除了物理隔離方面有絕對優(yōu)勢外,Local Deployment的模式比云計算安全嗎�?”“不能阻止別人作惡,只要上互聯(lián)網(wǎng)����,就要考慮被攻擊的風險?!比珗鰺o尿點討論,SaaS產(chǎn)品的安全怎么搞�?盡15000字的干貨分享����,牛人們爬樓學習從此腰酸了腿也不疼了。
程艷冬 20:34
各位����,大家晚上好。我是美洽的程艷冬��。我來主持今晚的崔牛會八點半��。話題是,SAAS公司如何做好安全�����?是否能比傳統(tǒng)軟件更安全�。
群里有很多專門從事安全行業(yè)的,大家暢所欲言����。安全是個大話題,為了不發(fā)散��,并產(chǎn)生實際價值�。我們今天只討論SAAS安全。
作為一個一行代碼都沒寫過的人���,我的關注點其實很簡單�����,第一���,業(yè)務不要中斷,怎么辦?不能被DDOS等各種攻擊���。
第二�����,不能被脫庫��,這種數(shù)據(jù)安全比較重要���。我想咱們先從這兩個話題開始。
大家可以給我們這樣的技術白癡���,做個普及�。大家要做什么����。同時其他人��,有任何問題�,也可以隨時提出來。
阿朱-京東技術學院 20:37
@程艷冬@美洽創(chuàng)始人?ddos是沒有好辦法的���,脫庫的常發(fā)生點就是郵箱和端口�。
陳奮@安全狗 20:38
還是有一些辦法,看你能投入多少預算
程艷冬 20:38
對于數(shù)據(jù)安全��,和業(yè)務安全��,我們能做什么�����?
程艷冬 20:38
要不�,陳奮展開一下?
阿朱-京東技術學院 20:38
@程艷冬@美洽創(chuàng)始人業(yè)務安全你指的是啥�����?
陳奮@安全狗 20:39
@阿朱-京東技術學院脫庫主要因為你的應用安全沒做好��,不是端口問題
程艷冬 20:39
業(yè)務安全指的是���,如何讓業(yè)務不中斷����。比如銀行��,肯定這方面不錯。
程艷冬 20:39
另外���,群里的SAAS老大���,也可以談談,你們對安全的理解�����,和自己的困惑�。
程艷冬 20:40
技術出身的@Anytao@Worktile 聊聊,你們的安全措施�?如何保證不被攻擊,如何保證數(shù)據(jù)安全��?
陳奮@安全狗 20:41
1�����、如何保證自己平臺安全��?(1)基礎環(huán)境安全:這個如果自己沒有機房條件的話���,要從0開始做,那要做的事情就多了:物理環(huán)境、網(wǎng)絡環(huán)境(各類防火墻)�、災備等。這個投入就大了��,不是一個創(chuàng)業(yè)公司能投入的起的�。托管在傳統(tǒng)機房,基礎環(huán)境的安全也基本等于0�。個人推薦直接上到IAAS云平臺,相對基礎環(huán)境的安全都做了�����。(2)系統(tǒng)安全���。這個我們產(chǎn)家就可以自己做很多事情:系統(tǒng)的安全基線和加固�,做好系統(tǒng)的安全防護(比如可以利用我們安全狗軟件做長期監(jiān)控)��。(3)應用安全:a)做好自己應用的安全開發(fā)和安全檢測(安全開發(fā)很多公司做不到���,需要有標準的安全開發(fā)流程)����,安全檢測相當于后期的補救�����,可以找第三方安全公司來做(比如眾測平臺)。 b)做好應用層安全防護��,比較WEB類應用要接入WEB防火墻�����。(4)管理和長期監(jiān)控:內(nèi)部需要一套制度去規(guī)范運維流程�,最好有一套安全監(jiān)控平臺做長期的安全數(shù)據(jù)分析。
Anytao20:41
@程艷冬@美洽創(chuàng)始人這話題應該我們運維和安全負責人聊聊����,我努力參與吧
阿朱-京東技術學院 20:41
@程艷冬@美洽創(chuàng)始人業(yè)務不中斷的關鍵是:事務完整性保證、分流重定向重試
@老寒_夏凱 20:41
物理安全��、運行安全�����、數(shù)據(jù)安全
Anytao20:41
還有運維管理����,人的因素
Anytao20:43
還有平臺選擇,自建服務器還是云服務
阿朱-京東技術學院 20:43
@陳奮@安全狗脫庫還不常見是應用安全方面出的問題
程艷冬 20:43
安全開發(fā)很多公司做不到��,需要有標準的安全開發(fā)流程。這個有最佳實踐嗎��?
張福-青藤云安全 20:44
安全是個系統(tǒng)工程��,必須成體系的做建設����,有短板就會出問題���。
Anytao20:44
@阿朱-京東技術學院同意�����,人的因素更多
ZheWang 20:44
早期的創(chuàng)業(yè)公司養(yǎng)不太起厲害的運維
Anytao20:44
更多自動化��、更少人的動作
程艷冬 20:45
所以�,@張福-青藤云安全的解決方案就是你們的產(chǎn)品�����,體系化監(jiān)控�?
阿朱-京東技術學院 20:45
@程艷冬@美洽創(chuàng)始人首先sql注入、XSS����、URL參數(shù)泄露/JS泄露后臺細節(jié)����,這些基本問題沒有
張福-青藤云安全 20:45
要做安全���,首先第一步是度量自己的安全現(xiàn)狀�。如果沒有清晰完整的度量���,那做安全就是個偽命題
ZheWang 20:46
敏感數(shù)據(jù)盡量不要存在自己數(shù)據(jù)庫比如銀行卡 ssn之類
張福-青藤云安全 20:46
@程艷冬@美洽創(chuàng)始人我們正在嘗試給saas企業(yè)提供一個最佳實踐方案�,從體系到支撐體系所必備的產(chǎn)品�����,以及服務���。用云的方式
程艷冬 20:46
@ZheWang 美國的SAAS��,我看都有一些SOC2的認證啊之類的��。這方面有哪些最佳實踐嗎����?我曾經(jīng)去Quora上搜索過,發(fā)現(xiàn)也沒有啥文章�����。
阿朱-京東技術學院 20:46
應用安全���、系統(tǒng)安全、數(shù)據(jù)安全�,咱們今天就談這三個。業(yè)務系統(tǒng)可用性另談�����,這都是大問題
陳奮@安全狗 20:47
標準的安全開發(fā)流程比較難做到���。但是讓自己的開發(fā)人員和測試人員掌握必要的安全開發(fā)知識���,這個我覺得可以做到。起碼可以杜絕80%因為開發(fā)過程留下的安全漏洞
Yinan20:47
安全的三個關鍵方面:網(wǎng)絡安全,系統(tǒng)安全,運營安全�。網(wǎng)絡安全包括防火墻的安裝和配置,交換機,虛擬網(wǎng)——這些是針對黑客的第一道防線;系統(tǒng)安全包括服務器訪問加密,操作系統(tǒng)加固,以及補丁更新;運行安全包括將訪問權限控制在必要的范圍內(nèi),加密登陸過程并全程追蹤。
程艷冬 20:47
讓我們一起歡迎@劉生權
Anytao20:48
@顧逸南-云絡科技好專業(yè)
ZheWang 20:48
@程艷冬@美洽創(chuàng)始人我們之前有過一張很長的表來衡量安全大概有個1000來條
阿朱-京東技術學院 20:48
@陳奮@安全狗一是代碼底層有安全框架���,2是有安全測試和安全監(jiān)控團隊
程艷冬 20:48
劉生權���,是北森的技術��,對安全有非常深的理解��。北森做的也非常好�����。也摸索了幾年了��。@劉生權能否給大家講講��,這方面的經(jīng)驗教訓����?也有人說SAAS安全是個偽命題�,你是怎么看的?
阿朱-京東技術學院 20:49
把系統(tǒng)安全單獨看���,運維來專門做
ZheWang 20:49
有自己人權限的細節(jié)客戶權限的細節(jié)我們供應商權限的細節(jié)
程艷冬 20:49
@ZheWang 你們那1000多項的大表�,是能夠公開的嗎�����?
阿朱-京東技術學院 20:49
SaaS那點流量和名氣,都沒啥人看上去攻擊
Anytao20:50
@阿朱-京東技術學院老說實話�,更多的問題是自己的不作為
張中 20:50
@阿朱可是2B的SaaS產(chǎn)品又是客戶最擔心安全的
Yinan20:50
很多是管理的問題
阿朱-京東技術學院 20:50
@ZheWang?自己人數(shù)據(jù)安全,都是分級脫敏的��,而且是api訪問數(shù)據(jù)�����,沒有直接數(shù)據(jù)服務器和數(shù)據(jù)庫
江金濤(冷焰)@Sobug 20:51
安全就像一個checklist的清單�,清單里面覆蓋了各個邊界����,如何做到有效的發(fā)現(xiàn),監(jiān)控����,阻斷,會很有意義
程艷冬 20:51
劉生權是 CSA 《云安全指南》的部分譯者��,本身又在北森有實踐經(jīng)驗��,是特別懂這塊的����。
ZheWang 20:51
@程艷冬@美洽創(chuàng)始人我不一定能找到了
江金濤(冷焰)@Sobug 20:51
@張福-青藤云安全的體系可以有效解決
阿朱-京東技術學院 20:52
@江金濤(冷焰)@Sobug?嘿嘿�����,安全就是千里之堤潰于蟻穴��。雖然你建立了千里長堤
陳奮@安全狗 20:52
懂安全的運維太少了����。還是交給專業(yè)的安全團隊[呲牙]
ZheWang 20:52
@阿朱-京東技術學院對的應該是那樣但是早期很多公司做不到
程艷冬 20:52
明白��,所以感覺大家可以先用類似青藤云安全這樣的產(chǎn)品�����,定位���,評估一下���,它那有比較全的CHECKLIST。
江金濤(冷焰)@Sobug 20:53
所以要有效監(jiān)控����,原來我在騰訊負責反黑體系的時候�����,我們對于所有的基礎數(shù)據(jù)是24小時監(jiān)控
Anytao20:53
@程艷冬@美洽創(chuàng)始人還有找到有功底的人��,比如劉總
Anytao20:53
@江金濤(冷焰)@Sobug?有點好奇���,24小時監(jiān)控
程艷冬 20:53
對。所以�,我們等@劉生權給大家講講。SAAS公司怎么做好��,講干貨�。
陳奮@安全狗 20:54
我們是專門征對企業(yè)的安全解決方案,適合大家�����。[呲牙]
程艷冬 20:54
陳奮����,你們平臺本身是SAAS嗎���?
程艷冬 20:54
你們自己的安全做的怎么樣�����?
劉生權 20:54
剛才顧逸南說的很好����,SaaS的安全,是在云計算環(huán)境安全��,網(wǎng)絡安全�,數(shù)據(jù)安全以及運營安全的基礎上,加上應用安全
程艷冬 20:55
2.假設做到60分�����,80分����,95分,要多少錢�����,做多少事�����?
江金濤(冷焰)@Sobug 20:55
@Anytao@Worktile?騰訊幾次安全事件��,我們在復盤的時候���,發(fā)現(xiàn)基本上跟外部黑客拼的是速度和覆蓋率
江金濤(冷焰)@Sobug 20:55
黑客比我們更先知道我們的弱點在哪兒
程艷冬 20:56
恩����。這是速度,覆蓋率怎么理解�?
劉生權 20:56
我認為安全是一個持續(xù)不斷的過程,需要隨時對安全保持敬畏之心���,因為它確實是云計算的立業(yè)之本�。
Anytao20:56
@江金濤(冷焰)@Sobug?所以定期的安全檢查�����,更多點實時監(jiān)控很必要
劉生權 20:57
現(xiàn)在CSA推出了一個CSA-Star的安全認證,大家感興趣可以去了解一下
程艷冬 20:57
@Anytao@Worktile怎么實時監(jiān)控���?用什么工具嗎�����?
Yinan20:57
我們云絡剛剛做了個關于公共云上安全的分享活動�。安全可以從互聯(lián)網(wǎng)層面(網(wǎng)絡安全,如何抗D)�,應用之前(傳統(tǒng)是防火墻,現(xiàn)在是WAF)�����,應用之內(nèi)(要寫安全的代碼),還有應用之下(公共云)幾個層面來分析。
Yinan20:57
很多人不上公共云就是擔心安全問題,就是應用之下的問題
江金濤(冷焰)@Sobug 20:58
比如黑客比你更快知道你們的strut2有哪些����,比你更快知道騰訊某個ip上線了個業(yè)務��,我們在輪詢監(jiān)控的時候�����,在時間差中被入侵�,但是有些數(shù)據(jù)我們是沒有覆蓋到的�����,黑客的外部視角卻發(fā)現(xiàn)了
Yinan20:59
我套用上次騰訊云做分享說的一句話:因為大家不相信�����,所以國家頒發(fā)了可信云認證��;如果還是不相信����,那就是心結(jié)了
劉生權 20:59
是的����,在CSA的網(wǎng)站有一個云計算安全的自評的CheckList
阿朱-京東技術學院 20:59
幾個大云公司的安全都有一定水準,我倒是擔心自己搞全套的SaaS企業(yè)
程艷冬 20:59
@劉生權會后把網(wǎng)址發(fā)給我�����,我發(fā)給大家。
Yinan21:00
因為安全有很多層面�,大家只要出了問題�,就認為公共云不安全,我覺得這個不太公平
劉生權 21:00
我一直一個觀點���,除了物理隔離方面有絕對優(yōu)勢外��,Local Deployment的模式并不比云計算安全
K.P. 2121:00
如果云服務商提供一個面向創(chuàng)業(yè)公司的安全包�,包括云waf服務����,主機防入侵服務���,實時web漏洞掃描��,10g以內(nèi)ddos防護服務���,超出10g部分先行防護后付費����,能達到80分嗎��?包年多少錢大家能接受?
劉生權 21:00
只要聯(lián)網(wǎng),云計算所面臨的一切安全問題���,Local Deployment的系統(tǒng)同樣會遇到
劉生權 21:01
而且企業(yè)內(nèi)部IT應對安全的響應能力有高有低
程艷冬 21:01
@K.P. 21我覺得好厲害����,能達到90分了。我覺得10萬-30萬。應該可以
Yinan21:01
@劉松阿里云的云盾現(xiàn)在就推出了很多升級服務吧
一清 21 21:01
我一直一個觀點�����,除了物理隔離方面有絕對優(yōu)勢外����,Local Deployment的模式并不比云計算安全@劉生權巨同意
Anytao21:02
說到底還是認知能力
程艷冬 21:02
@K.P. 21是絕對的安全大拿���,原來綠盟的技術總監(jiān),現(xiàn)在阿里做安全���。
Yinan21:02
但是�����,如果云盾再強大��,如果客戶代碼有安全漏洞��,管理有問題�����,訪問沒做好控制�,安全出了問題�����,大家能責怪云廠商嗎
程艷冬 21:02
那當然不能責怪。
Yinan21:03
所以���,就是要回到安全的這幾個層面來分析�,怎么能加強自己的安全系數(shù)
劉生權 21:03
并且��,一般企業(yè)內(nèi)部IT的水平比領先的云計算公司的IT的水平差距還是比較大的��。當然,有些企業(yè)內(nèi)部IT的能力也非常強���。能力差的��,安全性肯定得不到保障
程艷冬 21:03
@顧逸南-云絡科技我覺得��,目前大家擔心都是自己,SAAS公司�,業(yè)務發(fā)展快����,人不懂。所以還是應該怎么做��,大家不清楚�。
江金濤(冷焰)@Sobug 21:03
這個問題有意思,云服務提供商需要擔責嗎
阿朱-京東技術學院 21:04
@顧逸南-云絡科技現(xiàn)在企業(yè)應用最容易攻破�,一個密碼連復雜度都沒有���,連定期失效都沒有,連重試鎖定都沒有
Yinan21:04
所以��,需要引入專門負責安全運維的服務商
K.P. 2121:04
安全對抗就是個成本對抗問題��,一年30萬左右不可能做到全面防護�����,但云運營商因為資源豐富,運營成本平均下來開始可以搞一搞的�����,如果單獨服務公司來搞成本太高了
程艷冬 21:04
我希望會有有個SAAS公司安全指南����,如何一步一步修煉��。從不及格修煉到及格��,再修煉到80分-90分����。這是大家關心的。
Yinan21:04
我個人不認為云廠商應該為客戶自己的問題來擔責
Anytao21:05
@程艷冬@美洽創(chuàng)始人這個有點難�,checklust可以有
阿朱-京東技術學院 21:05
SaaS商搞好自己的應用安全和數(shù)據(jù)安全即好,把系統(tǒng)安全交給更底層的云
任向暉 mingdao.com 21 21:05
@劉生權 https://cloudsecurityalliance.org/research/ccm/是這個嗎�����?
劉生權 21:05
是的
程艷冬 21:05
@K.P. 21安全對抗的部分,因為跟流量相關��,是不應該包的���。其他的部分�����,如果有�,就非常好����。
K.P. 2121:05
@程艷冬@美洽創(chuàng)始人你說的是ddos流量���?
劉生權 21:06
如果大家有興趣,我看能不能聯(lián)系一下CSA的相關人和大家交流一下
程艷冬 21:06
對���。K.P
程艷冬 21:06
@劉生權非常感興趣。
陳奮@安全狗 21:06
安全是動態(tài)的過程����,評測只能證明當時的能力
程艷冬 21:07
@劉生權你翻譯了CSA云安全指南,并且結(jié)合自己的經(jīng)驗���,如果給大家一個安全的建議���。(執(zhí)行層面),你發(fā)現(xiàn)大家都了什么�����,都最應該做好哪三個事情�����?
Yinan21:08
我們不能阻止別人作惡,只要上互聯(lián)網(wǎng)�,就要考慮被攻擊的風險。所以����,我們經(jīng)常建議客戶在上限前做好兩個測試-壓力測試和滲透測試
劉生權 21:08
csa-star的認證,貌似國內(nèi)只有阿里云通過了csa-star的認證
K.P. 2121:08
ddos防護按照攻擊量級和持續(xù)時間付費對用戶來說最合理�,現(xiàn)在很多抗d報價的確還可以優(yōu)化
LarryX肖凱 21:08
ddos這種靠云把
LarryX肖凱 21:08
靠自己是沒用的
Yinan21:08
現(xiàn)在進行DDOS的成本太低了
程艷冬 21:08
另外,我想問個問題����。也是這幾天征集的。如何才是數(shù)據(jù)隔離的最佳實踐�����,要每個客戶都一個獨立的數(shù)據(jù)庫嗎�?還是多個客戶共用一個數(shù)據(jù)庫,分表�����。
LarryX肖凱 21:09
靠硬件和第三方也是沒用的
程艷冬 21:09
@K.P. 21是��,現(xiàn)在阿里云的防D����,是你不被攻擊也要交保護費���。
K.P. 2121:09
csa的指南很全面,但沒有落地細節(jié)
程艷冬 21:09
如果說���,被攻擊了���,先防�����,再收費��,我覺得是比較爽的���。
LarryX肖凱 21:09
阿朱說的對���,saas把自己應用層的安全做好就行了,別被sql注入�����、破解密碼啥的
Yinan21:10
我覺得安全寶在這方面做的不錯
劉生權 21:10
阿里云本身就是防d的,不信你掃掃看�,馬上會被屏蔽
Yinan21:10
先防,再收費
LarryX肖凱 21:10
防d我覺得沒有比云更靠譜的了
K.P. 2121:10
對����,該優(yōu)化一下,對于創(chuàng)業(yè)公司來說����,最好的方式就是包年,包扛住
LarryX肖凱 21:10
創(chuàng)業(yè)公司����,說實話也沒人d你
程艷冬 21:11
那真是太棒了。
程艷冬 21:11
但是業(yè)務中斷的影響很大�����。
程艷冬 21:11
另外���,我想問個問題�����。也是這幾天征集的�����。如何才是數(shù)據(jù)隔離的最佳實踐�,要每個客戶都一個獨立的數(shù)據(jù)庫嗎?還是多個客戶共用一個數(shù)據(jù)庫��,分表����。
Yinan21:11
阿里云的云盾還是很強大的,現(xiàn)在推出了高防服務���,所以,對有DDOS攻擊風險的公司來說��,上云是最好的選擇
K.P. 2121:12
爭取搞個面向創(chuàng)業(yè)公司的安全包吧
程艷冬 21:12
@顧逸南-云絡科技 AWS上����,遭遇DDOS,AWS都能給搞定嗎���?還是要用第三方服務���。
Anytao21:12
@程艷冬@美洽創(chuàng)始人我的觀點是沒大的差別�,只是租戶模型不同
LarryX肖凱 21:12
aws也一樣
劉生權 21:12
LEVELONE: CSA STAR Self-Assessment
CSASTAR Self-Assessment is a free offering that documents the security controlsprovided by various cloud computing offerings, thereby helping users assess thesecurity of cloud providers they currently use or are considering contractingwith. Cloud providers either submit a completed The Consensus AssessmentsInitiative Questionnaire (CAIQ), or to submit a report documenting compliancewith Cloud Controls Matrix (CCM). This information then becomes publiclyavailable, promoting industry transparency and providing customer visibilityinto specific provider security practices. www.cloudsecurityalliance.org/star/self-assessment/
LEVELTWO: CSA STAR Attestation
CSASTAR Attestation is a collaboration between CSA and the AICPA to provideguidelines for CPAs to conduct SOC 2 engagements using criteria from the AICPA(Trust Service Principles, AT 101) and the CSA Cloud Controls Matrix. STAR Attestationprovides for rigorous third party independent assessments of cloud providers.www.cloudsecurityalliance.org/star/attestation/
LEVELTWO: CSA STAR Certification
TheCSA STAR Certification is a rigorous third party independent assessment of thesecurity of a cloud service provider. The technology-neutral certificationleverages the requirements of the ISO/IEC 27001:2005 management system standardtogether with the CSA Cloud Controls Matrix. www.cloudsecurityalliance.org/star/certification/
LEVELTHREE: CSA STAR Continuous Monitoring
Currentlyunder development and scheduled for 2015 release, CSA STAR ContinuousMonitoring enables automation of the current security practices of cloudproviders. Providers publish their security practices according to CSAformatting and specifications, and customers and tool vendors can retrieve andpresent this information in a variety of contexts.www.cloudsecurityalliance.org/star/continuous/
Yinan21:12
遭遇DDOS�����,云的確是最好的選擇
Yinan21:12
AWS有ELB
程艷冬 21:13
@顧逸南-云絡科技 ELB能做到什么效果���?
Yinan21:13
跟阿里云的SLB一樣
程艷冬 21:13
@Anytao@Worktile租戶模型不同�,帶來的效果有啥區(qū)別����?你們是分表����?
Yinan21:13
負載均衡
K.P. 2121:14
ddos防護難點在漏斗口的大小,出口帶寬只有1g�����,防護設備10g也只能發(fā)揮1g能力���,而云有個超大漏斗口,所以防個百g以上還是很輕松的
K.P. 2121:14
slb防不了ddos
Yinan21:15
AWSDDoS - First by having a lot of bandwidth, second by having good tools to avoidscans and some types of DDoS, but beyond that, we really don't know - for L7HTTP server overloads, they don't really help.
Anytao21:15
@程艷冬@美洽創(chuàng)始人目前是���,但以后不排除多租戶
程艷冬 21:16
對�。我記得@K.P. 21 說過�,AWS上也有防DDOS的第三方服務可以買��。例如安全寶之類的�。
K.P. 2121:16
aws上可以在marketplace上買imperva,再加ddos saas服務�����,可以搞定ddos
Yinan21:16
這句話��,翻譯不來-回答@程艷冬@美洽創(chuàng)始人的問題:General practice is all combined and separate by customer ID/key, but youcan use MySQL DBs per customer up to 10,000+ customers though it's not a greatway。Separate tables can also beused, but obviously only if there are a few tables per customer.But what arethe goals ? For security, none of this matters as the code and apps can accessit all, so the design should be best for the system overall stabilty andperfomrance and focus on security at the app layer.
洪倍@AdMaster 21:16
ddos就是誰帶寬大誰贏吧
程艷冬 21:17
哈哈哈�����。@洪倍@AdMaster 來了��。ADMASTER的有啥經(jīng)驗教訓,在SAAS安全方面��?講干貨哈
程艷冬 21:17
你是CTO��。你直接點[微笑]
Yinan21:18
要最經(jīng)濟的抗D���,最好還是要學會用好云
Yinan21:18
但是SaaS公司真的只擔心DDOS嗎
Yinan21:18
我覺得更擔心數(shù)據(jù)安全吧
程艷冬 21:18
抗D上����,AWS沒有阿里云好��。對吧�。
程艷冬 21:18
對的,同樣擔心數(shù)據(jù)安全�����。能做些什么�����?
K.P. 2121:19
國內(nèi)運營商不容許bgp通告����,所以抗d服務要么是dns牽引�,要么就是向阿里云一樣防護云內(nèi)主機���。而美國和歐洲運營商是容許通告bgp的���,所以國外會有prolexic、blacklotus這樣的antiddos saas服務�,國內(nèi)沒有
Yinan21:19
我認為在國內(nèi)的話,阿里云的抗D是威力很大的
程艷冬 21:20
原來這樣�。@K.P. 21
洪倍@AdMaster 21:20
優(yōu)先級是這樣的服務可用性>數(shù)據(jù)準確性
K.P. 2121:20
行業(yè)不一樣優(yōu)先級會不一樣吧
程艷冬 21:20
如何落地和實施?@洪倍@AdMaster
洪倍@AdMaster 21:20
數(shù)據(jù)安全是跨了兩層的
洪倍@AdMaster 21:21
系統(tǒng)環(huán)境要做隔離
洪倍@AdMaster 21:21
前端云化
洪倍@AdMaster 21:22
后端專用線路
Yinan21:22
@K.P. 21Yes, but upstream carriers in some cities/provinces will do black-hold BGP foryou, maybe, if you are a big customer (they blackhole the IP), but a lot ofneighbor provinces often won't do it.
Yinan21:22
@K.P. 21Generally BGP blackhole/announce not useful in China, as you say, as takes toomuch coordination and work among carriers.
K.P. 2121:23
用blackhole就算防護失敗了
Anytao21:23
aws的vpc會省很多力氣���,阿里云貌似還在beta階段
程艷冬 21:23
呃����,這個����,比較專業(yè),木有懂��。各位CTO���,能理解@洪倍@AdMaster 講的嗎����?我是不懂
張福-青藤云安全 21:24
真實的情況一般是社工獲取郵件后���,從郵件翻出vpn后就進內(nèi)網(wǎng)了�����,之后基本全淪陷
阿朱-京東技術學院 21:25
郵箱密碼是最常見的攻入口
程艷冬 21:25
@顧逸南-云絡科技你可以沿著��,你剛才講的方向���,繼續(xù)。初創(chuàng)和中小SAAS公司�����,還應該做些什么��?
程艷冬 21:26
恩�。明白@阿朱-京東技術學院。京東沒有做一些第三方的安全認證嗎�?例如CSA的,之類的���。
阿朱-京東技術學院 21:26
對了�����,剛才有人提到數(shù)據(jù)庫隔離模型�,我認同一個客戶一個數(shù)據(jù)庫
程艷冬 21:27
這方面。@洪倍@AdMaster 也是建議這樣�。
劉生權 21:27
SaaS推薦采用雙因子驗證模式來增強對用戶密碼的保護
程艷冬 21:27
@阿朱-京東技術學院你能具體講講,為什么嗎���?
Yinan21:27
初創(chuàng)公司需要做好訪問安全��,在沒有過多預算的情況下���,如何從管理入手
阿朱-京東技術學院 21:27
@程艷冬@美洽創(chuàng)始人都有安全認證,也有安全測試安全運維團隊���、也有烏云白帽子聯(lián)盟
張福-青藤云安全 21:27
從管理入手是正確的
Yinan21:27
比如�,有沒有日志記錄所有的操作
Yinan21:27
并且����,進行訪問控制
張福-青藤云安全 21:28
安全歸根到底是管理問題
程艷冬 21:28
雙因子驗證,知道了��。
劉生權 21:28
需要從應用框架層面就要考慮安全審計,對所有請求進行鑒權
阿朱-京東技術學院 21:28
@顧逸南-云絡科技日志與訪問控制是最起碼的
Yinan21:28
另外��,運行安全-需要全方位的24x7x365網(wǎng)絡和安全服務器
對服務器管理進行特定時間和個人限制/安全的密碼管理/
/加密的密碼訪問登錄/
所有員工的電腦都經(jīng)過特別的安全設置和鎖定
程艷冬 21:29
@劉生權的干貨來了�����。
阿朱-京東技術學院 21:29
安全�����,就是個千里之堤潰于蟻穴�。堤得修�,但..嘿嘿
程艷冬 21:29
@阿朱-京東技術學院你繼續(xù)講講,為啥認同每個客戶一個數(shù)據(jù)庫�����?
程艷冬 21:29
這種在實踐中非常少�。
劉生權 21:30
不要期望所有的工程師都有安全開發(fā)的意識,要做到����,安全從基礎架構(gòu)做起,然后要有安全攻防實驗室���,對產(chǎn)品重大升級前要做安全掃描���。要有安全組件簡化工程師開發(fā)安全的程序��。
阿朱-京東技術學院 21:30
@程艷冬@美洽創(chuàng)始人為性能�、安全�����、代碼簡易��、運維����,都方便
劉生權 21:30
安全,不是一種狀態(tài)����,而是一個持續(xù)優(yōu)化的過程
Yinan21:30
接下來,還要注意系統(tǒng)安全了-
操作系統(tǒng)加固配置
指定IP的管理員訪問
使用安全的LDAP來認證所有訪問
對所有訪問使用安全的SSH服務器
對所有的訪問使用中央登錄以及審計
專家配置的VPN和防火墻阻擋未經(jīng)認證的訪問
阿朱-京東技術學院 21:31
安全���,就是個攻防持久戰(zhàn)
張福-青藤云安全 21:31
@顧逸南-云絡科技?[強]
程艷冬 21:31
@劉生權你們的數(shù)據(jù)庫����,是每個企業(yè)一個數(shù)據(jù)庫嗎?還是一個數(shù)據(jù)庫���,分表���。
程艷冬 21:31
@顧逸南-云絡科技這些就是一個好的應用安全的系統(tǒng)設計����?可以這么理解不?
Yinan21:32
是的
程艷冬 21:32
@阿朱-京東技術學院那為啥大家都不這么做呢�?為啥大家都是一個數(shù)據(jù)庫,分表呢�����?是出于成本考慮����?
張福-青藤云安全 21:32
@顧逸南-云絡科技提過的東西我們都產(chǎn)品化了
Yinan21:32
一定要計劃,一定要有風險意識���,當然很多細節(jié)就是運維的經(jīng)驗積累了
阿朱-京東技術學院 21:32
@程艷冬@美洽創(chuàng)始人這有啥成本�����?都是mysql
LarryX肖凱 21:33
弄多個庫管理麻煩��,也不利于數(shù)據(jù)統(tǒng)計
阿朱-京東技術學院 21:33
遷移����、分流都好
程艷冬 21:33
那我就不明白,為啥大家都不這么做��。
張福-青藤云安全 21:33
@顧逸南-云絡科技說的挺到位的��,其實運維做到較高水平后一般安全也會做的比較好
劉生權 21:33
安全是由很多緯度組成的����,開發(fā),運維�,管理,產(chǎn)品��,那一個環(huán)節(jié)都不能少
Yinan21:33
是啊���,要寫安全的代碼?�。�����?�!
張福-青藤云安全 21:33
@劉生權說的很對�,確實是這樣,系統(tǒng)工程
阿朱-京東技術學院 21:34
@肖凱·駐云多個庫管理有啥麻煩的�,運維自動化啊
程艷冬 21:34
@肖凱·駐云 ADMASTER是做數(shù)據(jù)統(tǒng)計的。其實���,多個庫也沒有問題�。
劉生權 21:34
所以CSA-Star是以ISO27001為基礎的
張福-青藤云安全 21:34
安全最難之處在于知易行難
程艷冬 21:34
@顧逸南-云絡科技你認為是分庫好���?還是一個庫分表好?
洪倍@AdMaster 21:34
我們內(nèi)部產(chǎn)品需求評審就有安全層面的評估
洪倍@AdMaster 21:35
的確安全意識很重要
張福-青藤云安全 21:35
iso27001只是最基本的要求���,和實際上安不安全還是2碼事情
LarryX肖凱 21:35
做saas的���,每個用戶一個庫你試試
劉生權 21:35
為之則難者亦易矣
程艷冬 21:35
@洪倍@AdMaster 你們技術團隊就接近200人了。自然有資源�����。[流淚]
阿朱-京東技術學院 21:35
@洪倍@AdMaster?我們是把功能需求和非功能需求分開,一個是產(chǎn)品經(jīng)理管����,一個是架構(gòu)師管
LarryX肖凱 21:35
企業(yè)內(nèi)部多個業(yè)務分庫分表都還ok,也就幾十個庫
洪倍@AdMaster 21:35
特別是常見的已驗漏洞�,開發(fā)工程師自己就可以搞定
LarryX肖凱 21:35
saas的,上萬個用戶�,弄上萬個庫?
Yinan21:36
Generalpractice is all combined and separate by customer ID/key, but you can use MySQLDBs per customer up to 10,000+ customers though it's not a great way
Yinan21:36
Separatetables can also be used, but obviously only if there are a few tables percustomer.
Yinan21:36
Butwhat are the goals ? For security, none of this matters as the code and appscan access it all, so the design should be best for the system overall stabiltyand perfomrance and focus on security at the app layer.
LarryX肖凱 21:36
這個東西到了一定量級管理非常麻煩�,數(shù)據(jù)統(tǒng)計也非常麻煩
洪倍@AdMaster 21:36
對的,我們有一個四面體管理結(jié)構(gòu)�,產(chǎn)品架構(gòu)研發(fā)項目
張福-青藤云安全 21:36
一家企業(yè)即便什么漏洞都沒有,也可以被黑掉
劉生權 21:36
一個用戶一個數(shù)據(jù)庫就更安全了嗎����?
Yinan21:36
我復制黏貼CTO的回答[Chuckle]
阿朱-京東技術學院 21:37
@肖凱·駐云上萬個數(shù)據(jù)庫很正常啊,哪個大互聯(lián)網(wǎng)企業(yè)不管理十幾萬臺服務器的
程艷冬 21:37
恩�。明白。感覺是一個客戶��,一個數(shù)據(jù)庫�,在數(shù)據(jù)隔離上,可以做的更好���。
Yinan21:37
所以�����,答案就是沒有一個方案是對安全絕對有效的
劉生權 21:37
只有心理上的作用罷了
K.P. 2121:37
一個客戶一個數(shù)據(jù)庫對安全有幫助嗎���?
Yinan21:37
就是
張福-青藤云安全 21:38
對安全來說外部信息非常重要
Yinan21:38
@K.P. 21沒有
劉生權 21:38
一個用戶一個數(shù)據(jù)庫�,最容易做成偽SaaS
程艷冬 21:38
@劉生權你們北森����,能過SOC2認證不?
張福-青藤云安全 21:38
很多東西知道和不知道本身就是天壤之別
K.P. 2121:39
而且管理麻煩�����,反而不安全
阿朱-京東技術學院 21:39
@張福-青藤云安全白帽子聯(lián)盟是必須的�。其實攻防之間都差不多認識���。江湖新出道傻小子吃仙丹的還比較少見
Yinan21:39
哎,我們CTO找到了以下關于AWS上做DDOS的內(nèi)容:Page 50 of here is about AWSDDoS: https://s3.amazonaws.com/awsmedia/AWS_Security_Best_Practices.pdf
程艷冬 21:39
國內(nèi)���,SAAS公司���,安全做的最好的是哪家�?
洪倍@AdMaster 21:39
如果性能瓶頸導致的服務不可用算作大安全范疇����,那分客戶分庫就對安全有幫助
Yinan21:40
50頁的英文,大家晚上睡不著就看哈[Chuckle]
洪倍@AdMaster 21:40
我覺得企業(yè)關注的是大安全��,而不僅僅是攻防
Yinan21:40
SaaS關注數(shù)據(jù)安全
阿朱-京東技術學院 21:40
@洪倍@AdMaster?不講神馬大安全�����,系統(tǒng)可用性�、系統(tǒng)性能���,咱們?nèi)蘸髥沃v
Yinan21:41
@黃曉凌你們關注哪些安全問題呢���?
黃曉凌 21:41
@顧逸南-云絡科技數(shù)據(jù)安全
程艷冬 21:41
恩����。接下來����,我想這樣����,第一@顧逸南-云絡科技 @張福-青藤云安全 @陳奮@安全狗 @江金濤(冷焰)@Sobug 你們做安全的����,可以跟大家講講,你們能做什么����?大家不太懂。
Yinan21:42
[Shy]我們是安全代維�����,就是從運維層面做好安全
程艷冬 21:43
另外�����,我們已經(jīng)熱烈討論了一小時�。接下來����,大家可以場所語言���,我作為一個技術白癡,就不主導了���。@顧逸南-云絡科技可以接下來引領一下大家的討論。因為本身今晚他們有一個跟投資人的會��,都推掉了���,來參與討論�����,還請他們CTO參與�。所以�,比我更專業(yè)。
Yinan21:43
數(shù)據(jù)安全分幾個層面來做:
用戶數(shù)據(jù)安全計劃
強大的用戶認證和登錄
硬盤加密和重起過程(可用的)
備份加密并會儲存于高級別的安全服務器中數(shù)據(jù)清除/銷毀過程
安全缺口通報
程艷冬 21:43
@顧逸南-云絡科技比如我們公司��,美洽��,怎么用你們�����?多少錢?異地管理����,是否麻煩,怎么溝通����?
江金濤(冷焰)@Sobug 21:43
[害羞],我們是安全檢測�����,就是從發(fā)現(xiàn)層面上盡快解決問題���,給內(nèi)部體系建設贏得空窗期
程艷冬 21:43
相當于你給我提供兩個安全的運維人員�?
Yinan21:44
我們不是按照人頭來算的�����,按照服務器臺數(shù)按月來計費
張福-青藤云安全 21:44
我們專注于服務互聯(lián)網(wǎng)企業(yè)���,為企業(yè)提供一整套業(yè)務安全體系��,以及構(gòu)成體系所必須的產(chǎn)品和服務���,以云的方式
程艷冬 21:45
對,sobug容易理解��,就是給大家提供眾測��,跟烏云的區(qū)別是��,烏云會公布企業(yè)漏洞����。SOBUG更站在企業(yè)角度,可以不公布漏洞�����,私下解決�。這是我的理解。
Yinan21:45
從應用之下開始哈�����,比如幫助客戶怎么用好云���,因為公共云上有不少安全的防護措施�����,很多人不會用
程艷冬 21:45
@張福-青藤云安全簡單說���,你們有個大checklist��,通過探針����,自動監(jiān)測�����。是這樣吧��。產(chǎn)品啥時候上線�?
劉生權 21:46
希望大家多分享多交流,是否可以和烏云組織合作一下�,建立一個機制,一起來提升各家系統(tǒng)的安全性��。因為大家都是云計算生態(tài)環(huán)境里面的����,每一家出事�����,都是對生態(tài)環(huán)境的傷害!對客戶信心的打擊
Yinan21:46
臺數(shù)不一樣�����,單價不一樣
LarryX肖凱 21:46
把烏云拉進來唄
程艷冬 21:46
哦�����。我們做SAAS的�����,價格都是公開的�����。http://meiqia.com/prices
陳奮@安全狗 21:46
我是做功防出身的�����,從黑客角度沒有功不破的系統(tǒng)。如果公司沒有專門的安全團隊���,是做不好安全(依賴運維做好安全不太現(xiàn)實�����,懂安全的運維太少)����。國內(nèi)目前大的互聯(lián)網(wǎng)公司都有自己專門的安全團隊����。做為初創(chuàng)企業(yè)、中小企業(yè)除了做好一些必要的安全措施還是找合適自己預算第三方專業(yè)安全公司���。
程艷冬 21:47
@顧逸南-云絡科技你們不是特別公開哈�。
Yinan21:47
我們是PAAS平臺
Yinan21:47
跟SaaS還不完全一樣哎
劉生權 21:47
周五我和CSA亞太區(qū)有個會議��,被他們拉為北京區(qū)域的理事了�����?�?茨芊窠M織一下相關的分享。
程艷冬 21:48
@劉生權威武�!
david21:48
我們做身份管理的,主要從業(yè)務安全角度講�����,用戶賬號分為普通用戶賬號和特權賬號��。普通用戶賬號采用專有的軟件集中管理�����,密碼單向加密�,避免密碼泄漏�。而特權賬號管理也可以采用對應的軟件,把一切訪問數(shù)據(jù)庫����,操作系統(tǒng)之類的賬號全部屏蔽與用戶,即用戶看不到最終訪問的帳號和密碼��。同時所有的訪問����,包括普通用戶的訪問���,特權帳號的訪問全部可以被記錄,并且可以對應到真實人����,以便事后審計。而認證可以根據(jù)用戶訪問的資源不同提供不同的密級���,密級越高的資源提供越安全的認證策略���,比如證書認證,動態(tài)口令認證�,多因子認證等。當然�,還有很多其他帳號、認證方面可以談的���,比如SoD���,定期審視等
Yinan21:48
安全工具越來越多
Yinan21:49
但是還是需要專家來幫助客戶選擇
程艷冬 21:49
@陳奮@安全狗我今天訪問網(wǎng)宿科技的網(wǎng)站,然后說我訪問頻率很高�,被系統(tǒng)拉黑,然后就看到安全狗的一個廣告��。
程艷冬 21:49
網(wǎng)宿科技是你們安全狗的客戶?
劉生權 21:49
david���,最好的身份管理是用戶自己管理身份��,做Identity as a Service
Yinan21:49
要注重細節(jié)�,更要專家?guī)椭?/p>
張福-青藤云安全 21:49
我們的產(chǎn)品設計出來就是為了抵御最高等級的黑客攻擊的,為了做到這一點����,我們的體系包含如下部分:1明確檢測并顯示當前存在的安全問題,2.基于行為和關系白名單模型的異常監(jiān)測機制�����,3.24小時的實時人工監(jiān)控中心��,4.一整套易于部署和管理的模塊化的軟件安全產(chǎn)品
劉生權 21:50
類似OneLogin 和Ping Identity
劉生權 21:50
可惜國內(nèi)沒有這樣的服務
程艷冬 21:52
@顧逸南-云絡科技你可以繼續(xù)哈�。剛才比較嘈雜���,好多人來不及提問和參與��。你可以繼續(xù)引領大家討論一些你們實際過程中的問題��。
Yinan21:54
哈哈�,我就是覺得創(chuàng)業(yè)的SaaS公司,在預算不多的情況下�����,可以從管理入手����,怎么做好安全運維,怎么用好云�����;當有了一定錢的時候��,考慮使用各種工具
LarryX肖凱 21:55
烏云的老大來了[呲牙]
陳奮@安全狗 21:55
也打個廣告����。我們安全狗也是純軟件的安全解決方案,做了幾個事情1)我們在國內(nèi)主流的云計算平臺上都有我們專門加固過的安全鏡像���。省去大家做安全基線�。2)我們的安全軟件和安全云平臺��,解決大家系統(tǒng)和應用運行中遇到的黑客入侵行為防護,并實時監(jiān)控預警�����。3)我們專業(yè)的安全團隊提供應急處理�。我們有免費也有收費的。目前已經(jīng)保護超過百萬臺服務器和網(wǎng)站(國內(nèi)市場占有率最大)����,近期剛完成B輪(還未披露)。大家用云服務器����,都可以用我們的服務
劉生權 21:55
哪位?抱抱大腿�,呵呵
LarryX肖凱 21:55
安全專家來了 @洗洗睡了是烏云老大
阿朱-京東技術學院 21:55
@肖凱·駐云好牛
程艷冬 21:56
@洗洗睡了這個群是中國最大的,企業(yè)級服務的創(chuàng)始人群�����,各個公司只能有一個創(chuàng)始人留在群里����。這個群里�,目前已經(jīng)獲得融資36億人民幣了。
程艷冬 21:56
今天我們討論的是SAAS公司的安全問題����。
Yinan21:57
但是����,所有的工具����,所有的云計算知識的學習是有一定時間成本的,需要專家來幫助和建議���。我做公司的理念是不管客戶是創(chuàng)業(yè)公司�,還是對安全有更多訴求�,有一定資本的公司,都需要給到對方靠譜的解決方案���,然后伴隨他們成長�����,不同的階段����,推薦不同的服務。
劉生權 21:57
希望大家多分享多交流����,是否可以和烏云組織合作一下,建立一個機制����,一起來提升各家系統(tǒng)的安全性。因為大家都是云計算生態(tài)環(huán)境里面的���,每一家出事�,都是對生態(tài)環(huán)境的傷害�!對客戶信心的打擊
劉生權 21:58
請烏云老大考慮一下,一起幫助大家加強安全���,謝謝
程艷冬 21:58
恩���。感覺@顧逸南-云絡科技是賣服務的。@陳奮@安全狗是賣軟件�����,監(jiān)控的�。
Yinan21:58
所以,安全的訴求根據(jù)客戶發(fā)展的階段不同�����,推薦的服務也不同�����,因為服務都是有成本的��。
Yinan21:59
我就是賣服務的呀
Yinan21:59
而且做最底層的活
Yinan21:59
運維可不那么容易啊
程艷冬 22:00
恩���。明白�����。要不�,各位做安全的老大再群里發(fā)個紅包吧����。每人發(fā)個1元的紅包。誰搶到了���。你們送他1萬元的服務�。然后接受了的,使用后�����,要寫一個使用報告���,分享給大家�。哈哈哈
Yinan22:00
要保證不宕機��,要保證安全����,要保證速度,還要控制成本
陳奮@安全狗 22:00
我是云安全SAAS服務���,服務器需要裝我們的安全軟件
陳奮@安全狗 22:00
要發(fā)紅包��,今天打了這么廣告[呲牙]
程艷冬 22:00
可以啊
程艷冬 22:01
這個是一萬元的產(chǎn)品體驗紅包哈
程艷冬 22:01
金額只需要1元就好
程艷冬 22:04
@顧逸南-云絡科技你們公司在AWS上���,還是阿里云上。
Yinan22:05
我們的客戶在很多云和IDC機房里面�����,不管你是在云上還是物理機房的
程艷冬 22:06
@顧逸南-云絡科技明白。剛才討論的過程中��,是否還有意猶未盡的�����?你們的老外CTO�,還有什么對大家的忠告嗎�?呵呵
LarryX肖凱 22:07
問問老外CTO,中國的安全環(huán)境和美國相比如何[偷笑]
LarryX肖凱 22:07
哪里更安全
Yinan22:07
這個不能分國家吧
Yinan22:07
還是分公司內(nèi)部的管理意識
LarryX肖凱 22:07
好奇���,大范圍的應該可以看看把
LarryX肖凱 22:08
比如美國saas明顯就比國內(nèi)saas火
阿朱-京東技術學院 22:08
互聯(lián)網(wǎng)安全怎么可能有國界之隔
Yinan22:08
他的回答是US
程艷冬 22:08
哈哈哈
Yinan22:08
更多技術���,更多協(xié)同
Yinan22:08
另外法律規(guī)范更多
Yinan22:09
這是他的個人回答哦,不代表我的看法����,我覺得國內(nèi)公司做的好的也有不少
LarryX肖凱 22:09
所以在中國,做好安全防護顯得更重要了[偷笑]
劉生權 22:09
美國的saas形成了一個生態(tài)�,互相之間是能集成的
LarryX肖凱 22:10
因為中國安全環(huán)境更差
程艷冬 22:10
好。本晚的崔牛會八點半就正式結(jié)束���。剩下的是自由交流時間���,我就先閃了����。我會整理一個文檔����,給沒有參加的同學查閱。
