擔心云服務不安全?這家硅谷公司幫你自動監管安全性
來源:搜狐科技 發布時間:2017.03.29由于便捷、經濟和規模等多個優點,越來越多公司開始使用云服務提供商。常見的云服務商如IBM,、亞馬遜、阿里云等。可是,如何確保服務器的安全性成了很多公司頭痛的問題——
因為根據現有的責任區分,比如亞馬遜的分享責任模型(Shared responsibility model),云提供商只對基礎設施(infrastructure)的安全負責,而構建在其上的服務器以及操作系統的安全設定,卻是云服務使用者的職責范圍 。而由于安全條款框架與系統設置的專業性,要排除這個安全隱患往往費時費力。
今天密探獨家采訪了硅谷一家初創企業——Cloud Raxak, 就是一個為云服務用戶提供自動化安全服務的監管科技類公司。
發現痛點 創立公司
Cloud Raxak兩位創始人Prasanna Mulgaonkar和Sesh Murthy是大學同學。倆人從印度來美國之后,兩個人分別在Intel和IBM 的云服務領域做到了總監和VP。
在推廣各自公司云服務業務的過程中,兩人曾和多位金融大客戶交流,希望了解阻礙這些公司使用云服務的原因。
兩人驚訝地發現,使用云服務的大客戶痛點居然是相同的——當這些公司在使用傳統企業內部IT服務時,他們的IT安全易于了解和管理,當這些公司轉為使用云服務時,他們并不確定在使用別人的服務時,如何讓法規制定者和客戶確信他們在云服務器里的數據依然可以匹敵過去的安全度。
交流的結果非常清晰,客戶需要一個解決方案來管理他們在云服務器里的信息安全。于是,本著對這個痛點的深刻理解和對有著每天有一千萬個新虛擬機增速的這個巨大潛在市場的樂觀預期,兩人在2014年組建了Cloud Raxak。
CEO及聯合創始人 Prasanna Mulgaonkar
產品剖析
簡單說來,Cloud Raxak的產品就是在客戶設立云虛擬服務器的初始,根據客戶行業的合規體系框架 (如ISO 27001,FFIEC或HIPAA安全合規框架)的要求,設置客戶的服務器/虛擬機。然后通過API接口,持續地根據安全合規要求,檢查安全配置并匯報以及處理查找到的安全隱患。
Prasanna向硅谷密探(微信ID:SVS-007)介紹,現在的產品側重于服務器/虛擬機內的操作系統層的安全合規審查,今后團隊將不斷增強產品在數據庫層和應用軟件層的覆蓋種類和深度。
對當下流行的系統,Cloud Raxak都有著成熟的安全配置標準。在很短時間里,可以對客戶的服務器/虛擬機進行設置并連接自動遠程檢查安全漏洞。當客戶系統升級時,Cloud Raxak還可以自動升級相應服務。為了保持自身產品的持續專業性,Cloud Raxak會參與主要系統的早期產品測試來提前更新系統設置信息。
當前,Cloud Raxak的產品已覆蓋市面上多數大云服務商,無論客戶更換云服務商與否,客戶界面不會改變,而且易于使用。
當發現漏洞和安全隱患后,怎么辦?Cloud Raxak可在用戶設置的時間頻率里持續檢測大規模服務器/虛擬機,并提供易于審計的帶有時間戳的檢測報告。如果客戶愿意,產品可以被設定為自動修復檢查到的安全隱患,并出具帶有合規審計信息的隱患解決歷史報告。
雖然自動修復時,Cloud Raxak會使用客戶的超級用戶權限,但由于其產品獨立于用戶的系統,使用無代理安全服務(Agentless)以及嚴格的用戶身份管理,黑客通過Cloud Raxak的產品入侵客戶服務器機會很小。
有意思的是,Cloud Raxak正在申請一項基于硬件的信任技術(Hardware root of trust)。這項技術可以使虛擬機上的安全配置設定基于不可改變的硬件信息,從而確保最上層的虛擬機在可靠和安全的環境中運行。
此外,這項技術也允許數據的地理標記(geo-tagging)和地理范圍(geo-fencing)得到確認。當客戶公司需要確保其數據僅存于某個國家或地區時,這項技術會體現它的優勢。正是因為這項技術,Cloud Raxak在2016年被選為Gartner酷派IT自動化供應商(Gartner Cool Vendor in IT Automation)。
Cloud Raxak獲得的部分獎項
競品分析
當前,Cloud Raxak的競爭對手大概有哪些呢?相比優勢在哪?密探進行了一個大致梳理。
比如傳統工具供應商:Archer, Qualys和TrendMicro,和Cloud Raxak相比,這些公司產品需要客戶花更多的時間和資源進行安裝和集成。
而像網絡安全工具商如TripWire, Tenable和Lllumio,Cloud Raxak的產品更加針對云環境與架構的大規模服務器特性。并且適用于云以及傳統IT部署的任何組合和動態生命周期。
還有一類是安全合規工具商,如evidence.io和Cloud Passage。Cloud Raxak與此類產品只注重亞馬遜 AWS云服務相比,又具有跨云平臺的靈活性。
至于現今大部分客戶關系掌握在傳統安全咨詢服務商如四大會計事務所,IBM等手里,Prasanna并不擔心這會成為Cloud Raxak客戶拓展的阻力,而是視這些咨詢服務商為自己的潛在批發商客戶。
如今,IBM和HP等大型公司已與Cloud Raxak建立合作伙伴關系,在亞洲地區與華為在云服務上有戰略關系的Redtone也是其合作伙伴。Cloud Raxak使用訂閱模式收費。
Prasanna坦言,現在公司的挑戰在于如何教育市場在使用云初期就關注安全領域。對此,公司會定期組織一些高端講座來幫助客戶公司高層來更多了解這個領域。
在2016年,Cloud Raxak已獲得未披露投資者的種子輪投資,他們正計劃在2017年面向包括中國投資在內的機構進行A輪融資。
有相關資源并且對Regtech 類公司或Cloud Raxak感興趣的投資人,歡迎添加探長微信與我們聯系。(請務必注明您的機構名及職務!)
硅谷密探報道的項目被以下資本密切關注:
GGV、Y Combinator、DFJ Venture、丹華資本、華山資本、SV Tech Ventures、LDV Partners、NewGen Capital、華巖資本、SocialStarts、TEEC Angel Fund、Amino Capital、500Startups、Plug and Play、博將資本、新進創投、西湖資本、HEDA Ventures、浙江創新中心、BOE Ventures、UpHonest Capital、國科投資、德成資本、騰訊眾創空間、百度戰略投資、真格基金、經緯創投、紅杉中國、中科創星、黑洞資本、集結號資本、云起資本、線性資本、星河互娛、豐厚資本、浩方資本、阿爾法創投。
