程序员删库被判 6 年,公司损失近亿,云原生时代如何打造安全防线?
采访嘉宾 | 郑赳
作者 | 阿司匹林
出品 | CSDN(ID:CSDNnews)
9 月 20 日消息,微盟“删库”主角被判处 6 年有期徒刑。
2 月 23 日,微盟研发中心运维部核心运维人员通过 VPN 登入服务器,破坏 SaaS 线上生产环境并删除数据库,随后微盟内部系统监控报警,导致大面积服务集群无法响应。
根据最新财报,微盟上半年净亏损为 5.46 亿元,其删库事件预计赔付 0.87 亿元。当然,受损的不只是微盟,还有微盟的一众客户。
微盟事件不是必然的,却是大数据和云计算时代的产物。云上安全的问题需要引起足够的重视,因为只要上了云,一旦出问题,就面临业务停摆,甚至倒闭的风险。
安恒信息高级副总裁兼首席云安全战略官郑赳告诉 CSDN,删库事件一再发生,很多都是权限管理或者内部的人员管理风险导致的,而这仅仅是上云之后众多安全隐患之一,因此企业迫切需要将运维管理跟安全管理进行结合,真正实现统一的安全管理。
作为一家从 2007 创立之初就开始专注于安全领域的公司,安恒的业务范围已经从最初的应用安全、数据安全拓展到如今的云计算安全、工业互联网安全、大数据安全、智慧城市安全。
为何安恒信息这么早就开始重视并布局安全,从传统安全到云安全的变迁过程中有哪些机遇和挑战,未来云安全会是怎样的形态?CSDN 采访到安恒信息高级副总裁兼首席云安全战略官郑赳,一起探讨云安全的发展和变迁。
安恒信息高级副总裁兼首席云安全战略官 郑赳
安全领域变迁:从有形到无形,从有界到无疆
郑赳表示,中国安全领域发展的背后主要有两大驱动力。一是技术的变化,比如大数据、云计算的发展,技术的发展导致安全产品的形态发生了很大的变化;二是应用场景的变化,比如物联网、智慧城市的出现,而场景的变化会带来新的安全挑战和安全问题。
在数字化与上云的趋势下,越来越多的企业选择将业务与数据放在云端,进而使用更为高效、低成本、安全稳定的云端服务,因而 IT 基础设施逐渐云化。云改变了企业的底层基础设施架构,安全也随之往云化,传统安全架构也不再适用于云上。
随着 DDoS 攻击、勒索攻击、数据泄露等安全事件频发,我们清晰地认知到,无论是 5G、云计算、人工智能、物联网等细分的技术,还是云平台、服务器及硬件等服务,无一不是安全的突破口与防护口,而传统的“壁垒式建高墙”防护手段早已失效。
在这个万物互联的时代,当有人在不加前提约束的条件下简单问“你的系统安全否?”就变成一个伪命题。因此,安全领域不再有边界,而是应该成为无处不在的防护盾。
安全上云,不只是“生搬硬套”
由于外部安全攻击趋于智能化、复杂化、规模化,云上防护的方式变得更多元化、复杂化,部署强大的安全架构是企业迫在眉睫的事。
传统安全的能力对云有一定的赋能作用,但是安全的迁移并不是单纯的“生搬硬套”,传统的安全防护模式也并不适用于云安全。
郑赳告诉 CSDN,云安全和传统安全是完全不同的,两者的架构逻辑存在很大的差异。比如以前传统的网络防火墙不能简单的搬到云上,传统的防火墙设置在流量的入口和出口之间就能进行防护,但是在云上实现这一点就非常困难,因为云是可以迁移的,因此防火墙的策略也需要可以迁移。
相对于传统场景,云上的风险也发生了变化:一是风险的优先级发生变化,因为云计算的出现,数据安全和终端安全也变得更加突出和重要,而且不断涌现出新的理念;二是新风险的出现,比如容器的安全、访问边界的安全等。
在进行安全的迁移时,很多传统安全设备厂商寄希望于“安全盒子”的云化,比如把FW变成vFW,装到云主机、虚拟机里,再辅以SDN/NFV的理念,一次来解决云上的安全问题。不过,在云厂商看来,这不是云原生安全,只能算是“云夹生”安全。
因此,云原生时代的安全不可能用传统的硬件盒子来实现,而是需要充分利用云的能力和技术,比如云的负载能力、弹性伸缩能力、备份能力、热迁移能力、计算能力、大数据能力等等。此外,还要用到云的模式,比如 SaaS 化的服务模式,并根据应用场景提供按需服务。这些是云安全和传统安全最大的差异。
传统安全只有经过云化改造才能够适用,这也是现在安全公司包括所面临的一些挑战。
构建云安全能力,需要“系统性思考”
在云计算时代,安全厂商、云计算厂商和客户是共享责任。即便我们使用的是云上的 IaaS、PaaS、SaaS 服务,但并不意味着企业和客户把相应的安全责任转移给云厂商。
云厂商更多的是提供技术层面的武器,但是如何利用好这技术,这是企业的责任,需从企业安全架构层面、从安全实现技术路线上来做分析。
那么在具体实现时,企业如何加强自身的云安全防御架构?
郑赳表示,构建一个完整的云安全体系需要系统性的思考,这是非常大的挑战。由于资源的分布不同,如何执行统一的安全策略和安全管理是企业面临的最大问题,而安恒云可以帮助企业构建一个相对系统的安全防护框架。
目前安恒云提供的解决方案就是针对云上用户的痛点,首次将云管理和云安全进行结合,简化运维的复杂度,通过更低的成本,提供更高效的安全能力和更好的体验。
从“一朵云”到“多朵云”,管理和安全如何真正统一?
随着伴随着云计算技术走向成熟以及用户对成本、备份等多类诉求,“多云”的趋势已经非常明显。在郑赳看来,没有用户希望被一家云服务锁定,而是希望充分利用各家云的服务和价格优势,因此会有越来越多的企业选择多云架构。
中国信通院的数据显示,多云架构已经成为企业主流的部署模式,2020 年高达 93% 受访企业是多云架构。但多云架构也给企业带来了一些新挑战,比如多云安全就是最大的挑战之一,高达 83% 的调查对象认为多云安全对其挑战最大。
目前,多云管理和多云安全存在以下 3 大难题:
1、多云管理孤岛:多云异构,各云服务商架构差异大,各资源相对独立,难以统一管理;
2、多云安全建设成本高:每朵云都需要独立建设安全,安全建设成本高;
3、安全能力无法统一分配、管理与运维:各朵云的云安全能力参差不齐,无法实现统一的安全配置、运维与安全态势分析,造成应用被入侵、数据被窃取等严重安全问题。
这时就需要一个多云管理平台,将分散的资源统一起来,集中进行管理。安恒信息也看到了其中的问题,一方面是多云如何进行统一的运营管理,另一方面是多云如何进行统一的安全管理。
正是基于这些考虑,安恒信息率先提出了多云管理和多云安全相结合的理念和解决方案,并推出了一站式多云管理和多云安全管理服务平台——安恒云。
郑赳表示,提供统一的安全策略有很大的难度,从管理维度上来讲,只有将不同的云连接起来之后,才能将进行统一的的监控和分析,然后实施统一的安全策略。如果想要做好多云管理,需要从以下几个维度出发:
1、云资产的管理,通过API对各种云上资产进行识别重组,建立资产库,然后进行统一的管理;2、对云资源进行统一的监控,分析其使用情况;3、构建云的同业成本分析,帮助用户优化云资源,节约成本;4、实现统一的自动化运维。
目前,安恒云平台可以无缝对接阿里云、AWS、华为云、腾讯云、Ucloud、百度云、Azure、京东云、青云等公有云,同时覆盖阿里云、OpenStack、华为云等私有云平台,让用户能在一个平台上完成多云统一管理,并提供主机监控与自动运维、成本分析与优化、合规运维与审计,实现多云一站式管理。
然而,目前在国内做多云管理和多云安全最大的挑战就是公有云API的稳定性和开放性问题。
郑赳告诉 CSDN,很多公有云的 API 都号称是完整开放的,但是真正使用的时候,就会发现这些函数的水平参差不齐,与国外的能力差距很大。一些公有云的 API 不够完整,还有一些能力没有开放出来,因此一些多云管理的想法在这些云上就无法实现。
不过我们并不需要悲观,在郑赳看牢,这其实是云成熟度的问题。因为现在很多云上的开发和运维都依赖于 API,因此它不可能随意变化,未来一定会开放,而且会标准化,需要一个发展成熟的过程。
未来,多云管理平台的核心功能将不断演进,与企业IT系统的集成更加紧密,并且与安全和网络产品深度融合。
云原生时代,安全“左移”,DevOps 变 DevSecOps
云原生这个概念现在很火,统计数据显示,到 2021 年将有 92% 的公司成为云原生公司。从基础架构到应用程序的开发,堆栈在传统方法与更现代的基于云的方法之间形成了鲜明的对比,其中大多数已对成功的模式和实践达成了主流观点:DevOps文化、持续交付和微服务架构 。
然而为什么我们还没有重新构想云原生的安全性呢?要知道,通常使企业陷入困境的是因为对开发投入太多,而对安全投入太少。
在郑赳看来,我们需要充分利用云原生的能力来去构建安全能力,如大数据分析能力、网络虚拟化能力、服务器快照、存储备份等。然而云原生的利用同时也带来了一些新的风险,比如容器的风险等。
郑赳表示,未来安全需求方面也会有一些变化,那就是开发运维会跟安全结合,实现DevSecOps,也就是“安全左移”。
关于“安全左移”,微软企业服务大中华区 Cybersecurity 首席架构师张美波曾对CSDN表示,“软件有规划、设计、构建、测试、部署阶段,但往往在软件的部署阶段,我们再去评估安全性,这是非常不好的。如今我们想从开始规划、设计、构建、阶段时就该考虑安全性。”
企业进行架构转型时,对应的安全架构也将转型,安全是任何技术的基础。因此,企业应该将安全也纳入速度、敏捷性和连续交付流程中,这样才能保证企业不会因为安全问题而陷入困境。
结语
数据时代的背景下,无论运用哪一种前沿技术,最终都将体现到海量数据的采集、流转、应用的流程之中。因为数据的边界愈加模糊,所以安全能力必须在云-边-端实现更细粒度的防护。
而构建这道看不见摸不着且无处不在的安全防护门,是时代的机遇,也是挑战。
程序员删库被判 6 年,公司损失近亿,云原生时代如何打造安全防线?相关推荐
- 百度程序员删库被判9个月,手机号一键解绑功能发布,推特再向马斯克妥协,今日更多大新闻在此...
日报君 发自 凹非寺 量子位 | 公众号 QbitAI 大噶好,今天是6月9日星期四,2022年的进度条现在长这样: emmm-- 我们还是来看看今天科技圈又发生了哪些有意思的事吧~ 今日大新闻 百度 ...
- 40岁程序员“删库”被判7年,曾提出系统安全问题被无视,怒删9TB财务数据及系统...
关注.星标公众号,直达精彩内容 金磊 萧箫 发自 凹非寺 量子位 报道 | 公众号 QbitAI 40岁链家程序员,曾向领导提出系统安全问题被无视,还被调整了工作,怒而删除自家9TB数据库. 段子一 ...
- 吃瓜:程序员删库报复!一行代码蒸发数10亿!
点击上方"IT平头哥联盟",选择"置顶或者星标" 你的关注意义重大!来源:CSDN知识库 地址:https://mp.weixin.qq.com/s/9XEZm ...
- 试用期被劝退,京东到家某程序员删库跑路,被判刑10个月!
最近,又有程序员因为"删库跑路"被判刑. 根据上海市杨浦区人民法院的消息,京东到家一名程序员未经公司许可,在离职当天私自删除了京东到家平台系统代码,构成破坏计算机信息系统罪,被判处 ...
- 代码内容变成图片_网站只剩25行代码,真有程序员“删库跑路”?
"可能我删了数据才会轻松吧 可能我格了硬盘才会休息吧 可能逃出了公司我就跑到天边 可能我还没找到 那个BUG--" 曾经,有一位程序员,在某个加班的深夜,一边听着<可能否&g ...
- php中文网侵权事件,【杂谈】程序员删库跑路事件,php中文网的几点声明!
最近网爆<"安徽汽车网"被程序员删库跑路了,只留下了一张图片做为官网!>事件持续发酵! ki4网也被躺枪,上了热点,网上也出现了各种版本的杜撰,作为当事方之一,ki4网 ...
- 上有程序员删库跑路,这次是程序员锁死服务器,600万打水漂,创始人负债数百万!
据说一家游戏公司做了两年的游戏,在上线测试当天,被一个员工锁死服务器和电脑,最终项目失败,600万投入付之东流,创始人负债数百万. 从微薄大V"首席内幕官"晒出的信息显示,这家游戏 ...
- 安徽汽车网程序员删库跑路?不,真相是这样!
近日,朋友圈和相关自媒体都在吃程序员删库跑路的瓜,大意是以前丰富的官网突然都点击不动,查看源代码发现官网是几张图片拼凑组成的,各路大神纷纷猜测是程序员删库跑路, 截止到目前相关自谋体和个人还在纷纷转发 ...
- 只因“薪水过高”!被欠薪三个月后遭解雇,程序员删库反击
译者 | 弯月 责编 | 王晓曼 出品 | 程序人生 (ID:coder _life) 非技术出身的公司创始人往往并不了解开发人员的价值.如果他们的产品是科技产品,那么开发人员就是公司的燃料.我从 ...
最新文章
- Python破解验证码技术,识别率高达百分之八十
- 解决标准FPGA资源丰富却浪费的问题
- 【免费分享】KotaLog Diary2022年计划电子手账本
- canvas 实现图片局部模糊_JavaScript中的图片处理与合成(四)
- Java中Map的使用
- 【设计模式 06】原型模式(克隆??)
- python语言程序设计实践教程实验八答案_清华大学出版社-图书详情-《Java程序设计教程及实验指导》...
- 树状数组(搬运自维基百科)
- (原)python中matplot中获得鼠标点击的位置及显示灰度图像
- c语言细胞自动机,关于细胞自动机的程序..求救!!谢谢!
- linux根据文件名统计文件数,如何统计 Linux 中文件和文件夹/目录的数量
- 在Linux中打印常用书信与信封(转)
- 配置cfree 5 支持C++11
- springcloud Ribbon详解
- q-flashplus怎么使用_技嘉主板使用Q-FLASH刷BIOS详解
- Android 如何通过拨号盘暗码启动你的应用
- 三、生成树协议(Spanning Tree Protocol,STP)
- 电脑维修中的十个笑话
- GraphPad Prism的八种数据表格式
- Adobe Acrobat 无法打开文件附件,因为您的PDF文件附件设置不允许打开本类型的文件
热门文章
- a,b值进行交换的方法
- PhantomJS命令行选项
- Office 2016 (Preview)
- QQ超市模拟排配2D版1.14 (XNA4.0) (增加截图功能、新建地图功能)
- 排烟管道过长怎么处理_厨房装修失误导致烟道过长该怎么办?
- 矩池云里查看cuda版本
- keyshot环境素材文件_超赞|15个不翻墙免费可商用矢量素材下载网站推荐
- 绝缘吹风机行业调研报告 - 市场现状分析与发展前景预测
- 2021-2025年中国催产药行业市场供需与战略研究报告
- 给所有的input设置 autocomplete=off