【华为云技术分享】华为云：安全的蘑菇街才能让你更美丽

企业进入数字化、智能化，已经不能够按照过往的模式来进行运营了。上云成为企业发展的必经之路。云服务最吸引人的特征之一是弹性，可以按照不断变化的需求而向上或向下扩展。企业上云往往是希望既有公有云弹性扩容、易于维护的优势，也能拥有像物理机一样才有的安全稳定、性能独享的特点。

作为每日既有海量访问，且访问量会随着重大活动、节假日而上下波动的电商平台蘑菇街，对于云平台的弹性伸缩关注的同时，对于安全问题高更是十分关注。我们知道，电商平台在日常中会面临着网页篡改、薅羊毛、DDoS攻击、账号泄露、木马植入等一系列风险，而且数据更是电商企业保护的最重要资源。如何通过合理的安全投入，快速部署同样能够弹性伸缩的主机安全防护措施，并进行多云部署下的统一的安全管理，是企业最关心的问题之一。

两大挑战影响业务发展，蘑菇街需要更安全

很多企业会在多个云平台部署业务，一来享受不同云厂商的产品和服务优势；二来分散和减少业务系统风险。但多云部署也会带来诸多问题：

主机安全管理难度陡增

首先，每个云平台的主机的防护都需要单独管控，企业需要花费大量人力来熟悉和维护各云平台提供的主机防护产品；有的云平台不提供或者提供比较简易的防护功能，企业不得不考虑自行研发，导致安全管理难度和人力投入陡增。

其次，市场上各类主机防护产品功能和体验参差不齐，企业难以获得简单一致的安全产品体验。如传统安全行业提供的主机安全检测/防护系统，软件升级和规则库更新周期长，无法满足电商网站快速变化的安全需求；而各云厂商的主机防护产品能力差异较大，大部分产品都有风险发现能力不足的问题，有的则只具备主动扫描能力而不具备主动防御能力。这使得很多安全能力强的电商企业选择好的主机安全产品加自行开发安全插件的方式来提升系统的安全能力。

为此，蘑菇街需要一个主机安全产品，能对多个云平台（包括自建机房）的主机进行统一的安全管理。

企业自身安全积累需要最大化传承

一方面，安全能力强的企业，都会有大量的安全攻防和安全管理积累，这些经验积累代表了过往和现在的安全投资，是非常宝贵的安全资产。因此，蘑菇街希望将这些安全积累变成安全基线和安全规则，灌装到现有安全产品中进行分析和执行，以固化和传承这些安全积累。

另一方面，企业上云，也希望能够得到所在云平台的安全能力加持，弥补现有安全防护体系的不足，自身安全实践加上云平台的安全能力，一道打造更安全、更高效的安全管理方案。

分析安全需求，多方测试助力产品选型

为解决上述挑战，蘑菇街安全团队把产品选型的重点聚焦在具备多云主机安全管理能力的安全产品和平台，并做了以下工作。

分析出核心的安全需求

对国内主流云平台提供的主机安全产品进行了考察，归纳出以下核心需求：

支持多云主机统一安全管理，能够清点云主机安全资产，准确监控资产暴露情况。
具备高级威胁检测能力，例如网站后门、提权操作、非法外连、高危命令执行等，能够发现高级持续性威胁（APT）。
基线检查能力要强，能够检测mongodb、nginx、redis、mysql等常用软件的配置。
支持自定义安全规则的导入。

对多个云平台安全产品进行测试

根据上述核心需求，蘑菇街对国内主流云平台的主机安全产品进行逐一的测试和比对，经过产品选型、攻防测试、稳定性测试等，考察产品是否满足需求，并综合分析每个安全产品的得分情况。

“华为云企业主机安全服务支持多云统一管理，威胁检测能力细致，功能丰富，提供强大的自定义策略功能，能够高效满足企业的安全运维需求。服务当前已覆盖蘑菇街现网所有主机，在所有应检出场景中稳定的发挥作用。”蘑菇街安全负责人表示。经过多方总和测试分析，最终华为云企业主机安全服务（Host Security Service，简称HSS）最终以高分通过了选型。

面对电商企业的需求，华为云本着恪守数据中立原则，推出多种以数据安全为核心的安全服务，帮助电商客户构建数据的全栈防护。华为云企业主机安全服务通过漏洞管理、入侵检测、安全运营、网页防篡改等功能，帮助企业更方便地管理主机安全风险，实时发现黑客入侵行为，以及满足等保合规要求。

安全的蘑菇街才能让你更美丽

产品选型之后，接下来就是针对具体的应用进行前期的测试工作。在测试使用的过程中，为安全起见，HSS首先在灰度环境进行单点、小规模测试，并观察、记录和分析运行情况；结果满意后，在灰度环境下模拟现网，进行大规模部署测试。灰度测试表明产品功能和可用性俱佳，便开始在现网小范围部署，观察运行结果；最后进行大规模的现网部署，正式投入使用。

测试的过程其实也是产品磨合的过程，蘑菇街在测试与使用HSS的过程中，根据自身需求及丰富的电商安全实战经验，对产品提出了很多改进建议。HSS产品团队及时响应其需求，余蘑菇街共同讨论问题与方案，快速迭代更新产品，很好的满足了蘑菇街的安全需要。

经过1个多月的测试和部署，HSS已在现网环境大规模稳定运行。蘑菇街通过HSS实现了对多云平台主机的统一安全防护和管理，安全管理效率提升了3倍。同时，蘑菇街安全团队丰富的安全实战经验结合HSS强大的入侵检测能力，提升了蘑菇街的安全防护等级。

多云统一安全管理

HSS构建出的多云主机安全管理平台，把多个云上运行的主机安全相关数据进行了连接、汇聚和分析，做到统一管理，不怕多云带来的安全产品和数据的碎片化。

快速满足安全需求

蘑菇街不再需要投入巨大的人力进行长期的主机安全产品研发，HSS已满足蘑菇街的大部分主机防护需求。而且HSS的入侵检测功能如反弹shell、高危命令、root提权等检测准确率高，检测种类丰富，在多个厂商的对比测试中表现突出。

获取最新的攻防能力

HSS的安全专家团队实时获取业界最新的安全情报和攻防动态，以不断增强产品的攻防能力，几乎每天都有新的功能和策略在现网更新，使得包括蘑菇街在内的客户能够获取最新的安全能力。

要安全也要“美丽”

蘑菇街不再需要把大量精力花费在主机安全产品的研发和维护上，而可以专注设计贴合业务需要的安全体系，从更高更全面的视野做好整体的防护，使得安全更“美丽”。

固化和传承安全积累

蘑菇街通过HSS的自定义策略管理功能，将多年积累的安全能力与经验固化成安全基线和安全规则，导入到HSS中，在现网继续发挥作用。

共享华为云安全团队

华为云安全团队7*24小时响应客户的安全事件和安全请求，华为云的全球安全态势感知与威胁情报能力成为蘑菇街的安全能力，降低了蘑菇街安全管理成本。

华为云继承了华为20多年的安全能力积累，锻造出“冰山”安全体系：用户在使用冰山上可见的普惠的安全服务如HSS时，冰山下是华为云构筑的更多安全体系和能力，比如全球安全运维运营体系、安全合规体系等，提升企业防护效率，为用户提供普惠合规高效安全服务，助力客户安全合规高效的发展业务。

点击这里→了解更多精彩内容