拼客学院陈鑫杰 创业团队如何低成本保护自己的网站安全(3)
2023-03-16 来源:你乐谷
注:以上手绘图解,摘自我的《SDN软件定义网络》系列课件。
也就是说,无论网站大小,资产多少,前期的定级和评估必不可少。这跟国家目前大力推行的《网络安全等级保护》标准和思路是一致的,即根据不同规模和资产重要性,进行分等级保护,最终实现成本和安全的平衡。
~~ 以下是正正文 ~~
那么,作为创业团队,到底如何在低成本的情况下,为自己的网站保驾护航呢?
在此,根据创业团队的不同阶段,可能达到的网站规模,需要得到的安全等级,给出不同低成本的解决方案。
我们用这个列表来展开:
方案一
创业阶段:初创期
网站规模:小规模、1 个域名、10 台服务器以内
解决思路:开源产品 或 云安全产品
安全等级:参考等保 1 级
预估成本:0 ~ 10 万/年
在创业初创阶段,最经典的网站规模便是「单机单域名单点部署」,即企业通常仅启用一个域名,采用一台物理或一个虚机来提供 Web 服务,没有做任何主备冗余策略。
考虑到这个时候,网站的访问量很少,技术架构不复杂,因此,可以先节省一个全职安全工程师的费用,让团队其他人例如运维或开发人员兼任,甚至创始人可以亲力亲为。
网站规模小并不意味着可以不做任何安全措施,最基本的安全工作还是要做的,这里推荐的解决方案是「开源产品 或 云安全」。
简单来说,如果团队有一定的技术基础,那么直接采用市面上成熟稳定的开源安全产品,基本能做到 0 成本。这里直接截取我之前给一些单位做企业安全建设的讲义内容 =
在这个阶段的话,采用 OpenVAS 做周期性的漏洞扫描, Modsecurity 做为 Web 防火墙,Snort 做入侵检测等等,基本能满足需求了。
既然采用开源产品能做到 0 成本,为什么此阶段的解决方案里还有「云安全」呢?
这是因为,在我们实际的工程项目中,并不是所有创业团队都有技术能力且干的都是 IT 互联网行业,很多团队本身就是传统行业出来的,TA 们连企业官网都没法自己搞定且需要外包,你让 TA 们 用开源产品?
因此,如果初创团队没有任何技术功底,那么更为务实的做法便是:
直接将网站部署到云端,然后直接采购商业 WAF 服务。例如,你把网站放阿里云上,那就买阿里的 WAF,放腾讯云,那就买腾讯的 WAF。虽然购买云安全产品,每年要花费数万元,但是也节省了运维人力和管理精力。
方案二
创业阶段:成长期
网站规模:中小型集群、2 个域名及以上、10~ 100 台服务器
解决思路:若干安全人员 开源产品 众测服务 少量商业产品(可选)
安全等级:参考等保 2 级
预估成本:10 ~ 50 万/年
在创业成长期阶段,网站规模开始从「单机单域名单点部署」逐步切换到「多机多域名多点部署」,这个时候的企业开始启用多个域名,或者一个主域名结合 N 多个子域名协作,用于支撑官网、OA、Email、CRM、ERP 等 IT 业务系统。于此同时,核心站点还需要引入 CDN 优化、LVS 负载均衡、数据备份等技术。
考虑到这个时候,业务逐渐发展起来了,基于 Web 的业务系统增多,某些核心站点流量较大,因此,不再建议再由内部人员兼任,推荐的解决方案是「若干安全人员 开源产品 众测服务 少量商业产品(可选)」。
也就是说,无论网站大小,资产多少,前期的定级和评估必不可少。这跟国家目前大力推行的《网络安全等级保护》标准和思路是一致的,即根据不同规模和资产重要性,进行分等级保护,最终实现成本和安全的平衡。
~~ 以下是正正文 ~~
那么,作为创业团队,到底如何在低成本的情况下,为自己的网站保驾护航呢?
在此,根据创业团队的不同阶段,可能达到的网站规模,需要得到的安全等级,给出不同低成本的解决方案。
我们用这个列表来展开:
方案一
创业阶段:初创期
网站规模:小规模、1 个域名、10 台服务器以内
解决思路:开源产品 或 云安全产品
安全等级:参考等保 1 级
预估成本:0 ~ 10 万/年
在创业初创阶段,最经典的网站规模便是「单机单域名单点部署」,即企业通常仅启用一个域名,采用一台物理或一个虚机来提供 Web 服务,没有做任何主备冗余策略。
考虑到这个时候,网站的访问量很少,技术架构不复杂,因此,可以先节省一个全职安全工程师的费用,让团队其他人例如运维或开发人员兼任,甚至创始人可以亲力亲为。
网站规模小并不意味着可以不做任何安全措施,最基本的安全工作还是要做的,这里推荐的解决方案是「开源产品 或 云安全」。
简单来说,如果团队有一定的技术基础,那么直接采用市面上成熟稳定的开源安全产品,基本能做到 0 成本。这里直接截取我之前给一些单位做企业安全建设的讲义内容 =
在这个阶段的话,采用 OpenVAS 做周期性的漏洞扫描, Modsecurity 做为 Web 防火墙,Snort 做入侵检测等等,基本能满足需求了。
既然采用开源产品能做到 0 成本,为什么此阶段的解决方案里还有「云安全」呢?
这是因为,在我们实际的工程项目中,并不是所有创业团队都有技术能力且干的都是 IT 互联网行业,很多团队本身就是传统行业出来的,TA 们连企业官网都没法自己搞定且需要外包,你让 TA 们 用开源产品?
因此,如果初创团队没有任何技术功底,那么更为务实的做法便是:
直接将网站部署到云端,然后直接采购商业 WAF 服务。例如,你把网站放阿里云上,那就买阿里的 WAF,放腾讯云,那就买腾讯的 WAF。虽然购买云安全产品,每年要花费数万元,但是也节省了运维人力和管理精力。
方案二
创业阶段:成长期
网站规模:中小型集群、2 个域名及以上、10~ 100 台服务器
解决思路:若干安全人员 开源产品 众测服务 少量商业产品(可选)
安全等级:参考等保 2 级
预估成本:10 ~ 50 万/年
在创业成长期阶段,网站规模开始从「单机单域名单点部署」逐步切换到「多机多域名多点部署」,这个时候的企业开始启用多个域名,或者一个主域名结合 N 多个子域名协作,用于支撑官网、OA、Email、CRM、ERP 等 IT 业务系统。于此同时,核心站点还需要引入 CDN 优化、LVS 负载均衡、数据备份等技术。
考虑到这个时候,业务逐渐发展起来了,基于 Web 的业务系统增多,某些核心站点流量较大,因此,不再建议再由内部人员兼任,推荐的解决方案是「若干安全人员 开源产品 众测服务 少量商业产品(可选)」。