拼客学院陈鑫杰 创业团队如何低成本保护自己的网站安全
近年来,身边越来越多朋友陆续加入创业大潮,我这莫名其妙就成了大家眼里的「装机大佬」,经常收到这样一些询问:
企业的 IT 基础设施要怎么规划?
采购什么型号的设备会比较划算?
团队知识管理应该如何实施?
如何培养员工的安全意识?
……
在这些问题中,问的最为频繁的,当属这个:
目前正在创业中,有哪些方法可以比较低成本保护自己的网站安全?
正式解答之前,我觉得自己还挺适合回答这个问题的,缘由有二。
第一:
自己身处创业团队,从 2013 年创业至今,中间短期或长期的项目和企业,陆陆续续做过一些,知道控制「成本」和保证「现金流」对于一家创业公司有多么重要。因此,我完全能够理解这位朋友提问时的处境和出发点。
第二:从 11 年正式踏入信息安全这个圈子,有幸伴随这个产业从边缘层突然进入国家战略,在这中间,大大小小的项目都折腾过一些,大型项目的话,包括 Jun、政、税、国土、电力、金融等等,中小型项目的话,医疗、教育、企业等等。
而只要涉及到项目,就免不了要根据客户的项目招标书,来编写投标书、产品清单、选型策略、方案报价、技术偏离表、项目实施、售后验收等等方案。而这些方案最终总结起来其实就一句: 即根据客户招标需求,结合客户所在行业,提供最佳性价比的方案,最终拿下这个项目标的。(注:实际情况下,能否拿下项目,性价比未必是最关键的因素,这里不再展开…)
回到这个问题上,这其实更多是一个项目需求而非技术问题。例如这个问题其实就是「一句话招标书」,我接下来要做的,就是结合以往经验,通过项目视角,为创业团队输出最佳项目解决方案,希望对类似的创业团队有帮助。
~~ 以下是正文 ~~
这个需求乍看挺简单,实则蛮复杂。为什么呢?
首先,「创业团队」也分 0 到 1 年、1 到 3 年、3 到 5 年、5 到 8 年 …
尤其在国内的创投圈里,只要还没走进资本市场,只要没完成「成人礼」,那么,无论规模多大,大家都是创业团队。你看,我手头这个小微团队,也创业 7 年了……
其次,「低成本」对于不同创业团队的不同阶段,心理标尺和可承受范围都是不同的。
如果是刚创立没拿到融资还在验证商业模式的话,这个阶段肯定希望白嫖,别说「低」成本了,最好就是 0 成本。毕竟,减少各项开销,让团队活着才是这个时候的第一要务。
而如果创立若干年且有资本开始介入,网站或 APP 有较多用户,且用户能逐渐转为客户。这个时候创业项目无论在用户端还是资本侧都受到了认可,说明整个商业模式跑通了。这种情况下,用户数据就是核心资产,投入一定比例的成本来招人组团队或采购商业安全服务,都是非常值得且必要的。
那么,问题就来了,你这个团队的年营收是多少?利润是多少?能拿出多少比例来进行安全建设?例如,同样是拿 10 万/年出来做网站安全,营收 1000 万拿 10 万出来,跟营收 100 万拿 10 万出来,这是完全不同的概念。
再有,「网站安全」这个,不同的网站规模和资产等级,决定了不同的解决思路和安全级别。
比如说,你这个网站其实就一个企业官网,除了几个前端展示页面,没有任何数据资产,那么这种情况但凡投一个安全工程师的人力进来,那都是浪费。例如,网站 IT 拓扑架构长这样:
而如果说这个网站背后其实是一个IDC数据中心集群,主域名下面有 N 个子域名,子域名下面对应着 N 多服务器,这样就可能有数百上千万有价值的用户数据,这种情况即便投一个安全团队进来也未尝不可。例如,网站 IT 拓扑架构长这样的:
注:以上手绘图解,摘自我的《SDN软件定义网络》系列课件。
也就是说,无论网站大小,资产多少,前期的定级和评估必不可少。这跟国家目前大力推行的《网络安全等级保护》标准和思路是一致的,即根据不同规模和资产重要性,进行分等级保护,最终实现成本和安全的平衡。
~~ 以下是正正文 ~~
那么,作为创业团队,到底如何在低成本的情况下,为自己的网站保驾护航呢?
在此,根据创业团队的不同阶段,可能达到的网站规模,需要得到的安全等级,给出不同低成本的解决方案。
我们用这个列表来展开:
方案一
创业阶段:初创期
网站规模:小规模、1 个域名、10 台服务器以内
解决思路:开源产品 或 云安全产品
安全等级:参考等保 1 级
预估成本:0 ~ 10 万/年
在创业初创阶段,最经典的网站规模便是「单机单域名单点部署」,即企业通常仅启用一个域名,采用一台物理或一个虚机来提供 Web 服务,没有做任何主备冗余策略。
考虑到这个时候,网站的访问量很少,技术架构不复杂,因此,可以先节省一个全职安全工程师的费用,让团队其他人例如运维或开发人员兼任,甚至创始人可以亲力亲为。
网站规模小并不意味着可以不做任何安全措施,最基本的安全工作还是要做的,这里推荐的解决方案是「开源产品 或 云安全」。
简单来说,如果团队有一定的技术基础,那么直接采用市面上成熟稳定的开源安全产品,基本能做到 0 成本。这里直接截取我之前给一些单位做企业安全建设的讲义内容 =
在这个阶段的话,采用 OpenVAS 做周期性的漏洞扫描, Modsecurity 做为 Web 防火墙,Snort 做入侵检测等等,基本能满足需求了。
既然采用开源产品能做到 0 成本,为什么此阶段的解决方案里还有「云安全」呢?
这是因为,在我们实际的工程项目中,并不是所有创业团队都有技术能力且干的都是 IT 互联网行业,很多团队本身就是传统行业出来的,TA 们连企业官网都没法自己搞定且需要外包,你让 TA 们 用开源产品?
因此,如果初创团队没有任何技术功底,那么更为务实的做法便是:
直接将网站部署到云端,然后直接采购商业 WAF 服务。例如,你把网站放阿里云上,那就买阿里的 WAF,放腾讯云,那就买腾讯的 WAF。虽然购买云安全产品,每年要花费数万元,但是也节省了运维人力和管理精力。
方案二
创业阶段:成长期
网站规模:中小型集群、2 个域名及以上、10~ 100 台服务器
解决思路:若干安全人员 + 开源产品 + 众测服务 + 少量商业产品(可选)
安全等级:参考等保 2 级
预估成本:10 ~ 50 万/年
在创业成长期阶段,网站规模开始从「单机单域名单点部署」逐步切换到「多机多域名多点部署」,这个时候的企业开始启用多个域名,或者一个主域名结合 N 多个子域名协作,用于支撑官网、OA、Email、CRM、ERP 等 IT 业务系统。于此同时,核心站点还需要引入 CDN 优化、LVS 负载均衡、数据备份等技术。
考虑到这个时候,业务逐渐发展起来了,基于 Web 的业务系统增多,某些核心站点流量较大,因此,不再建议再由内部人员兼任,推荐的解决方案是「若干安全人员 + 开源产品 + 众测服务 + 少量商业产品(可选)」。
在这个阶段,团队至少引入一名全职且专业的安全工程师,是非常有必要的,TA 能做的事情包括但不限于:
持续关注行业安全动态,例如 0 day 或 N day漏洞,提高安全应急响应能力
周期性对各类网站业务系统进行漏洞扫描 或 渗透测试,提前预判安全风险
充分使用市面上优秀的开源安全产品,甚至能根据企业需求进行二次优化
更好地组合开源与付费商业产品,为企业构建最佳网站防御方案
除此之外,安全工程师还可以根据企业需求,将部分 Web 业务系统,授权给第三方众测服务平台(例如补天),通过性价比较高的方式,吸引外部白帽子黑客进行安全测试。
在这个方案中,我们还增加了「少量商业产品」这个可选项,为什么是可选项呢?
如果招募的这名安全工程师是比较有经验的,例如攻防兼备且研发功底好,那基本上利用好这堆开源产品再结合外部众测服务,基本就足够了。
而如果安全工程师经验较少,例如攻防只熟悉一面且缺乏研发背景,那对于开源产品的使用和二次开发,则会有所受限,这种情况下就可以投入资金来采购一些商业安全产品。
换句话说,如果你找的是年薪 30 ~ 50万 的安全负责人,那采购商业产品的几率就变小;如果你找的是年薪 10 ~ 20 万的安全新人,那采购商业产品的几率就变大。
所以,这个成本到底是花在人力还是产品上面,如何做好平衡,这个要看团队自己的决策了。
方案三
创业阶段:发展期 或 扩张期
网站规模:中大型或大型、3 个域名及以上、数百上千台服务器
解决思路:独立安全团队 + 开源产品 + 企业 SRC + 少量商业产品(可选)
安全等级:参考等保 3 级
预估成本:50 ~ 100 万/年
在创业发展或扩张期阶段,网站规模开始从「多机多域名多点部署」逐步切换到「异地多IDC数据中心部署」,这个时候企业的 Web 网站架构越趋复杂,涉及网络、系统、应用、数据等方方面面。
考虑到这个时候,业务已进入高速发展期,各个业务系统的流量激增,竞争对手变多且黑客攻击行为开始变得频繁,若要保证整个网站架构的持续稳定安全运行,只有一名安全人员的话,技术、时间、精力都较难分配。因此,推荐的解决方案是「独立安全团队 + 开源产品 + 企业 SRC + 少量商业产品(可选)」。
在这个阶段,企业组建独立的安全团队,是非常有必要的。这个安全团队可以是 2 ~ 3 人,也可以是 3 ~ 5人,并且不归属研发或运维部,而是独立为安全部。这个部门除了方案二中提到的,还能做的事情包括但不限于:
有人负责安全产品研发,有人负责安全运维或测试
有人专注红队渗透,有人专注蓝队防御
成立企业专属 SRC(安全应急响应中心),与外部白帽子黑客保持良好关系
……
即便独立且能力较强的安全团队,这个方案仍然存在「少量商业产品」这个可选项。毕竟,安全团队也未必能做好每个安全产品,或者防御好每次攻击。
比方说网站遭受到常见的 DDoS 攻击,这个时候产品端已很难直接解决了,还是得花钱采购防 DDOS 弹性包,进行流量清洗和迁移。
以上,便是我给创业团队,在不同阶段的低成本网站防护解决方案,希望对所有同样在创业的朋友们带来帮助。
|拼客学院陈鑫杰、创业团队如何低成本保护自己的网站安全
创业 拼客学院陈鑫杰 网站安全