由于便捷、经济和规模等多个优点,越来越多公司开始使用云服务提供商。常见的云服务商如IBM,、亚马逊、阿里云等。可是,如何确保服务器的安全性成了很多公司头痛的问题——
因为根据现有的责任区分,比如亚马逊的分享责任模型(Shared responsibility model),云提供商只对基础设施(infrastructure)的安全负责,而构建在其上的服务器以及操作系统的安全设定,却是云服务使用者的职责范围 。而由于安全条款框架与系统设置的专业性,要排除这个安全隐患往往费时费力。
今天密探独家采访了硅谷一家初创企业——Cloud Raxak, 就是一个为云服务用户提供自动化安全服务的监管科技类公司。
发现痛点 创立公司
Cloud Raxak两位创始人 Prasanna Mulgaonkar和Sesh Murthy是大学同学。俩人从印度来美国之后,两个人分别在Intel和IBM 的云服务领域做到了总监和VP。
在推广各自公司云服务业务的过程中,两人曾和多位金融大客户交流,希望了解阻碍这些公司使用云服务的原因。
两人惊讶地发现,使用云服务的大客户痛点居然是相同的——当这些公司在使用传统企业内部IT服务时,他们的IT安全易于了解和管理,当这些公司转为使用云服务时,他们并不确定在使用别人的服务时,如何让法规制定者和客户确信他们在云服务器里的数据依然可以匹敌过去的安全度。
交流的结果非常清晰,客户需要一个解决方案来管理他们在云服务器里的信息安全。于是,本着对这个痛点的深刻理解和对有着每天有一千万个新虚拟机增速的这个巨大潜在市场的乐观预期,两人在2014年组建了Cloud Raxak。
CEO及联合创始人 Prasanna Mulgaonkar
产品剖析
简单说来,Cloud Raxak的产品就是在客户设立云虚拟服务器的初始,根据客户行业的合规体系框架 (如ISO 27001,FFIEC或HIPAA安全合规框架)的要求,设置客户的服务器/虚拟机。然后通过API接口,持续地根据安全合规要求,检查安全配置并汇报以及处理查找到的安全隐患。
Prasanna向硅谷密探(微信ID:SVS-007)介绍,现在的产品侧重于服务器/虚拟机内的操作系统层的安全合规审查,今后团队将不断增强产品在数据库层和应用软件层的覆盖种类和深度。
对当下流行的系统,Cloud Raxak都有着成熟的安全配置标准。在很短时间里,可以对客户的服务器/虚拟机进行设置并连接自动远程检查安全漏洞。当客户系统升级时,Cloud Raxak还可以自动升级相应服务。为了保持自身产品的持续专业性,Cloud Raxak会参与主要系统的早期产品测试来提前更新系统设置信息。
当前,Cloud Raxak的产品已覆盖市面上多数大云服务商,无论客户更换云服务商与否,客户界面不会改变,而且易于使用。
当发现漏洞和安全隐患后,怎么办?Cloud Raxak可在用户设置的时间频率里持续检测大规模服务器/虚拟机,并提供易于审计的带有时间戳的检测报告。如果客户愿意,产品可以被设定为自动修复检查到的安全隐患,并出具带有合规审计信息的隐患解决历史报告。
虽然自动修复时,Cloud Raxak会使用客户的超级用户权限,但由于其产品独立于用户的系统,使用无代理安全服务(Agentless)以及严格的用户身份管理,黑客通过Cloud Raxak的产品入侵客户服务器机会很小。
有意思的是,Cloud Raxak正在申请一项基于硬件的信任技术(Hardware root of trust)。这项技术可以使虚拟机上的安全配置设定基于不可改变的硬件信息,从而确保最上层的虚拟机在可靠和安全的环境中运行。
此外,这项技术也允许数据的地理标记(geo-tagging)和地理范围(geo-fencing)得到确认。当客户公司需要确保其数据仅存于某个国家或地区时,这项技术会体现它的优势。正是因为这项技术,Cloud Raxak在2016年被选为Gartner酷派IT自动化供应商(Gartner Cool Vendor in IT Automation)。
Cloud Raxak获得的部分奖项
竞品分析
当前,Cloud Raxak的竞争对手大概有哪些呢?相比优势在哪?密探进行了一个大致梳理。
比如传统工具供应商:Archer, Qualys和TrendMicro,和Cloud Raxak相比,这些公司产品需要客户花更多的时间和资源进行安装和集成。
而像网络安全工具商如TripWire, Tenable和Lllumio,Cloud Raxak的产品更加针对云环境与架构的大规模服务器特性。并且适用于云以及传统IT部署的任何组合和动态生命周期。
还有一类是安全合规工具商,如evidence.io和Cloud Passage。Cloud Raxak与此类产品只注重亚马逊 AWS云服务相比,又具有跨云平台的灵活性。
至于现今大部分客户关系掌握在传统安全咨询服务商如四大会计事务所,IBM等手里,Prasanna并不担心这会成为Cloud Raxak客户拓展的阻力,而是视这些咨询服务商为自己的潜在批发商客户。
如今,IBM和HP等大型公司已与Cloud Raxak建立合作伙伴关系,在亚洲地区与华为在云服务上有战略关系的Redtone也是其合作伙伴。Cloud Raxak使用订阅模式收费。
Prasanna坦言,现在公司的挑战在于如何教育市场在使用云初期就关注安全领域。对此,公司会定期组织一些高端讲座来帮助客户公司高层来更多了解这个领域。
在2016年,Cloud Raxak已获得未披露投资者的种子轮投资,他们正计划在2017年面向包括中国投资在内的机构进行A轮融资。
有相关资源并且对Regtech 类公司或Cloud Raxak感兴趣的投资人,欢迎添加探长微信与我们联系。(请务必注明您的机构名及职务!)
硅谷密探报道的项目被以下资本密切关注:
GGV、Y Combinator、DFJ Venture、丹华资本、华山资本、SV Tech Ventures、LDV Partners、NewGen Capital、华岩资本、SocialStarts、TEEC Angel Fund、Amino Capital、500Startups、Plug and Play、博将资本、新进创投、西湖资本、HEDA Ventures、浙江创新中心、BOE Ventures、UpHonest Capital、国科投资、德成资本、腾讯众创空间、百度战略投资、真格基金、经纬创投、红杉中国、中科创星、黑洞资本、集结号资本、云起资本、线性资本、星河互娱、丰厚资本、浩方资本、阿尔法创投。
欢迎更多的项目联系我们:[email protected]
关注硅谷密探
紧盯全球创新趋势
(长按上方二维码即可关注,神马,这居然是二维码!)