互联网电商安全转型之路
2021-12-23722次
一家不走寻常路微商的进化史
10年前,以京东、淘宝为代表的头部电商加速朝着巨无霸的道路上狂奔。但是,繁荣的背后暗藏着危机:海量的商品种类意味着用户的搜索、查找、选择变得越来越困难。对于大品牌方,可以去天猫、京东卡位,而对于中小商户,则必须要找自己的通道。
精明的创业者在红海市场中从不做跟风者,而是在乱局中谋突围。有赞前身为口袋通,上线于2013年,成立之初只是一个开店工具,为商户提供开店服务,让人人都可以做微商。随着越来越多人开始在微信上打算盘,微商群体正在快速孕育,以有赞为代表的新型企业走出了一条不同于传统电商的全新道路,用他们创造的天文数字证明了这种模式的力量。
爆发式成长背后的隐忧
从2012年在杭州贝塔咖啡成立,到2013年微商城1.0版上线,再到2020年总交易额破1000亿,有赞从一家服务淘宝商家在微信拓展市场的微商城,发展为今天的电商SaaS领域布局最为专注、最为全面的服务商。现今,有赞几乎布局了从SaaS软件服务到支付到供应链金融的全产业链,初步形成了一定的生态效应。
支撑其600万+注册商户及1000亿+年交易额庞大业务安全高效运营的,是一套高度复杂的内网业务系统。超过5000名员工和第三方人员,需要经常性访问有赞600余个内部Web应用系统,而这些内部应用除了承载在传统办公内网,也有很大一部分承载于各种云上。访问用户众多且身份复杂、内网应用形态多样、本地云端应用共存等因素,导致多重安全隐患:
内网边界模糊,公有云业务、私有云业务及本地IDC业务很难进行统一管理和运维。
电商业务模式要求很多内部应用必须要暴露在互联网上,容易遭受非法分子的恶意攻击,如端口扫描、暴力破解。
企业的内部应用系统是随着业务发展逐步累积建设起来,缺少统一的账号体系和细粒度的权限管理措施,很多重要和敏感数据容易被内部员工越权访问发生敏感数据泄露,内部管理日趋复杂。
……
“外防攻击,内护数据”,这是有赞的安全团队对解决上述安全隐患总结出的核心业务诉求。看似简单的需求,在实际的落地过程中,却遭遇到了一些技术障碍。
对于“外防攻击”,内网边界模糊化导致传统的防火墙、WAF等设备防护效果大打折扣,尤其是对于承载在公有云上的私有应用,在互联网上开放服务端口是企业的业务刚需,而由此引发的风险暴露面扩大问题增加了企业虚拟大内网遭受互联网上各类攻击的概率。对此,市面上已有的云防火墙、云WAF没有高效的解决方案,即使能拼凑出方案,其实施成本和管理成本都相对较高。
对于“内护数据”,传统的管控软件需要在员工终端上安装Agent客户端。几千员工使用的PC终端和移动设备种类及数据众多,而且操作系统和安装的软件也比较杂乱难以管控。这种方案会给IT部门造成较大压力,且整体方案过重,兼容性、稳定性及使用体验难以保证。
破局:零信任中的“隐身”黑科技
对于走在信息化建设前沿的互联网电商们,“创新者”一直是其鲜明的个性标签,处于头部阵营的有赞在企业信息化安全转型升级的路上一直在探索、共创。2020年底,有赞选择部署虎符网络设计的零信任应用访问安全接入解决方案。该方案依托于虎符网络的虎盾产品,通过身份管控、流量管控、资源管控和多源信任评估等多重手段,帮助用户构建以身份为核心的应用层虚拟网络和零信任安全底座,有效提升企业安全水平面。
外防攻击方面——有赞的私有应用通过虎盾全部收进到基于可信身份构建的虚拟大内网中,收缩应用的互联网暴露面,减少外部攻击和内部非法访问。完成部署后,对私有应用的访问方式从“先访问后验证”改变为“先验证后访问”,匿名流量无法进入到内网。可信身份网络有效的提升了企业的整体安全水位,个别应用的自身漏洞或缺陷不再是安全短板。
内护数据方面——有赞通过轻量化网络改造即构建了覆盖业务和数据访问全生命周期的数据安全治理体系:通过统一身份认证解决账户集中管控,并打通多个应用实现SSO免密登录到内网应用;通过细粒度访问控制和数据访问收口实现对内网应用和数据访问的持续验证和动态访问控制;通过对所有进出流量打上身份标签实现访问数据的可视、可控、可追溯。
实施部署方面——有赞采用的轻量化部署方案无需对已有的网络架构进行改造,与现有安全架构无缝对接,与服务分布式架构整合,最大程度避免重复建设,在降低部署成本同时提高了安全属性,也降低了安全运维成本。
