乌云网(乌云网创始人方小顿)-第1张

波季尔 | 牛纪雷

专访人 | 伍杏玲

公司出品 | CSDN(ID:CSDNnews)

在泡果的2019双11中,京东全日成交金额持续走高,达2684亿。在亚洲地区国民不买买之时,穆萨云安全可靠始终为我们添砖加瓦:

云网络平台自动检测并截击源自184个北欧国家的60亿次反击;为京东、淘宝网等数个网络平台应用领域截击源自17种相同形式的473亿次反击、2.9亿个蓄意反击IP;获得成功防卫1917次DDoS反击,最大值223Gbps。

在这另一面,穆萨云采用了什么样黑信息技术?在去年的双11,穆萨大部份的核心理念销售业务穗序,这对云安全可靠是个非常大的考验,技师们是怎样预备那场possibility的?

带着那些难题,CSDN(ID:CSDNnews)访谈穆萨若非网络平台安全可靠副总裁,云奶制品可靠相关人士牛纪雷(叮当:锦衣卫),详解穆萨云安全可靠的那些事。

乌云网(乌云网创始人方小顿)-第2张

牛纪雷(叮当:锦衣卫

乌云网(乌云网创始人方小顿)-第3张

始于兴趣,陷于安全可靠,忠于内心

锦衣卫入安全可靠的坑可追溯到高中时期。

自2001年的中美黑客大战后,国内涌现许多像绿色兵团、安全可靠焦点等的安全可靠组织。高中生的锦衣卫感觉很酷很炫,在心里埋下对安全可靠技术的种子。

2002年,高考后的锦衣卫想学计算机专业。可他没考上该专业,无奈只好去了个相关的专业——物理系电子信息专业。

与计算机失之交臂的锦衣卫,在读大学期间仍念念不忘安全可靠技术,自己瞎捣鼓攻防技术,并在网上认识志同道合的技术人。

2004年左右,新兴的Web安全可靠出现,锦衣卫和几个小伙伴共同成立了一个安全可靠组织——Bug Center Team,专门来研究Web的反击技术。

由于当时国内互联网公司的大环境,这项安全可靠技术还未引起我们的重视,所以锦衣卫在业余捣鼓捣鼓还好,等真正毕业时,还是和其他人一样,没有直接选这条路,而是选择热门的Java开发。

很快,锦衣卫发现自己还是对安全可靠很感兴趣,兜兜转转踏上安全可靠技师之路。

自2014年入职穆萨,如今的锦衣卫俨然成为安全可靠领域的老司机。目前他负责穆萨云网站上大部份的云产品的安全可靠。

谈到锦衣卫这叮当的来历,锦衣卫说,老穆萨人喜欢把位于杭州城西的西溪园区叫西厂;位于相对西溪的城东的支付宝,叫锦衣卫;相对比较内的穆萨起源地滨江园区,叫大内;北京分公司叫北厂。

锦衣卫入职早的好哥们,取名西厂,锦衣卫一时兴起,便取了锦衣卫做叮当。后来在别人的提醒下去查了下,原来锦衣卫在明朝还是一个非常特殊的机构。锦衣卫笑谈往事。

在入职穆萨之前,锦衣卫接触的是Web安全可靠,对于云计算技术,刚开始是云里雾里的。经过一段时间的摸索后,慢慢地摸到一些门路。

早在2014年,穆萨云销售业务刚刚有了起色,安全可靠技术产品化尚属于初级阶段。

经过五年时间,锦衣卫从对云计算一窍不通的小萌新,成长为独当一面的穆萨若非网络平台安全可靠副总裁,肩负起去年双11穆萨大部份核心理念销售业务穗序的安全可靠工作;从较为初期阶段,发展为如今抗住60亿次反击的云网络平台,这是一个技术人与技术共成长的故事。

在这期间,锦衣卫与云网络平台安全可靠发展可分为三个阶段:

1、初期成长——救火阶段;

2、破局突围——数字化转型阶段;

3、稳定向前——化被动为主动。

这期间又有什么技术人精(填)彩(坑)的故事?且听锦衣卫娓娓道来——

乌云网(乌云网创始人方小顿)-第4张

救火阶段:外忧内患,倒逼技术提升

2014年的云计算技术涉及的虚拟化技术,主要分为两类,一是计算虚拟化,二是网络虚拟化。

说实在,刚起步的穆萨云对这两项技术掌握得不是很好,因为在虚拟化有比较的指标,即虚拟化带来的延迟损耗大概有多少?

当时穆萨云ECS采用的虚拟化技术是XEN,它在虚拟化上带来的损耗在今天看来相对较大的。而在网络上,采用的是大二层网络技术,这是基于传统网络来的,可能会存在一个难题:传统网络由于是一个网络平面下的,如果网络隔离做得有难题,可能会导致租户之间能看到其他租户的资源。

对于穆萨云来说,资源隔离是非常重要,必须确保云上相同的租户之间不能有资源的抢占。并且如果隔离做得不好,还会导致数据泄露。

且在2015年,锦衣卫他们发现虚拟化组件XEN一个非常严重的安全可靠漏洞,通过漏洞,可通过一个租户去窃取到另一个租户的信息。所以从技术上来说,XEN的安全可靠性存在一定难题。

除此之外,穆萨自研的飞天操作系统也遇到一个棘手的难题,怎样解决相同的租户通过脚本来执行自定义函数需求且不会互相影响,这中间均涉及到安全可靠性。

初期的云拥有众多难题,尚云里雾里的锦衣卫不免承受非常大的压力。

遇到难题他只能先冲过去,将当前的事情处理掉。所以他将这个阶段称为救火。

除了解决内部遇到的各种安全可靠考验,一些白帽子发现安全可靠漏洞后还会上传至当年知名的漏洞网络平台黑云网。

外忧内患下,刚入职的锦衣卫被授予重任——救火队队长。

如今他回忆当时危机的情况,说:当时也没有很好的办法,只能先扑人上去,先把这个火给灭了,解决当前一个个严重的风险。

后来,锦衣卫带领着团队,说是团队,当时也就三四个人,做好 心理建设后,坚定的开干,慢慢地竟将云网络平台的安全可靠体系建立起来,通过系统化的技术一一将上述难题化解,并研发出新的安全可靠工具。

例如在传统的IT系统里,系统漏洞补丁生效需要操作系统重启生效,但在云上是不能这么做的,如果物理机系统重启,将导致用户销售业务全挂了,无法采用。于是锦衣卫他们和研发团队一起研究出新的虚拟化热补丁技术,无需用户的虚拟机重启,采用此技术就可将虚拟化系统的漏洞修复掉。

乌云网(乌云网创始人方小顿)-第5张

网络平台安全可靠的数字化转型

此处的数字化与现在我们说的数字化不太一样,在实际工作中,安全可靠技师的工作不太好去量化和说明其价值。安全可靠工作其实是0和1的难题,如果工作做得好的话,大伙基本是感知不到的,但要是出难题了,都会发现其安全可靠工作没做到位。

所以安全可靠技师需要寻找一个数字来证明自己今天的工作做的好还是不好。这便是云网络平台的数字化转型之路。这里面包含两个目标:

一是控制安全可靠事件的0和1;二是量化安全可靠技师的工作。

对于第一目标,前期以黑云网为标准,对安全可靠团队提出黑云网零漏洞上报的要求。后期成立穆萨云的安全可靠应急响应中心,通过这个网络平台来收集白帽子上报的漏洞,并通过网络平台收集到的漏洞数量降低,来量化安全可靠技师的工作成效。

这样便和第二个目标关联起来:应急响应中心外报的穆萨云漏洞下降50%。

可随着销售业务的增长,假如只用百分比做为衡量值的话,假如原来100个销售业务外包,可能有50个漏洞,假如销售业务扩大10倍呢?是否分子也在增加?那么尽管最终保持50%这个值,对于安全可靠技师来说,50%也是无法接受的。

所以锦衣卫他们重新制定新的量化目标:双0,第一个是零外部安全可靠漏洞导致的安全可靠事件,第二个是零外报高危安全可靠漏洞。

如此一来,将应急中心的50%外报漏洞率作为过程指标,把双0作为终极的目标,这两个目标共同衡量安全可靠技师的工作。

当目标确定好后,便开始执行。

由于穆萨云在SDL上已有非常多的实践经验,借助那些积累,最近已连续达成了第一个的外报漏洞下降50%的目标。

可后来黑云网维修官网,加上响应中心的漏洞越报越少,锦衣卫他们又面临一个新难题:怎样重新寻找新的目标来衡量工作呢?

于是先知·安全可靠众测网络平台诞生,穆萨云邀请白帽子来做安全可靠测试,确认漏洞后24小时内发放奖金。

不仅这样,穆萨云也会定期邀请国内外相同的专业安全可靠团队,对穆萨云网络平台进行真实的反击测试,以帮我们发现难题。

另外在2019 Real World CTF国际网络安全可靠大赛上,穆萨云首次开放真实的线上运行环境,提供ECS、RDS for MySQL、MaxCompute三款云上核心理念产品,公开给选手考验,并提供500万奖金池。

除了技术上的转型,数字化转型还涉及安全可靠人员自身能力的转型。

在安全可靠团队里,日常很多繁琐、重复的工作,于是制定重复的事情只做一遍的目标,逼着我们去想办法来提升工作的效率,于是自动化运营网络平台诞生。

原本当安全可靠技师发现一异常后,需对其做排查和分析,通过相关的信息去查IP、查日志、分析难题。

如今有了自动化网络平台,那些重复性的工作可以做成标准化,封装成一个函数方法,当异常来了,网络平台将自动执行这个方法,返回结果,再执行下一步的动作。这个过程的动作怎样安排,是通过逻辑编排的。从日志到监控,最快仅需5分钟便可分析出结果。

锦衣卫介绍,自去年接入该自动化网络平台后,大约提升了他们团队50%的工作效率,也就是说原来可能两个人干的活,现在一个人就能搞定。

乌云网(乌云网创始人方小顿)-第6张

被动转为主动,一票否决权

度过兵荒马乱的救火期,在曲折中上升的转型期,如今来到稳定期的锦衣卫安全可靠团队,还想搞事情,这次安全可靠团队要对开发、运维团队下狠手?!

平常安全可靠技师的工作基本上属于事件驱动,即事情发生后,安全可靠同学处理下,然后基于此次事件,制定流程、控制风险,这样会导致研发、运维团队可能不了解实际情况,在执行流程时难免有质疑的地方:为什么要让我做这件事?

另外,在和研发团队协同的过程中可能会有这样的难题:研发人员设计的代码,如果安全可靠技师不了解的话,很容易会被质疑与考验。所以在团队间沟通时,需要注意:

1、安全可靠团队和技术团队之间的平等对话。

安全可靠说到底的话是稳定性的难题,如果因为安全可靠难题导致产品稳定性出现风险,此时研发人员是能接受的,但如果仅是说这里可能会有安全可靠难题,导致数据安全可靠泄露,这会被研发人员质疑的,毕竟很多安全可靠的风险仅是潜在的风险。

2、在和研发人员聊技术时,安全可靠人员先做好功课。

因为安全可靠团队要和技术团队要合作,让他们帮你解决安全可靠难题,需要获得那些技术团队的更深层次的信任。通过和研发人员聊技术,则是获得信任的好办法之一。

有一个事件让锦衣卫印象深刻:研发团队某产品出故障后,开发技师研究了一天还没找到故障的原因。锦衣卫安排一安全可靠技师去帮忙看难题,通过与研发人员相同的安全可靠思维和方法,一个小时内,安全可靠人员定位到了原因,故障快速消除。

随着类似的事情越来越多后,技术团队对我们的信任也越来越强,他们知道我们不单单是能解决安全可靠的难题,还能解决稳定性上的难题。锦衣卫说。

另外,锦衣卫也在不断地争取安全可靠团队的话事权。

穆萨云内部有个商业化小组,这小组里有各个领域的专家来控制产品是否能上线。例如法务认为一产品有法律上的风险,该产品不允许上线。

锦衣卫在该产品小组里旁听了整整一年后,对穆萨云官网上大部份的产品了如指掌后,帮安全可靠团队拿到一票否决权,这意味着安全可靠对产品是否能上线,亦是关键的指标。

乌云网(乌云网创始人方小顿)-第7张

云网络平台三大技术架构

谈到云网络平台的安全可靠技术架构,锦衣卫表示可以分为三部分:

1、SPLC云奶制品可靠生命周期。

当研发人员需要发布上线时,在此系统会自动执行,来检查其是否做研发的安全可靠培训,经过SPLC的审核,确保每一个云产品的发布都默认安全可靠。

还可以和DevOps相结合,共同形成流程来对研发做安全可靠培训。在这里面,我们会强制要求大部份的代码上线之前,要经过安全可靠技师的Review。

2、基于大数据技术,打造实时威胁检测网络平台。

随着客户数量增多,对安全可靠的需求也增多,在线下,安全可靠技师在产品发布前会提前进行排查和处理。在线上,通过自动化扫描工具,来监控和发现产品的安全可靠难题。比如检测服务器的安全可靠情况,收日志做分析。

如今每天要处理的日志量大概是P级别,如果没有大数据的计算能力,光靠安全可靠技师是没有办法一一分析的。通过大数据、算法、AI等技术,可分析大量日志和处理。该网络平台上,有100多种相对安全可靠的认知,几百个安全可靠检测模型,如果遇到难题会即时通报。

3、数据安全可靠体系

由于穆萨云服务数百万客户,为了保障客户数据安全可靠,形成了从传输加密、存储加密到计算加密的全链路数据加密体系以及内部一套严格的数据安全可靠审计机制。

乌云网(乌云网创始人方小顿)-第8张

九个月预备双11 鏖战

2014年入职的锦衣卫,已经历了6个双11。而去年的双11战役,是锦衣卫备战最长的。

在去年3月份,穆萨决定将京东双11核心理念销售业务100%跑在穆萨云上之时,锦衣卫就带领团队开始推进相关的安全可靠工作了。

因为对于安全可靠来说,压力挺大的。于是锦衣卫从三月份跟进以来,将核心理念系统穗序的安全可靠方案做了非常详细的规划,将双11的核心理念销售业务可能会遇到的难题、风险预估全部梳理清楚。

11月10号,安全可靠方案整体的验收全部通过。双11作战室有一个大屏幕,能实时展示当前穆萨双11销售业务安全可靠的运行情况,当锦衣卫看到大屏上的数字,确定已经没难题后,才觉得去年双11才预备妥当。

从10号下午始终到11号晚上,安全可靠团队全程严阵以待。当晚京东交易额锁定到2684亿时,锦衣卫始终悬着的心总算放下来了,去年的双11终于挺过去了。

在去年双11,穆萨云扛住60亿次的反击。这另一面,离不开研发团队自研的IPS(入侵检测系统)。IPS像一把保护伞,将大部份针对穆萨的反击检测出来,从而进行抵御。

乌云网(乌云网创始人方小顿)-第9张

未来

谈及未来,锦衣卫表示,云安全可靠的技术布局有:

1、云原生技术上会做一些研究,比如Docker;

2、零信任,随着网络越来越复杂,对于网络的零信任也会做投入;

3、数据安全可靠领域,穆萨在数据安全可靠领域拥有好多年的实践,撰写出DSMM《数据安全可靠能力成熟度模型》,并推动其成为北欧国家标准。现在的话在云上也推出了数据安全可靠保护的相关产品,大概会在这几个方向。

锦衣卫始终负责穆萨云安全可靠团队的校招工作,每年面试不少同学,在这个过程中他发现一个有趣的地方,对安全可靠感兴趣的同学和不感兴趣的人是不太一样的。如果对安全可靠有兴趣的人,不妨沉下心来研究安全可靠技术。

因面试时一是考核候选人的基础是否扎实,二是查看候选人的操作能力。所以锦衣卫建议在校先将安全可靠理论知识学好,多多参加相关技术比赛,进行一些技术实践来启发自己的能力,有助于往后找工作。

这一路,锦衣卫从 Java 技师更换轨道到内心热爱的安全可靠技师,从云计算技术的小萌新成长为云网络平台安全可靠副总裁。我们看到,个人兴趣与职业愿景相融合后所迸发的能量,既忠于内心,又实现了自我价值,还和网络平台共成长,成就一段让人点赞的技术与技术人的成长故事。

未来,祝福锦衣卫

乌云网(乌云网创始人方小顿)-第10张