国内Hadoop安全解决方案提供商"观数科技"成立于2015年4月。此前,公司在2015年7月完成了500万元的天使轮融资,资方为新富资本。并于近日刚获得1500万人民币Pre-A轮融资,资方未披露。
公司成立之初的定位是金融征信,在2016年才转型做Hadoop安全解决方案。之所以选择进入一个与金融征信完全不同领域的原因,公司合伙人魏彬介绍,一是国内金融征信行业竞争比较激烈,而且自2016年4月以来,国家对互联网金融行业的政策更严格。二是国内大数据安全市场潜力很大。
公司CEO李科曾是椒图的联合创始人,此前主持开发了阿里云的第三方安全软件“云锁”控制台,观数的技术团队也来自椒图,团队的安全技术背景也是促使公司转型的原因之一。
Hadoop安全
当前,以Hadoop为基础的大数据开源生态圈应用非常广泛。初期,Hadoop只在可信环境内部署使用。但随着用户增加,任何用户都可以访问、删除数据。为了应对安全问题,2009年,Hadoop开源社区相继加入了身份验证、访问控制、数据加密和日志审计等功能。
然而,这些安全功能并不完善,仍然需要依靠第三方工具。例如身份验证方面,目前可选的强安全认证方式是Kerberos,但仍然存在两个缺陷:一是用户通过验证后的行为不受限制。二是由于用户调用计算资源时,要采用对称密钥来实现双向认证,因此会影响计算效率。
据统计,2016年国内数据库安全市场规模是9.4亿元,到2018年预计将会增长到13.9亿元。不过,在去IOE的大环境下,国外产品难以在国内大规模商用。而国内,观数科技透露,目前还没有一家专门做Hadoop的安全产品的公司。面对潜在的安全厂商竞争对手如华为、360,还有各种Hadoop发行商如 星环,技术负责人栾泽琳表示,前者还尚未进入大数据尤其是Hadoop安全防护领域,后者的Hadoop安全只是产品的一个模块,防护的力度和精度都不够。
BigDAF防火墙是怎么做的
基于Hadoop的安全问题和市场现状,公司推出了Hadoop安全防火墙产品——Big DAF(Big Data Application Firewall)。去年8月上线,同年10月获得了销售许可证。
产品包括两个部分:Gateway(网关)和 Admin 。前者负责看护大门,用户在经过Big DAF认证后,才可调用相应计算资源。后者则是在Hive和Hbase之上的一个插件,统一管理所有用户的权限,分为安全、审计和操作三种,三种身份互相独立。
Big DAF赋予了每个人自己的角色。即以HFDS(分布式离散文件系统)为核心,将MapReduce的数据和计算进行了隔离。借助RBAC、DAC、MAC等访问控制模型、IP控制等方法,产品可以划分不同小组的权限。例如人脸识别小组的成员只能读取、修改与其业务相关的数据,而不能访问本组权限外的数据。
此外,Big DAF会获取所有拦截点的验证、访问与异常情况,保证每一个节点的数据安全。由于产品是一个脱离了linux系统的独立插件,在物理节点上,Big DAF不侵入或改变客户原本Hadoop的代码,而是一键部署到了Namenode(记录了上传到Hadoop上的数据信息如IP)上。Big DAF的操作只是在Namenode权限检查时发生,计算过程则是和Datanode打交道。并不会走网络带宽,因而并不会影响到计算的效率。
初期主要提供标准化的产品,有软、硬件两种形态。前者是打包好的Java包,后者将产品与虚拟机一起打包卖给客户。不过未来也会根据客户的需求提供部分功能的定制化服务,尤其是审计这块。技术负责人栾泽琳说,因为每个公司的审计流程大都不同,标准化的产品很难适配所有类型。
技术负责人栾泽琳还表示,Big DFA不久将上线一个重要功能——数据脱敏,即隐藏关键数据如身份证号的一部分。未来还计划将产品放到GitHub上开源开放。
产品目前主要是私有化部署,按客户节点数收费。通过线下、与云厂商合作以及线上PaaS平台三种方式销售。其中,Big DFA的软、硬件产品主要以线下销售为主。公司一方面做直销,主攻央企,银行,政府等大客户。 另一方面通过大集成商代理销售。此外,通过与云厂商合作,用户在使用例如阿里云的同时,就可以在后台购买Big DAF。而PaaS平台还在准备阶段。
合伙人魏彬透露,截止目前,2017年的销售计划已经至少完成了50%。客户包括国家邮政局、湖南机场、湖南电信、朝阳金融局等政企客户。
据悉,本轮融资将主要用于大数据安全产品的研发、市场推广及技术团队的扩建等方面。