運維安全是企業安全保障的基石,不同於Web安全、移動安全或者業務安全,運維安全環節出現問題往往會比較嚴重。就此,我們列了五個問題,讓我們一起來看看,這裡有你關心的嗎?
一問:SaaS服務或雲服務和傳統軟體產品在安全方面有哪些差異?
答:
主要體現在幾個方面,一個方面就是傳統軟體本身的安全性,也就是本身已經在一個內網之中,更多考慮的是對方會不會進入到我們的內網來,或者說進到內網以後,怎麼來防止像SQL注入等這種軟體架構上的事情。而SaaS或者雲服務,要把很多的精力放在傳統的內網服務,而不會去過多考慮用戶,因為用戶基本就是內部的人。
但是SaaS服務或者雲服務是不一樣的,比如前段時間出的這樣一件事情,就是有人問說阿里雲上怎麼不同的客戶互相之間,兩層的網絡之間居然不是隔離的呢?阿里雲說其實我們本來是應該做隔離的,但是由於不方便,就把它默認設置了,其實這就是雲服務很需要去關注的問題:雲平臺之上的隔離。當身處內網之中,用戶是不需要去考慮太多的,但是在做雲服務或者SaaS服務的時候,不同租戶之間的隔離卻變成非常重要的問題。
二問:在雲環境下,運維工作有哪些挑戰?您是如何應對的?
答:
雲環境下,我覺得運維的挑戰跟之前比,有一些可能不太一樣的地方。主要在於,以前傳統的地方從底層的機架、伺服器都會有人在管。但在雲環境下更多的是需要調用API,比如說調用API創建了一臺主機,調用API去生成了一個服務,可能給運維人員的一個感覺就是,我們的重要性是不是在下降?當初我們做的很多活現在就被機器代替了!
這其實是一個很有挑戰性的事情,這就是促進運維人員需要去面對現實,就是我們運維真正的目的,並不是管好伺服器就OK,這種工作其實不應該叫運維工程師,而是應該叫機房管理員。
三問:談談現在火熱的人工智慧(AI),運維會不會逐步被機器學習取代?
答:
我剛剛前面講雲的時候其實已經提到了一點,運維有一些工作是遲早要被機器代替的,但是另外一部分,可能是不太一樣的地方,除了一些標準的部署上線的工作之外,剩下的一部分工作,就是剛剛我們提到的保證服務可用性和提高服務性能,這裡保證可用性就涉及到一個很大的問題,就是故障定位,出了一個問題怎麼找到它,它的根源在哪兒?
這塊目前就我看到的情況,我們可以通過一些機器學習的算法,比如說監控了10000個機器指標,大概可能有二三十個跟報警的那個差不多,那下一步就要人去操作了,這也是機器學習很重要的一點:機器學習是不講因果性的,只講相關性。所以我們經常看到有人在講人工智慧的時候有一些笑話,今天下雨了,明天怎麼樣,這個其實是相關的,從這個曲線上來看,發生了A也發生了B,它其實是相關性,並不是因為A所以B,這一點在目前的運維工作上也是類似的道理,這個時候就需要運維人員通過經驗來彌補後面的這一段的。
四問:近幾年,運維領域有什麼重要進展?
答:
運維領域這些年的進展主要兩個方面。一個方面是在容器編排這塊,就是所謂的Docker,這幾年確實發展的很快,尤其包括在Docker之上,K8S,DCOS等,它大大方便了運維部署,降低了部署成本,所以部署這件事情,可能以後運維真的就不用做了。以前在虛擬化時代,其實因為虛擬化本身部署也挺辛苦的,但是現在Docker確實把成本降得很低。
另一個方面就是我們日誌易在做的事情 ,怎麼更快的提高數據對服務的可用性以及性能提高的這一部分,就是降低MTTR,或者降低MTTI,這一部分原先其實也是很靠經驗的。你可能工作了15年了,看見這個事情有經驗了,可能就會去猜,覺得是這個樣子,然後再去查去驗證,但是現在有一套數據分析的平臺來支撐的話,之後這種大概、可能、猜測嘗試的時間就會被大大的縮短,故障的時間就會隨之降低下來。因為運維本質其實是一個試錯的工作,你有100個思路,趕緊去試第一個,不對,趕緊放棄去試第二個,如果原先靠人的話,試100個大概就需要1個小時,但是現在有這樣一個統一的平臺,你試100個,可能也就需要5分鐘或者10分鐘,那問題就很快被解決了。
五問:對於一些中小客戶,在安全零基礎的情況下,您對安全建設有哪些建議?資源短缺、人力極少的情況下做好安全運維您有哪些高招?
答:
如果安全零基礎的話,就是卡好最容易被攻破的地方,比如簡單密碼或者一些基礎的埠,不要成為最短板。
如果資源短缺、人力也少的話,安全事大,還是有必要來投入錢或者資源,去採購一些服務或者工具,至少能夠保證最關鍵的東西。畢竟保證核心數據安全確實是需要去投入的,不管投入的是什麼,有資源投資源,有人投人,如果都沒有,那就投點錢吧!