很多在传统安全厂商拥有丰富经验的各方面的专家。比如Ricky曾在赛门铁克历练多年。通过这样的优势互补，使我们成为一个高效的团队，既带来先进的技术和理念又不乏实战精英。

传统与云中的Web安全主要区别在于部署的方式发生了巨大变化，例如以前都是大企业自建数据中心，现在使用私有云；中小企业从租用IDC托管服务的方式变为租用IaaS厂商的虚拟服务器。而传统Web安全更多通过专用设备进行防护，如何部署这样的设备在云中首先是个问题，其次，云计算的精髓讲究可自动扩容按需付费，一台硬件防护设备成本高昂一次性支出的费用不是每个企业都能负担得起，另外随着云主机的弹性与自动扩容，专用的web防护设备本身就成为云计算种的巨大瓶颈。再次，面对复杂多样的攻击，部署在数据中心的硬件web防护设备很难进行集中统一管理和及时升级。最终，他的弱点在云中暴露无遗。

CSDN：天云盾如何向用户提供服务？

王凯：由我们的目标客户的类型所决定，天云盾的使用方法必须简单，所以我们花尽心思将使用方法简化到仅需一步操作――修改客户DNS域名指向到天云盾服务器地址即可。

CSDN：为什么天云盾选择无特征库设计？主动防御优于现有云安全厂商的地方是什么？

王凯：主动防御是相对那些依赖特征库被动检测方式而言的一种创新技术，它的好处是不依赖传统的特征库进行匹配，效率与精准度更高并且能以不变应万变抵御零日攻击和未知风险。特别是在WEB防护方面，一条SQL注入语句根据目标系统的数据库系统类型、字符集、编码方式等可以衍生出很多攻击手段。这样会导致特征库无限庞大，相反一个网站的合法操作请求是相对一个较小的规则集。另外一个优势是无漏报，一旦攻击者掌握特征库的规律后可以构造复杂的请求进行混淆攻击，这样就可以轻而易举绕过基于特征库的检测产品。

CSDN：天云盾的英文名字是Defportal，这个名字体现了你们什么样的理念？你们对未来的定位是怎样的？

王凯：Defportal是Defense Portal的合体，意思是防御的（大门）入口，中文名称为天云盾，所有客户只要接入了天云盾的WEB安全服务即可享受天云盾的保护，客户不必再为安全分散精力，专注于其自身主营业务上，体现了安全是以服务为本的理念。谈到对未来的展望我们当然有更大的梦想，我们会将更多适合在云中提供的安全服务转化为云安全服务，帮助各类中小企业企业乃至家庭用户享受到大企业级的安全防护体验。

CSDN：你们主要使用了哪些公有云服务？在公有云的选取上你们主要有哪些考虑？

王凯：目前我们主要使用了阿里云、亚马逊AWS（海外）以及品高云等一部分内在这个领域的创业厂商的IaaS服务。我们主要从三个进行考虑，第一，品牌以及技术保障能力，这点亚马逊毫无疑问是首选，但由于它在国内的业务尚未全部开展，为了服务国内的客户我们选择了阿里云等，后续还会陆续的与一些有特点的IaaS厂商合作。第二，灵活的扩展性，比如提供丰富的API满足我们的需求，包括各种资源监控的API、实例创建、自动部署以及销毁的API以及与之对应的灵活的计费模式。第三，服务的相应速度以及特色功能，比如快速创建虚拟服务器实例的特色功能等。

CSDN：我们知道安全是共有云厂商本身一个很重要的服务，你们之间会不会有竞争关系？

王凯：我们认为IaaS厂商应专注于基础设施的安全，像天云盾这样的安全厂商与之互补共同为用户的系统保驾护航，它不但不是竞争关系还是互补依赖、互相补充关系。

公有云IaaS厂商提供基础设施服务，必然要保证安全，这是他们的职责，比如基础网络设施的安全，机房物理安全等。这就好比一个酒店一定要配备保安人员和门禁、视频等基本的安全保障系统。但这并不意味着一家酒店要变成IT厂商自己去开发这些监控系统，更高效的方式是与这方面的专业厂商合作，而且云计算本身还有很多技术难题待厂商去优化和攻克，他们精力将都集中在此，正所谓术业有专攻就是这个道理。而且至今为止，无论是曾经风华正茂的微软还是现在如火如荼的苹果、谷歌、亚马逊，没有任何一个厂商能独立将所有安全问题都解决了。另外，如果厂商把安全的方面面都做了，这也存在一个信任问题，IaaS厂商说自己安全由谁去鉴定和认证？试想如果IaaS厂商自己开发数据安全产品，它的加密算法、加密密钥和客户数据都保存在IaaS厂商服务器上，一旦服务器发生安全泄漏事故意味着这些看似坚不可摧的防御工事都将土崩瓦解。因此，无论从职责、研发能力还是信任等任何角度分析厂商都不可能全部自研，对外合作是唯一的明智选择。

CSDN：您怎样定义云安全和云安全产品？国内云安全的现状如何？

王凯：云安全从其中文字面上可以大致有两种理解，一种是认为云安全是解决云计算中本身存在的安全问题/隐患，如虚拟化安全；另一种是使用云计算的特性来提升信息安全能力。正确的解读，前者应该是云计算安全，后者是云安全服务/产品，英文是Cloud Computing Security和 Security As A Service (SECaaS)。

我理解的云安全产品或服务，首先他们应该是继承了云计算的特性――弹性、可扩展等。而国内一些传统安全厂商将他们的特征库或者产品其他一部分功能放到他们的web服务器上运行，就宣传这是云安全产品，我认为这更多是在套用云计算概念做一个宣传的手段，也有误导客户的嫌疑。

CSDN：安全事故一再爆发（携程事件），您对国内安全产业的发展有哪些预见？

王凯：从斯诺登爆料棱镜门开始，以及国内最近出现的一些重大的信息安全事件来看，我们国家的整体信息安全技术水平与防范意识还处于较低水平，尽管经过这二十年的发展有所提升，但与发达国家相比还是有一定差距。另外，用户自身的隐私防范意识以及维权意识也比较淡泊，所以才导致很多互联网电商对数据泄漏有恃无恐，可以在泄露成百上千的信用卡、用户账号等隐私后继续经营。这与我们食品安全很像，例如在日本，如果一个餐厅被媒体报道说用过期的食材导致客户吃坏了肚子生病，那从此就不会有任何人再光顾这家店。而在中国，它整改通过检查后却可以继续经营，久而久之形成懈怠心理。

信息安全产业这个话题有些大，因为安全是一个系统工程，涉及芯片技术、计算机体系结构、操作系统应用软件、存储技术、网络通信等多个领域。我们拿传统信息安全的四大法器来说，防火墙、入侵检测、防病毒、WEB防护已经遇到了发展瓶颈。随着云计算、大数据、移动互联网技术的发展，势必会导致他们发生革命性的变化，谁能率先洞察这些变化并跟上这种变化谁就能拥有未来。

生活不易，码农辛苦
如果您觉得本网站对您的学习有所帮助,可以手机扫描二维码进行捐赠