青藤云安全万京平:让安全工作更好的走近业务
“云时代,安全变了”这是青藤品牌升级发布会的主题。新时代下,企业业务上云已经成为趋势,安全被重新定义。这一次,青藤云安全也重新定义自己为“青藤,让云更安全”。
青藤从成立以来就叫青藤云安全,锚定云安全赛道。2014年青藤成立之时,恰巧是国外传统安全向云安全大迁徙的一年。国外云计算市场增长强劲,而国内云市场还尚处于起步阶段。
大多数传统安全公司都无法自己革自己的命,因为他们大多收入都来自于硬件,没有人会顶着压力自己颠覆自己,只有的新兴公司,他们没有历史包袱,坚决站在云安全的时代潮流下。
在云时代,大多数云厂商、传统安全公司以及云安全创业公司都卷入到这场保护云上安全的战役中,每个人躬身入局的姿态都各不相同。青藤云安全则是技术和服务两手抓。
就青藤品牌升级的背景和其做安全服务的逻辑,雷峰网与青藤云安全副总裁、安全服务中心负责人万京平进行了深入地交流。
安全从合规需求转向业务需求
数字化时代,全球企业都在将“数字化转型”作为重要的策略,企业上云脚步的不断推进,给企业带来新的安全风险,网络安全的需求加速释放,传统网络安全防护逐渐失效,更加具有共享化和开放化的云安全是大势所趋。
“用户对网络安全的需求由广义的合规驱动逐渐向合规+业务安全需求过渡。而安全工作如何更好地融入业务工作已经成为越来越关键的一个话题。”
万京平已从事网络安全行业20余年,曾服务于军队、政府、央企,是行业内资深的网络安全专家,基于对网络安全行业多年的了解,他得出以上结论。
因为很多时候乙方理解不了甲方的需求,这种“不理解”很多时候不是技术上的,而是对业务场景理解不够透彻。
数字化时代安全应该和业务是一体的,青藤在行业内首次提出“业安融合”的理念,正是基于此类情况。青藤CEO张福表示:“安全要跟业务实现深度融合,它要在能力层面进行融合,要在体系上进行融合,要在流程上进行融合,把安全和数字化融为一体,而不是把安全独立于数字化以外。”
业务数字化的同时,安全势必也要数字化。显然传统的卖硬件盒子的安全防护手段已经不适用云时代当下的业务需求——因此云安全应运而生。
云安全其实回归到本质,一方面就是保护云计算基础设施的安全,另一方面就是提供相应的云安全服务。
在保护云计算基础设施方面,青藤认为,传统安全在云和全面数字化变迁过程中面临的困境主要有四个方面:难以适配云和云原生环境、高度碎片化导致效率低下、安全能力迭代演讲缓慢、难以融合到业务全生命周期当中。
因此“新时代,需要新安全”,敏捷、高效、智能、连接才是新时代安全应该具备的特点。青藤云安全CEO张福认为,云安全本质上讲就是安全的云化、安全的数字化。我们希望安全能够顺应潮流,适配云的基础设施,充分API化,能够融入到业务中去,能够高速迭代和演进,实现“业安融合”。
安全产品本质上绝大多数是效率工具
“绝大多数安全公司扮演的角色实质上是提供专业化的工具,来帮助企业提高安全工作效率和工作标准化,与汽车厂商卖车、医疗设备厂商卖机器类似,大家来买这些设备的目的本质是为了解决问题,通过这些‘工具’服务我们的工作。而这当中最大的差异主要有两个,一是司机和医生是有非常成熟的体系的,都可以相对‘标准化’的发挥‘工具’的价值,而安全行业尚未达到如此成熟度;二是安全行业中品类众多的‘工具’不像汽车和医疗设备那样高度的标准化。这就促使我们深刻思考如何通过服务化来解决价值问题。”万京平如是说。
在万京平看来,安全的本质是服务化,安全行业本质上就是服务行业。
不论是政府还是企业,用户的目的就是保障安全,他们真正需要的是技术服务,而非简单的技术。对于现阶段安全服务化现状,万京平告诉雷峰网:主要有两个方面,一是产品服务化,二是服务产品化。在产品服务化方面,国外的安全公司在近些年越来越多地走向SECaaS,而在国内受限于我们的实际情况,大型政企采用SaaS化安全服务主要局限于资产测绘等有限领域;在服务产品化方面,更多的是如何能使服务尽可能的标准化、体系化,以确保实现的价值相对稳定一致。
与以往堆人力、堆资源的服务方式不同,青藤目前提供的就是一套标准化、体系化的安全服务。
服务化是未来云安全发展的重要趋势之一
随着数字经济的快速发展,企业上云已是大势所趋,而云上安全也成为企业数字化转型的重要保障。安全企业逐渐开始考虑如何将安全能力全部融入到云基础设施里,让整个企业的安全体系变得更加精简、高效且低成本。
把安全服务交给第三方,一来可以降低成本,二来可以腾出更多人员专注于业务。
因此,在现阶段政府买服务、企业买服务,将具体的安全技术工作托管给安全公司或者云服务商直接做,已经是普遍性需求。
显然用户对于购买云安全托管运营服务的认知和理念已经趋于成熟,但是受限于现实中人员编制因素还有落地、预算、购买的感知等方面还存在一定挑战。这就需要安全公司思考应该给用户提供什么样的安全服务?
云时代下,如何让安全更好地走近业务
谈到安全工作与业务融合这个问题,万京平有几点体会:
首先,安全人员不要把自己封闭在自己的领域内,要多跟业务部门打交道。去理解业务,学习业务,也不单单是为了分析业务中的安全问题,往往一个单位的主要业务都是发展的较为成熟的,很多的体系化工作也一样可以用在我们安全领域的实践中。同时,在推动安全工作中,也避免了各说各的尴尬局面。
其次,要多层次的做好安全的宣教工作和认知传递工作。因为网络安全与交通安全、食品安全一样,在现如今是人人都需要注意的,从某种程度上来说不仅仅是网络安全部门自己的工作。安全部门做好保障、服务、管理等专业支持工作,促使业务部门理解自身的网络安全责任,才能更好的促进业务与安全的融合。
最后,是充分对服务化的运用。这其中分两个维度,一是作为保障型业务,怎样通过服务化做好对内的服务工作,更好的围绕自身业务场景有针对性的识别安全问题;二是利用外部资源解放自身,将基础安全工作通过采购外部服务节约自身资源,腾出精力走向业务。
在谈到青藤如何给大家提供服务时,万京平说到:目前青藤的安全服务体系已超过300人,覆盖了全国大多数省份,尤为重视服务产品化工作,提供六大类安全服务、22种服务产品,并不断迭代更新。希望通过青藤的服务助力大家做好“业安融合”工作。