崔晶炜

大家下午好!感谢各位来听我的演讲。因为今天我们组委会环节是金融云分论坛,我们是一家做云安全的厂商,所以我起了一个非常朴实的名字金融行业云安全思考。

我先简单介绍一下我们公司,青藤云安全,创立与2014年8月份,在安全领域我们还是一家挺受注目的初创小公司,可能在小的领域比较受关注有三个原因。第一个原因我们的软件体系得到了用户和权威机构的认可。第二点在整个投资界比较认可,接下来很快的时间会宣布我们下一轮的融资。在我们公司初创前三年我们总共融资2亿人民币,之所以我们能够得到投资界的认可取决于我们做的产品、技术和服务。第三点,在我们走向市场过去一年过程中,我们收获了很多非常好的合作伙伴和客户。因为今天是金融行业的分论坛,我可以很自豪的告诉大家我们在传统金融行业和互联网金融行业有非常多的很好的产品,比如光大银行和平安是我们的客户,借助我们的平台我们帮助他们管着15万的服务器,这是我们公司简单的介绍。

先简单说一下云,云不是一个简单的概念。我们各行各业的用户对云的接受度越来越多,像金融行业可能不同的方式有公有云、私有云和混合云。在这个行业里边大家把云做在运维支撑的上面,也有一些银行和金融机构选择外边的公有云。从五个角度看云,第一基础物理的环境,包括机房,基础设施,外部环境,上面是硬件资源,包括主机、网络设备、运算设备和存储设备。再往上是虚拟资源,是虚拟化的主机,虚拟化的网络能力,虚拟化的存储能力和计算能力。再往上是管理平台,管理平台需要把虚拟资源和硬件资源管理起来,再上面是服务于应用。

现在流行说PaaS、SaaS和Laas,在这个环境下,你可能面临不同的安全威胁,有些在传统环境里面面临的危险仍然会存在,但是也会面临新的安全危险。在物理环境里边你面临自然灾害的危险,可能有地震,可能有机房失火物理联线的危险。硬件层面主要是一些主机设备,存储设备网络设备,可能存在一些安全威胁。比如监控设备干扰了,或者外围设备有非法介入,这是在硬件资源层面需要做好的工作。你需要做好物理主机安全管理。再往上是虚拟资源。在云化环境下,虚拟资源是安全威胁比较大的一块,也是金融行业用户包括传统金融行业的用户和互联网金融行业的用户需要加以关注的一点。

在虚拟资源这个层面,安全危险分为三大类,第一类是虚机管理实效。第二个层面是虚机被攻击。第三是虚拟软件管理问题。比如虚拟软件兼容性问题、安全漏洞问题,所以在虚拟资源层面会存在着大量的安全危险。

再往上是管理平台,比如一个公有云的平台可能存在多租户管理漏洞,可能存在应用软件的失效,这个时候需要大家把API和接口要管好。再上面会存在云服务的管理问题和云服务的滥用,这块管理就非常重要。

有机构,今年做了一个统计,85%大企业使用多元的策略,在85%里边有56%用混合云的策略,剩下的20%是用多个公有云,剩下的7%用多个私有云。下面表格数据进一步说明问题,平均来说一个用户可能用到3.6个公有云,平均一个用户可能用到4.4个私有云,总体来说,全球的大公司,他们会越来越多采用多云和混合云的策略。

在互联网金融领域,可能用一些公有云是非常大的趋势。比如青藤云现有的很多客户是阿里云,或者腾讯云的大客户。然后在传统金融领域受监管方面的原因,大家会谨慎使用公有云,可能有一些互联网化的应用谨慎的使用一点阿里云或者腾讯云等等。大家总而言之在用公有云。

第二块,传统金融领域像股份制比较大的银行,招商银行、光大银行等等他们建设自己的私有云。第三块在中国有特色,监管行业,或者说一些同行做的行业云,比如有名的是兴业银行的兴业数金是行业云,招商银行也做了行业云招商云创,平安也在推荐自己的平安云,银监会联合20家银行成立了行业云,这是中国特有的行业云。

我们金融机构可能你在用公有云,同时用着私有云,也用着一些行业云,在云上面你做安全你的边界在什么地方。对于你用在传统的数据中心,你用着私有云,用着公有云如何统计管理,现有的安全体系是否有效。从我们的观察,传统的金融行业对于传统的安全设备和安全体系建构非常完备,他们有防火墙,IDS,但是我想说的在云化环境之下,防火墙IDS,IPS可能不是那么有效。举例来说,同一台物理机出来的各个虚拟节点通信不需要你的网络安全设备,这就是一个盲点。

第二个,怎么样保证在业务复杂、基础设施体系不断的变大的情况下怎么保持高效,保持安全相应速度。现在目前安全体系里边是非常难做到的,举例子,一个金融机构它可能自己传统的IDC有一套安全的防护措施,私有云和公有云又有一套,每个安全体系都是孤岛,安全体系非常难以实现统一的管理,统一协作,信息分享,所以整个安全体系运作效率是非常低的,真的出了单点突发事件,我们金融机构怎么保证单点突发事件不蔓延整个体系,这可能都是面临的挑战或者问题。

总结来说,我们觉得传统的体系可能会有这些痛点,传统防御体系是以防御为中心,这种防御并不是有效的,四个方面,第一边界防护在过去的时代你的边界是非常明确的,你的IDC数据中心边界在什么地方,在现在复杂的环境下非常难以定你的边界。第二资产难以梳理,拿一个通俗的话说就是一抹黑,不知道自己管着多少的资产。第三个方面安全的脆弱点难以定位,系统安全隐患非常难以排除。最后一点,没有办法联动,各个安全体系都是孤立的,没有办法协同防御,各自为阵,没有办法全部覆盖。所以青藤云认为安全建设需要自内而外,需要持续监控。如果做主机层面,或者云方面的安全这个安全产品需要两个能力,第一快速分析,第二快速响应以此满足传统边界防护的不足,传统防火墙的不足。

自适应的架构是一种趋势。我们认为中国绝大部分安全公司在十年二十年都在做这个工作,在为甲方做防御工作,他们起到的功能都是防御功能,他们可以加固过程隔离系统,但是我们认为现在两个特点,第一个边界模糊,第二流量加密,这样的方式光防御是远远不够的,光防御远远抵御现在的攻击的,所以我们要做监测分析和预测。

监测要做的非常实时,一旦有人入侵实时能够感知,你要做到准确率非常高,误报率非常低。你不光监测还得响应,在内部出现什么样的问题,我在内部打一仗杀死也是赶出来。第二我们做到分析和回溯,分析利用了哪个漏洞进来的,在金融行业来说,漏洞要不要打,怎么确保业务安全和业务连续性。最后一点我们还要做到预测,这家金融机构碰到的安全问题可能是整个行业接下来都会面临的问题,我们从一家企业的问题经过总结,我们希望建立联动的系统,帮助整个行业预测未来的感觉风险。所以青藤云做的事情跟传统的防御是一个完整的匹配,因为我们在做监测、分析和预测。

我们做这些方面,第一,帮助我们的金融机构做到全面掌握安全事态,自内而外的事态感知,帮助你清晰透彻的做资产清洁,高频率的检查你的压缩真空。第二,补全系统安全短板,我们能够支持公有云、私有云、混合云,也支持传统的IDC,能够做到云上云下统一管理。第三,现在金融行业业务发展太迅猛,我们能够适应迅猛的拓展和变更,轻量并且高效。第四,我们做基于行为和特征毛点的入侵监测,做到实时监控秒级响应。青藤云的理念希望把安全和运维结合在一起,帮助安全人员实现安全可视化平台,我们提供可视化平台,非常高的精准度,非常低的误报率。第五点,现有的安全方案拖慢用户向云迁移的速度。因为云上的安全是一个技术问题,同时也是管理问题。在公有云上面你的安全应该是由提供商解决还是由租户来解决,但是我们的方案能够很好的做一个匹配。第六点越来越多的用户接受云化的安全服务,本身我们是云化安全平台,我们可以私有化部署也可以SaaS部署,我们提供就是云化的安全平台。第七点安全检测技术得到更大的投入。第八是人工智能。第九点,自动化响应驱动各产品间的联动,不光做检测,更重要帮金融用户做响应,你能发现异常,你能发现攻击做什么样的响应,这个响应不是人工的响应,我们减轻运维和安全的负荷,这都是我们在做的事情,这就是我跟大家的分享,谢谢大家。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2019-07-31 12:13:13
云资讯 京东云发布《私有云&混合云白皮书》 构建客户想要的云平台
伴随着人工智能、大数据、物联网等技术的不断发展,以及5G时代的来临,企业IT系统的云化成为大势所趋。客户多样化、个性化的应用需求对云厂商提出更多要求。 <详情>
2019-07-31 10:31:00
边缘计算 企业必须进入云端吗?可以进入边缘计算
如今物联网的应用越来越广泛,但需要具有企业的视角。这意味着垂直行业应用程序、开发生态系统、产品设计、硬件、部署等。 <详情>
2019-07-31 10:19:00
云资讯 谷歌牵手VMware将虚拟化工作负载引入谷歌云
彭博社报道称,谷歌与VMware正在展开合作,帮助企业更轻松地在Google Cloud Platform上运行VMware vSphere虚拟化软件和网络工具。 <详情>
2019-07-31 09:52:00
云资讯 谷歌与戴尔旗下云计算公司VMware建立新合作 试图追赶竞争对手
据国外媒体报道,当地时间周一,谷歌宣布与戴尔旗下的云计算公司VMware建立新的合作伙伴关系,帮助更多企业迁移到云端,从而试图追赶其竞争对手。 <详情>
2019-07-31 09:10:00
云技术 云计算时代,硬件为什么仍然非常重要?
加利福尼亚大学圣迭戈分校采用了“云优先”的战略,他们淘汰了三台大型机、将尽可能多的计算工作负载转移到云端、尽可能放弃内部部署软件,转而使用软件即服务。 <详情>