销售易的云原生安全实践之道

近年来，随着云计算和大数据的应用加速向纵深发展，企业的云上业务规模增长迅猛。与此同时，各类漏洞和威胁层出不穷，如何更加全面、有效地保障云上安全成为行业关注的重点。

多年来，腾讯安全一直积极推动以原生的思维构建云上安全建设、部署与应用。近日，2022腾讯全球数字生态大会「云原生安全」专场上，腾讯安全发布云原生安全一体化战略，推出云原生“3+1”一体化防护体系。销售易作为腾讯云安全战略的实践代表企业，对其云原生安全能力应用效果可见一斑。

销售易安全负责人  李哲祎

为此，嘶吼对销售易安全负责人李哲祎进行了专访对话，围绕云原生安全行业技术，深度解析基于腾讯云原生安全体系，销售易如何实现自己的云上安全落地。 

销售易CRM系统的三大安全需求

销售易的CRM系统基于SaaS形态构建，主要围绕企业营销、销售和服务全流程的业务管理。底层是基于PaaS平台的一些能力，包括公有云、移动、社交、AI、IOT以及低代码开发平台；中间层是客户的触达点，包括移动端、企微、微信等方式；上层是主要的产品形态，包括销售云、营销云、客户服务云等，基于产品跟客户的业务系统进行对接，比如财务系统、生产系统、ERP系统、供应链系统等。

明确业务需求之后，李哲祎梳理出销售易的三点安全需求：

一是数据重要且敏感，CRM系统承载着企业核心商业机密，对系统抗攻击能力、数据防泄漏能力、安全可配置能力、安全审计能力要求极高。一方面，作为互联网系统，面临着来自四面八方的海量恶意攻击。另一方面，作为SaaS企业，客户很多时候也会关注销售易本身系统的安全运维情况，以保证数据的安全性。

他强调，SaaS公司最重要的是数据，始终把数据安全整体防护放在第一位。因为SaaS厂商只是数据处理者的角色，不允许使用客户的生产数据做任何的客户没有授权的场景，这在公司内部也是严格的“红线”。

二是业务数据上下游集成，支持与客户端的一些系统对接，在通过灵活、抽象化的低代码平台能力满足各个企业对CRM业务定制化需求的同时，也给安全性带来巨大挑战，让销售易思考如何能更好地保护业务数据。

三是云原生安全架构，本身的系统是基于云原生来进行构建，现在开发、测试、生产环境全部上云。广泛使用云端IaaS及PaaS能力打造CRM产品，包括云服务器、容器、数据库等，对云原生产品的安全特性及安全专项产品有严格要求。 

“作为软件提供商，我们是客户的供应商，也是乙方的角色。所以既要保护公司内部的数据安全性，也要保证生产系统给客户提供服务的SaaS应用，以及系统数据的安全性，因此，销售易便有了云原生体系整体的构建需求。”

安全产品选型的评估要点

李哲祎说到，销售易CRM系统在产品设计和构建之初，就定位为云原生产品，所以优先重点考虑云原生理念设计的产品和平台，做了很多详细的调研工作。

在前期的考量思路上，比如在底层部署方面，包括对象存储、云的负载均衡器、容器化等都有广泛的使用，这也是云原生基础的应用。李哲祎希望安全产品能在不同维度得到一定整合，既能形成纵深防御的理念，又能在产品接入等能力上提供便利性。

具体来看，销售易重点关注以下几大要点：

第一，部署的复杂度。安全产品的介入对已有的系统部署架构的影响程度以及对安全人员的操作复杂度，是首先考虑的一点；第二，性能问题。在网络上加入新的防控设备，会对网络延迟产生影响，要重点关注用户的接受程度；第三，安全产品规则的成熟度。包括完整度、发现风险时的更新频率、可配制程度以及Open API的开放程度。

“由于业务是以RESTFUL接口，在Web应用防护中，以WAF产品为例，刚开始使用过一些云厂商的产品，也发现了他们的不足，像网络延迟和防护规则精细度的问题，可能出了新的规则，目的是拦一个新的漏洞，但是对已有业务会产生影响。尤其是配制复杂度问题，导致我们在市面上重新在找寻相关的能够符合需求的安全产品，最终通过各方面的评估选择了腾讯安全WAF，使用了三年多的时间，也见证了这个产品的演进过程，功能越来越完善。”

让李哲祎感到很惊喜的是腾讯WAF的AI能力，通过简单的开关就可以把算法能力进行启用，及时发现系统中的一些恶意行为。在这个过程中也发现了一些风险，可能会有一些脚本进行数据爬取行为、互联网的恶意调用和对邮件、短信接口的恶意利用，提供的Bot能力，能快速对这些风险进行防护部署，也提高了对未知威胁的识别能力。

比如，去年以及今年爆发的Log4j、Apache Commons Text、Spring框架严重漏洞，腾讯WAF第一时间能快速地更新规则，让销售易既能保持正常运行，又能有效防护恶意攻击和漏洞利用行为的情况下，达到了一个很好的防护效果。基于情报收集整理，也是腾讯安全团队的漏洞研究、规则引擎以及规则能力的重要体现。

之后，李哲祎发现新威胁并不能只靠WAF形态防护。PaaS平台在保持开放性的同时，也衍生出了很多安全风险。比如，客户基于规范可以把代码包在平台内运行，达到业务的功能需求，所以在底层架构设计和安全防护体系设计上，要时刻规避由此引发的安全问题。经过市面上一些知名的企业调研以及实际的技术分析，逐步选择了腾讯的主机安全、容器安全等技术产品。

腾讯云原生“3+1”一体化体系实现安全“即开即用”

本质上，站在技术角度，安全始终是保护客户的核心工作负载，云安全边界怎么演进，技术厂商就会跟着它怎么演进。

腾讯安全副总经理董文辉说到，过去从虚拟机到容器化，到Serveless，以及大量的API调用，现在整个云安全规划都会覆盖这些要点。之前的安全产品可能是一个独立的产品，将来会做到更多的被集成化或者原生化。比如API网关将来必定会集成WAF的能力，大量地会用到CLB、CDN、CAT等，包括现在的lighthouse、弹性容器、ETS等等，云安全会逐步融于各种各样的技术里去。

在2022年，腾讯安全推出腾讯云原生安全“3+1”一体化防护体系：一个中心+三道防线，即腾讯云安全中心，云防火墙，WAF，主机\容器安全。“3”是指单品之间形成一个网格化的联动，相互提升整个防护效率和安全体检的使用效率；“1”安全中心，提供整个云上的资产、风险、事件等中心化视角。其体系亮点概括来讲分几个关键词：稳定性、安全性、联动性、易用性。

其中，易用性，相比传统来说，最大的点是可以即开即用，不需要部署，销售易本身是SaaS属性，不需要任何部署，打开开关立刻可以用，像水和电一样，很快就能获得。

站在供应链安全的角度，对于一套SaaS系统来说，从底层的服务器到网络产品，从使用云端的PaaS服务到第三方的供应商，无论是开源软件，还是第三方的中间件，都是供应链的一环。

结合内部自研SCA的常规分析，基于腾讯云原生安全能力，李哲祎带领团队构建了销售易自己的一个安全防护体系，形成纵深防御。

比如，由于本身的数据库在云上，使用腾讯的数据库的一些审计产品，在出现问题的时候可以非常方便地来进行查询和审计；在运行阶段，通过运营池部署了很多第三方的专业安全产品，像入侵检测、腾讯WAF、主机安全的相关产品部署，来保证系统的抗攻击性。

“基于当前与腾讯一体化合作的方案，已经达到几个效果：首先，在整体安全风险防护上，由于SaaS应用在互联网上直接开放，所以很多风险不断暴露，腾讯安全处理了非常多的攻击；第二，我们服务的头部企业客户，对供应商的准入非常严格，包括合规体系的认证、整体公司内部的流程管控、隐私合规建设、安全防护体系到软件开发的全生命周期的安全保障能力等。借助腾讯大平台产品，可以让客户快速信服；第三，在我们遇到安全风险的时候，也会让腾讯安全服务团队帮忙做深度测试等服务来及时判断和规避。”李哲祎最后说到。