前沿 | 怎样让一家SaaS企业不再为安全担忧？ - 新鲜讯息

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线：010-82341063

数字经济日渐成为主流的今天，云计算的快速发展是其重要推手。根据Forrester近日发布的报告，预测到2026年之前，全球公有云市场将激增至1万亿美元，是2022年4466亿美元的2倍多，未来4年年增长率将超过20%。

作为云计算市场的重要组成部分，软件即服务（SaaS）的创新发展，是推动云市场蓬勃发展的重要因素。据公开数据显示，全球公有云市场中，SaaS占比约四成，是当仁不让的主力军。

对SaaS企业来说，不仅要充分利用云原生的特性来拓展其业务，更要积极拥抱云原生安全架构来实现最佳安全防护，才能得以在这场数字化浪潮中站稳脚跟。

腾讯安全副总经理董文辉认为，上云是企业兼顾成本、效率和安全的最优解。这在销售易身上表现得尤为明显。作为一家企业级CRM厂商，销售易为众多用户提供数字化的客户运营解决方案。借助腾讯云原生安全体系，销售易打造了客户信任的企业级CRM的落地实践。

记者对销售易安全负责人李哲祎以及多位腾讯安全的技术专家进行了采访，了解SaaS企业以及云上其他类型的企业，如何运用腾讯专业的第三方云原生安全能力，快速便捷地构筑自身的安全防线，从而保障业务的稳定运转。

在当前的云环境下，SaaS企业首先要关注哪些安全风险？

李哲祎认为，作为一个业务全部构建在云上的SaaS企业，销售易面临的安全风险来自于三个方面。

第一，是数据安全，这是SaaS企业的底线。用户把核心商业数据放在销售易这个平台，平台必须不惜一切代价保护好数据的安全，要保证数据防泄漏、防丢失，保证系统的抗攻击性、可用性。

其次，是近年来备受关注的供应链安全。一套SaaS系统包括了从底层的服务器到网络产品，到云端的PaaS服务，到邮件、短信平台等第三方供应商，这些环节的风险都需要关注，严格评估。同时，SaaS应用的研发不可避免地要引入开源、中间件等第三方代码，这些也是需要重点关注的风险点。

最后，销售易的开发、测试、生产环境全部上云，一方面要关注云上常见的安全风险，例如Web端的常见软件风险：SQL注入、跨站等，另外自研软件也要避免开发上的缺陷，必须符合云原生产品的安全特性及要求。

面对这些严峻的风险，腾讯作为云服务提供商，一方面，通过多年的经验和积累，保障腾讯云平台自身的安全；另一方面，对云上的用户，腾讯同时也提供了全方位而又便捷的安全服务。

董文辉表示，传统异构设备堆叠式的安全架构已无法应对日新月异的安全风险，需要以“一体化”的理念重构云原生安全防御体系。

为什么要强调云原生安全？董文辉介绍，在云原生安全架构下，威胁的处置效率大大提高。面对复杂的攻击场景，安全可以做到以“原子”化的能力，快速地组合，应对新的安全挑战。面对突发的大流量攻击，云原生的优点更加突出，云的弹性能力，可以做到TB级的防护。对此，李哲祎也认为，云原生安全提供了更好的安全性，可以说是销售易CRM的一个核心竞争优势。

安全不仅要有效，还要好用。董文辉介绍，之所以提出“一体化”的安全理念，是因为腾讯对云上客户做了深度调研后发现，大部分企业都是IT运维人员和程序员来承担安全职责，不知道如何去构建一套完整的安全体系，往往以为买一个云防火墙或者WAF、主机安全就能发挥作用，在认知和防护上不够全面。

因此，基于安全极简化的思路，腾讯安全为云上客户打造了一套腾讯云原生“3+1”安全防御体系，通过云安全中心打通云防火墙、云WAF、云主机安全三道防线，覆盖网络安全、应用安全、主机安全和安全运营管理四个常用维度，帮助客户低成本、快速地搭建立体纵深的安全防护体系，同时极大地降低运营成本，让安全的门槛大大降低，易用且好用。

腾讯安全副总经理、云原生安全技术负责人龙海介绍，“3+1”安全防御体系分三层架构。底层是以情报和安全服务为基础的一些安全的原子能力，中间是各类安全单品，通过资产、事件、场景，形成网格化的联动，上层是安全中心，汇集了各个单品的数据，提供一个中心化的全面的视角，看到整个云上的资产、风险、事件，提供关联分析、溯源等高阶安全能力。

以log4j漏洞为例，龙海介绍了“一体化”安全体系的优势。以前，企业从漏洞的爆发，到检测受影响的资产、开启防护的补丁，再到最终漏洞的修复或者隔离，一般需要在多款产品中进行数十项的操作配置，整个流程往往需要花费180个小时以上的时间。在腾讯云安全中心，这一类的安全问题可简化成三个步骤只需一键，就能开启全方位防护；只需一键，就能对云上业务进行360度安全体检，发现云上所有风险与告警；只需一键，就能处置所有风险与告警。

董文辉表示，极简易用是腾讯云安全中心的目标，这套“3+1”安全防御体系能够让企业的安全团队不需要做各种复杂的配置和检查，依托云安全中心就可以解决大部分的安全问题，大大提升安全运营的效率。对于一些个性化的需求，如游戏行业比较关注DDoS攻击，可以再叠加抗DDoS攻击的能力；SaaS行业关注数据安全，可以在数据安全的方向上再叠加更多安全能力。

作为这套安全体系的受益者，李哲祎表示，整体的使用感受可谓“物超所值”。销售易作为软件提供商，既要保护公司内部数据的安全，也要保证给客户提供服务的SaaS应用从系统到数据的整体安全。通过腾讯一体化安全方案，销售易不仅实现了成本可控，还形成了整体云原生架构的纵深防御，达到了预期的防控效果。

李哲祎举例，SaaS应用是一个开放系统，整体都在互联网上，当发现一个新的风险点时，从代码层面解决问题难以控制时效，还容易引发业务风险，通过腾讯的云WAF，就可以利用现有规则及时做一些限制性的调整，快速止损。此外，销售易服务了很多大型企业，对合规有着严格的要求，借助腾讯成熟的安全产品，可以帮助销售易实现更好的合规，吸引更多的客户。

李哲祎强调，和腾讯的安全合作得到的不仅仅是产品，而是深层次的专家服务。当新型安全事故爆发时，企业可以借助腾讯快速更新的规则，及时达到安全防护的效果，在遇到棘手的问题时，也可以请腾讯的安全服务团队介入，弥补企业自身的不足。

显然，在腾讯“一体化”安全体系的帮助下，不管是SaaS企业还是其他云上用户，都可以让安全不再成为企业发展的绊脚石，将安全运营“化繁为简”，从而把人力物力更多地投入到自身的业务运营上，专注于企业的发展。

销售易和腾讯的成功合作，正如腾讯副总裁丁珂所说，安全共生是企业行稳致远的最优路径。实现“安全共生”，就是充分发挥安全厂商“专家”和生态厂商“行家”的角色分工，提升安全生态的精耕细作和贴身服务能力。上云已成企业数字化转型的必由之路，期待腾讯安全打造一个越来越极简易用的云安全防线，帮助企业实现云上安全“最优解”。

《中国安全信息》杂志倾力推荐

“企业成长计划”

点击下图了解详情