聚焦长尾用户 做云安全服务的先行者

试想一下，一家年收入为100万，年利润为30万的网站，会去花费动辄几十万甚至上百万的安全费用(用于购买硬件、软件，雇用安全架构师等)来维护网站安全吗？不太可能。不过，这些网站就不会遭到对黑客入侵和DDoS攻击吗？他们碰到安全问题又该怎么办呢？对这类网站而言，也许，每年投入小于5万元解决网站的安全问题会更为现实。但在过去，这么便宜的事并不好找。在互联网企业中，有像运营商、政府、金融等行业的大型用户，更多的则是一些中小站长和创业者，而后者以70-%-80%的比重形成了为数众多的长尾用户，对这类用户而言，有“短平快”安全需求的并不在少数。

　　今天，云安全服务给这类企业带来了福音，这是一种基于云计算和互联网提供的安全服务，用户企业无需部署专门的安全硬件设备，就可以以很小成本甚至免费获得一些基础的安全服务。目前，在国内市场，云安全服务还处于培养期，但已有一些企业看准了云计算的趋势，将未来投入到云计算产业中。创新工场的家族成员之一“安全宝”就是这样一个先行者。

　　“安全宝”网站保护系统旨在为网站提供一站式安全解决方案，网站在“零部署”、“零维护”的情况下，就可防止诸如XSS、SQL注入、木马、零日攻击、僵尸网络等各种网站安全问题。不仅如此，安全宝还可综合采用跨运营商智能调度、页面优化、页面缓存等技术，进一步提升访问速度，降低故障率，整体提升网站用户体验。

　　近日，“安全宝”联合产品副总裁吴瀚清就云安全服务的有关问题接受了记者采访。吴在网络攻防领域拥有丰富的经验，2005年加入阿里巴巴，负责网络安全。2009年至2012年7月，在阿里巴巴云计算有限公司负责云计算安全、反网络欺诈等工作，著有技术畅销书《白帽子讲Web安全》。

　　问：弹性计算给传统建站方式带来了哪些改变？它对安全产业的冲击体现在哪里？

　　答：弹性计算改变了传统的建站方式，这主要体现在：可对资源按需使用，按需付费;专业运维实现了服务化;它可以实现快速部署，自助开通。弹性计算给安全产业也带来了一定的冲击。这主要体现在，安全由需要投入巨资来获得的“奢侈品”变成了人人能承受得起的“消费品”;安全服务提供方式也由传统的“销售模式”转变为“互联网模式”。这对一些传统的安全厂商来说，是一种新的挑战。

　　问：安全宝是一家什么样的公司？它是如何对网站起到安全防护的？

　　答：安全宝既不是CDN厂商，也不是传统的安全厂商，它是做“云WAF(Web Application Firewall)+CDN”的。安全宝的网站防护由两个环节构成：对DNS的保护和对用户网站自身的保护。一方面，DNS是整个互联网访问过程中最薄弱的环节。容易被攻击、被劫持，用户将DNS纪录指向安全宝DNS服务器后，用户网站域名将由安全宝负责解析。安全宝可以为用户提供安全、高速、稳定和免费的DNS服务;另一方面，安全宝为用户源站服务器在安全云中提供了一个替身，无论是渗透还是DDoS攻击，攻击的目标都将是安全宝替身，进而保护了用户源站。通过对DNS和Web服务器的全面保护，安全宝使用户网站比以往更安全。

　　问：安全宝能扛住多大带宽的DDOS攻击？是通过什么方式来防DDoS攻击的？

　　答：目前，安全宝能帮用户抗60G的DDoS攻击。安全宝防DDoS攻击的方式主要是：用自己的设备，对不同层面的DDoS攻击采取不同的处理方式，有的在网络层处理，有的在应用层处理。应对DDoS攻击，我们一方面靠云架构，一方面靠云架构节点上的专用设备，我们本身有分布式的强大的云平台和带宽资源，这个是传统安全厂商所不具备的。清洗设备虽然强大，可能单台设备可以清洗200G的流量，但对付DDoS攻击，在互联网上的方式和在实验室对单独设备的攻防方式是完全不同的。

　　问：很多互联网企业都在做云计算，如：盛大、亚马逊、阿里等。这类云计算厂商如果也推出云WAF，对你们会有压力吗？

　　答：我们跟这些云计算厂商未来更多的可能是合作，而非恶意竞争。今天整个云计算市场，除了阿里云外，其他的几家都没有能力自己做安全产品。而阿里云通过购买设备坚持在做这事，但阿里云的重心在基础云计算服务上，而对于需要巨大投入的云安全，阿里云可能没有过多的精力来深耕细作。一些云计算的小公司可能更顾不到云安全这个领域。因此，这些公司未来都可能是我们的合作对象。

　　问：一些传统安全厂商也在做云安全服务，比如，迈克菲的云安全服务(SaaS)在中国已经落地。如何看待安全宝在安全领域的定位？

　　答:云安全服务广阔的市场前景已经被很多安全厂商认可，一些厂商也在积极主动地进行必要的转型。但传统安全厂商缺乏云计算经验和互联网经验，也没有自己的CDN。某些国外安全厂商与国内相关企业合作推出云安全服务，主要就是为出售自己产品和技术。另外，如果要做战略转型，传统安全厂商很难彻底甩掉自己的历史包袱。如果所有安全业务都服务化了，他们将会受到致命打击。

　　将来，在云安全服务市场，既懂云计算又懂安全业务的厂商会有更大的的发言权。传统安全厂商的基因是做产品，这不是网络化的，也不是云化的。一些传统安全厂商现在也开始采取买服务送设备等新方式来赢得客户。但很难想象，针对大量安全预算有限的长尾用户，这些厂商也能将昂贵的设备送出去。与之相区别，安全宝的基因就是为云计算服务，我们的服务是对云计算和安全的结合，我们没有历史包袱，并且不看重短期收益。

　　问：在提供云安全服务中，安全宝如何保护用户隐私？

　　答：我们自己会尽最大努力保护用户隐私，因为我们很清楚，这方面一旦出了问题，公司就完蛋了。大家是不是愿意接受这种云安全服务，是个信任问题。就像大家现在都习惯了用支付宝一样，这个信任问题最终会得到解决。如果有必要，我们愿意通过赔付等方式让用户更放心。从另外一个角度说，大数据的价值也绝不是靠出卖用户隐私来实现。大数据让人感兴趣的不是具体的个人数据，而是基于大量个人数据做出的统计数据，在统计中，个人隐私自然就会被抹掉，这种对数据价值的挖掘会和用户隐私保护达成一种平衡。

　　问：安全宝未来希望做企业级市场平台级提供商，能否具体谈谈你们的计划？

　　答：这是我们战略层面的一些想法。未来，我们会积累很多用户数据，用户流量也经过这里，既然我们能拥有数据，就可以为用户提供更多智能化服务，比如：帮助客户优化广告投放使其更精准，提供云存储服务，提供基于saas的应用场景等。安全宝从诞生之日起所采用的全新架构，会让我们的的未来有更多的想象空间。