企業進入數字化、智能化,已經不能夠按照過往的模式來進行運營了。上雲成爲企業發展的必經之路。雲服務最吸引人的特徵之一是彈性,可以按照不斷變化的需求而向上或向下擴展。企業上雲往往是希望既有公有云彈性擴容、易於維護的優勢,也能擁有像物理機一樣纔有的安全穩定、性能獨享的特點。
作爲每日既有海量訪問,且訪問量會隨着重大活動、節假日而上下波動的電商平臺蘑菇街,對於雲平臺的彈性伸縮關注的同時,對於安全問題高更是十分關注。我們知道,電商平臺在日常中會面臨着網頁篡改、薅羊毛、DDoS攻擊、賬號泄露、木馬植入等一系列風險,而且數據更是電商企業保護的最重要資源。如何通過合理的安全投入,快速部署同樣能夠彈性伸縮的主機安全防護措施,並進行多雲部署下的統一的安全管理,是企業最關心的問題之一。
兩大挑戰影響業務發展,蘑菇街需要更安全
很多企業會在多個雲平臺部署業務,一來享受不同雲廠商的產品和服務優勢;二來分散和減少業務系統風險。但多雲部署也會帶來諸多問題:
- 主機安全管理難度陡增
首先,每個雲平臺的主機的防護都需要單獨管控,企業需要花費大量人力來熟悉和維護各雲平臺提供的主機防護產品;有的雲平臺不提供或者提供比較簡易的防護功能,企業不得不考慮自行研發,導致安全管理難度和人力投入陡增。
其次,市場上各類主機防護產品功能和體驗參差不齊,企業難以獲得簡單一致的安全產品體驗。如傳統安全行業提供的主機安全檢測/防護系統,軟件升級和規則庫更新週期長,無法滿足電商網站快速變化的安全需求;而各雲廠商的主機防護產品能力差異較大,大部分產品都有風險發現能力不足的問題,有的則只具備主動掃描能力而不具備主動防禦能力。這使得很多安全能力強的電商企業選擇好的主機安全產品加自行開發安全插件的方式來提升系統的安全能力。
爲此,蘑菇街需要一個主機安全產品,能對多個雲平臺(包括自建機房)的主機進行統一的安全管理。
- 企業自身安全積累需要最大化傳承
一方面,安全能力強的企業,都會有大量的安全攻防和安全管理積累,這些經驗積累代表了過往和現在的安全投資,是非常寶貴的安全資產。因此,蘑菇街希望將這些安全積累變成安全基線和安全規則,灌裝到現有安全產品中進行分析和執行,以固化和傳承這些安全積累。
另一方面,企業上雲,也希望能夠得到所在雲平臺的安全能力加持,彌補現有安全防護體系的不足,自身安全實踐加上雲平臺的安全能力,一道打造更安全、更高效的安全管理方案。
分析安全需求,多方測試助力產品選型
爲解決上述挑戰,蘑菇街安全團隊把產品選型的重點聚焦在具備多雲主機安全管理能力的安全產品和平臺,並做了以下工作。
- 分析出核心的安全需求
對國內主流雲平臺提供的主機安全產品進行了考察,歸納出以下核心需求:
- 支持多雲主機統一安全管理,能夠清點雲主機安全資產,準確監控資產暴露情況。
- 具備高級威脅檢測能力,例如網站後門、提權操作、非法外連、高危命令執行等,能夠發現高級持續性威脅(APT)。
- 基線檢查能力要強,能夠檢測mongodb、nginx、redis、mysql等常用軟件的配置。
- 支持自定義安全規則的導入。
- 對多個雲平臺安全產品進行測試
根據上述核心需求,蘑菇街對國內主流雲平臺的主機安全產品進行逐一的測試和比對,經過產品選型、攻防測試、穩定性測試等,考察產品是否滿足需求,並綜合分析每個安全產品的得分情況。
“華爲雲企業主機安全服務支持多雲統一管理,威脅檢測能力細緻,功能豐富,提供強大的自定義策略功能,能夠高效滿足企業的安全運維需求。服務當前已覆蓋蘑菇街現網所有主機,在所有應檢出場景中穩定的發揮作用。”蘑菇街安全負責人表示。經過多方總和測試分析,最終華爲雲企業主機安全服務(Host Security Service,簡稱HSS)最終以高分通過了選型。
面對電商企業的需求,華爲雲本着恪守數據中立原則,推出多種以數據安全爲核心的安全服務,幫助電商客戶構建數據的全棧防護。華爲雲企業主機安全服務通過漏洞管理、入侵檢測、安全運營、網頁防篡改等功能,幫助企業更方便地管理主機安全風險,實時發現黑客入侵行爲,以及滿足等保合規要求。
安全的蘑菇街才能讓你更美麗
產品選型之後,接下來就是針對具體的應用進行前期的測試工作。在測試使用的過程中,爲安全起見,HSS首先在灰度環境進行單點、小規模測試,並觀察、記錄和分析運行情況;結果滿意後,在灰度環境下模擬現網,進行大規模部署測試。灰度測試表明產品功能和可用性俱佳,便開始在現網小範圍部署,觀察運行結果;最後進行大規模的現網部署,正式投入使用。
測試的過程其實也是產品磨合的過程,蘑菇街在測試與使用HSS的過程中,根據自身需求及豐富的電商安全實戰經驗,對產品提出了很多改進建議。HSS產品團隊及時響應其需求,餘蘑菇街共同討論問題與方案,快速迭代更新產品,很好的滿足了蘑菇街的安全需要。
經過1個多月的測試和部署,HSS已在現網環境大規模穩定運行。蘑菇街通過HSS實現了對多雲平臺主機的統一安全防護和管理,安全管理效率提升了3倍。同時,蘑菇街安全團隊豐富的安全實戰經驗結合HSS強大的入侵檢測能力,提升了蘑菇街的安全防護等級。
- 多雲統一安全管理
HSS構建出的多雲主機安全管理平臺,把多個雲上運行的主機安全相關數據進行了連接、匯聚和分析,做到統一管理,不怕多雲帶來的安全產品和數據的碎片化。
- 快速滿足安全需求
蘑菇街不再需要投入巨大的人力進行長期的主機安全產品研發,HSS已滿足蘑菇街的大部分主機防護需求。而且HSS的入侵檢測功能如反彈shell、高危命令、root提權等檢測準確率高,檢測種類豐富,在多個廠商的對比測試中表現突出。
- 獲取最新的攻防能力
HSS的安全專家團隊實時獲取業界最新的安全情報和攻防動態,以不斷增強產品的攻防能力,幾乎每天都有新的功能和策略在現網更新,使得包括蘑菇街在內的客戶能夠獲取最新的安全能力。
- 要安全也要“美麗”
蘑菇街不再需要把大量精力花費在主機安全產品的研發和維護上,而可以專注設計貼合業務需要的安全體系,從更高更全面的視野做好整體的防護,使得安全更“美麗”。
- 固化和傳承安全積累
蘑菇街通過HSS的自定義策略管理功能,將多年積累的安全能力與經驗固化成安全基線和安全規則,導入到HSS中,在現網繼續發揮作用。
- 共享華爲雲安全團隊
華爲雲安全團隊7*24小時響應客戶的安全事件和安全請求,華爲雲的全球安全態勢感知與威脅情報能力成爲蘑菇街的安全能力,降低了蘑菇街安全管理成本。
華爲雲繼承了華爲20多年的安全能力積累,鍛造出“冰山”安全體系:用戶在使用冰山上可見的普惠的安全服務如HSS時,冰山下是華爲雲構築的更多安全體系和能力,比如全球安全運維運營體系、安全合規體系等,提升企業防護效率,爲用戶提供普惠合規高效安全服務,助力客戶安全合規高效的發展業務。
點擊這裏→瞭解更多精彩內容