大家下午好!感謝各位來聽我的演講。因?yàn)榻裉煳覀兘M委會(huì)環(huán)節(jié)是金融云分論壇,我們是一家做云安全的廠商,所以我起了一個(gè)非常樸實(shí)的名字金融行業(yè)云安全思考。
我先簡單介紹一下我們公司,青藤云安全,創(chuàng)立與2014年8月份,在安全領(lǐng)域我們還是一家挺受注目的初創(chuàng)小公司,可能在小的領(lǐng)域比較受關(guān)注有三個(gè)原因。第一個(gè)原因我們的軟件體系得到了用戶和權(quán)威機(jī)構(gòu)的認(rèn)可。第二點(diǎn)在整個(gè)投資界比較認(rèn)可,接下來很快的時(shí)間會(huì)宣布我們下一輪的融資。在我們公司初創(chuàng)前三年我們總共融資2億人民幣,之所以我們能夠得到投資界的認(rèn)可取決于我們做的產(chǎn)品、技術(shù)和服務(wù)。第三點(diǎn),在我們走向市場過去一年過程中,我們收獲了很多非常好的合作伙伴和客戶。因?yàn)榻裉焓墙鹑谛袠I(yè)的分論壇,我可以很自豪的告訴大家我們在傳統(tǒng)金融行業(yè)和互聯(lián)網(wǎng)金融行業(yè)有非常多的很好的產(chǎn)品,比如光大銀行和平安是我們的客戶,借助我們的平臺(tái)我們幫助他們管著15萬的服務(wù)器,這是我們公司簡單的介紹。
先簡單說一下云,云不是一個(gè)簡單的概念。我們各行各業(yè)的用戶對云的接受度越來越多,像金融行業(yè)可能不同的方式有公有云、私有云和混合云。在這個(gè)行業(yè)里邊大家把云做在運(yùn)維支撐的上面,也有一些銀行和金融機(jī)構(gòu)選擇外邊的公有云。從五個(gè)角度看云,第一基礎(chǔ)物理的環(huán)境,包括機(jī)房,基礎(chǔ)設(shè)施,外部環(huán)境,上面是硬件資源,包括主機(jī)、網(wǎng)絡(luò)設(shè)備、運(yùn)算設(shè)備和存儲(chǔ)設(shè)備。再往上是虛擬資源,是虛擬化的主機(jī),虛擬化的網(wǎng)絡(luò)能力,虛擬化的存儲(chǔ)能力和計(jì)算能力。再往上是管理平臺(tái),管理平臺(tái)需要把虛擬資源和硬件資源管理起來,再上面是服務(wù)于應(yīng)用。
現(xiàn)在流行說PaaS、SaaS和Laas,在這個(gè)環(huán)境下,你可能面臨不同的安全威脅,有些在傳統(tǒng)環(huán)境里面面臨的危險(xiǎn)仍然會(huì)存在,但是也會(huì)面臨新的安全危險(xiǎn)。在物理環(huán)境里邊你面臨自然災(zāi)害的危險(xiǎn),可能有地震,可能有機(jī)房失火物理聯(lián)線的危險(xiǎn)。硬件層面主要是一些主機(jī)設(shè)備,存儲(chǔ)設(shè)備網(wǎng)絡(luò)設(shè)備,可能存在一些安全威脅。比如監(jiān)控設(shè)備干擾了,或者外圍設(shè)備有非法介入,這是在硬件資源層面需要做好的工作。你需要做好物理主機(jī)安全管理。再往上是虛擬資源。在云化環(huán)境下,虛擬資源是安全威脅比較大的一塊,也是金融行業(yè)用戶包括傳統(tǒng)金融行業(yè)的用戶和互聯(lián)網(wǎng)金融行業(yè)的用戶需要加以關(guān)注的一點(diǎn)。
在虛擬資源這個(gè)層面,安全危險(xiǎn)分為三大類,第一類是虛機(jī)管理實(shí)效。第二個(gè)層面是虛機(jī)被攻擊。第三是虛擬軟件管理問題。比如虛擬軟件兼容性問題、安全漏洞問題,所以在虛擬資源層面會(huì)存在著大量的安全危險(xiǎn)。
再往上是管理平臺(tái),比如一個(gè)公有云的平臺(tái)可能存在多租戶管理漏洞,可能存在應(yīng)用軟件的失效,這個(gè)時(shí)候需要大家把API和接口要管好。再上面會(huì)存在云服務(wù)的管理問題和云服務(wù)的濫用,這塊管理就非常重要。
有機(jī)構(gòu),今年做了一個(gè)統(tǒng)計(jì),85%大企業(yè)使用多元的策略,在85%里邊有56%用混合云的策略,剩下的20%是用多個(gè)公有云,剩下的7%用多個(gè)私有云。下面表格數(shù)據(jù)進(jìn)一步說明問題,平均來說一個(gè)用戶可能用到3.6個(gè)公有云,平均一個(gè)用戶可能用到4.4個(gè)私有云,總體來說,全球的大公司,他們會(huì)越來越多采用多云和混合云的策略。
在互聯(lián)網(wǎng)金融領(lǐng)域,可能用一些公有云是非常大的趨勢。比如青藤云現(xiàn)有的很多客戶是阿里云,或者騰訊云的大客戶。然后在傳統(tǒng)金融領(lǐng)域受監(jiān)管方面的原因,大家會(huì)謹(jǐn)慎使用公有云,可能有一些互聯(lián)網(wǎng)化的應(yīng)用謹(jǐn)慎的使用一點(diǎn)阿里云或者騰訊云等等。大家總而言之在用公有云。
第二塊,新加坡主機(jī) 免備案服務(wù)器,馬來西亞主機(jī) 日本服務(wù)器,傳統(tǒng)金融領(lǐng)域像股份制比較大的銀行,招商銀行、光大銀行等等他們建設(shè)自己的私有云。第三塊在中國有特色,監(jiān)管行業(yè),或者說一些同行做的行業(yè)云,比如有名的是興業(yè)銀行的興業(yè)數(shù)金是行業(yè)云,招商銀行也做了行業(yè)云招商云創(chuàng),平安也在推薦自己的平安云,銀監(jiān)會(huì)聯(lián)合20家銀行成立了行業(yè)云,這是中國特有的行業(yè)云。
我們金融機(jī)構(gòu)可能你在用公有云,同時(shí)用著私有云,也用著一些行業(yè)云,在云上面你做安全你的邊界在什么地方。對于你用在傳統(tǒng)的數(shù)據(jù)中心,你用著私有云,用著公有云如何統(tǒng)計(jì)管理,現(xiàn)有的安全體系是否有效。從我們的觀察,傳統(tǒng)的金融行業(yè)對于傳統(tǒng)的安全設(shè)備和安全體系建構(gòu)非常完備,他們有防火墻,IDS,但是我想說的在云化環(huán)境之下,防火墻IDS,IPS可能不是那么有效。舉例來說,同一臺(tái)物理機(jī)出來的各個(gè)虛擬節(jié)點(diǎn)通信不需要你的網(wǎng)絡(luò)安全設(shè)備,這就是一個(gè)盲點(diǎn)。
