0
| 本文作者: 郭佳 | 2017-12-31 16:47 |
“去學(xué)計(jì)算機(jī)?天天坐在電腦前,你以后除了去打印店打打字,還能干啥!?”
在衛(wèi)生系統(tǒng)工作了大半輩子的老李,理所當(dāng)然的認(rèn)為自己的兒子就應(yīng)該當(dāng)醫(yī)生,即使不從事這行,也萬(wàn)萬(wàn)不能去干那打印店的營(yíng)生。
而當(dāng)年癡迷于計(jì)算機(jī)的李科,雖然打心底里不喜歡學(xué)醫(yī),但還是拗不過(guò)父親,乖乖讀了醫(yī)學(xué)院,畢業(yè)后進(jìn)了醫(yī)院工作,一切看起來(lái)順理成章。
那時(shí)的李科,絲毫看不出有日后能成為黑客的潛質(zhì)。
直到2000年,已經(jīng)工作了半年的他跟父親提出要辭職參加成人高考,學(xué)自己一直感興趣的計(jì)算機(jī)專業(yè)。這可把老李氣夠嗆,所以出現(xiàn)了文章開(kāi)頭的那句話。這并非是老李“思想落后”,而是在20年前,絕大多數(shù)中國(guó)人未曾接觸過(guò)網(wǎng)絡(luò),計(jì)算機(jī)在那時(shí)的主要功能就是打字。
不過(guò),當(dāng)離開(kāi)安逸環(huán)境的的李科,如愿以償?shù)膶W(xué)了自己夢(mèng)寐以求的計(jì)算機(jī)專業(yè)時(shí),他發(fā)現(xiàn)父親氣頭上的那句話也并非全無(wú)道理,學(xué)校教的都是一些類似 Word 怎么用,內(nèi)存 CPU 主機(jī)是什么的內(nèi)容,學(xué)這些東西,還真就像是在為打印店培養(yǎng)員工。
多年后,當(dāng)李科再向我提起這段往事時(shí),他早已成為深諳各種黑客技術(shù)的“老司機(jī)”,而且還創(chuàng)辦了一家名為“觀數(shù)科技”的網(wǎng)絡(luò)安全公司,主攻大數(shù)據(jù)安全。
但當(dāng)他聊起現(xiàn)在正在做的事情,我依然可以感受到,他還是當(dāng)年那個(gè)不走尋常路的人,倔強(qiáng)的做著非主流的事情。
口述|李科 文|郭佳
我做了 10 多年安全了,有個(gè)很大的感觸,就是現(xiàn)在各行各業(yè)都在關(guān)注大數(shù)據(jù)的東西,創(chuàng)業(yè)公司也很多,我們之前甚至還做過(guò)金融征信方面的大數(shù)據(jù)業(yè)務(wù),但我發(fā)現(xiàn)國(guó)內(nèi)很少有人提大數(shù)據(jù)的安全是其發(fā)展的保障。
比如眾多公司都會(huì)用到的,對(duì)大數(shù)據(jù)進(jìn)行分布式處理的軟件框架 Hadoop ,它在這個(gè)領(lǐng)域應(yīng)該相當(dāng)于 Windows 在操作系統(tǒng)中的江湖地位,但國(guó)內(nèi)對(duì)它的安全性缺乏關(guān)注,為什么?
他們只看到通過(guò)大數(shù)據(jù)分析所能帶來(lái)的巨大意義,但是目前還沒(méi)有深刻意識(shí)到在數(shù)據(jù)處理過(guò)程中的安全同樣重要!我們之前可能聽(tīng) BAT 這邊對(duì)數(shù)據(jù)安全強(qiáng)調(diào)的多一些,他們會(huì)請(qǐng)專門的人做這塊的安全,但對(duì)于很多其他的企業(yè),他們同樣需要這樣的服務(wù)。
其實(shí)我們和BAT這些安全人員的目標(biāo)一樣,就是讓所有的數(shù)據(jù)不能輕易被訪問(wèn),訪問(wèn)的時(shí)候都要有記錄,只不過(guò)我們做的東西是通用的,要給各行各業(yè)做服務(wù)。
為什么現(xiàn)在電信詐騙特別多,其中一個(gè)很重要的環(huán)節(jié)就是數(shù)據(jù)泄露。電信行業(yè)部門很多,而且各個(gè)部門負(fù)責(zé)的工作不一樣,跨部門的數(shù)據(jù)調(diào)用非常頻繁。比方營(yíng)銷部門、收費(fèi)部門、用戶行為分析部門等,都會(huì)互相之間調(diào)數(shù)據(jù),那最后數(shù)據(jù)到底是誰(shuí)泄漏的,說(shuō)不清楚。觀數(shù)現(xiàn)在要做的事情就是通過(guò)安全防護(hù)手段來(lái)避免類似事情的發(fā)生。
既然數(shù)據(jù)使用過(guò)程中是有合規(guī)性的需求的,就需要對(duì)整套大數(shù)據(jù)系統(tǒng)進(jìn)行 4A 統(tǒng)一安全管理(認(rèn)證、賬戶、授權(quán)、審計(jì))。我們需要在隔離區(qū)和公共區(qū)建設(shè)一個(gè)橋梁,相關(guān)使用者必須通過(guò)身份驗(yàn)證后才能使用其中的數(shù)據(jù)進(jìn)行分析,我們要為有可能使用到數(shù)據(jù)的每個(gè)用戶配置相應(yīng)的權(quán)限,而且要做到數(shù)據(jù)使用記錄的可溯源。
就像安卓一樣,它做得真有多好嗎?不見(jiàn)得,大家都會(huì)吐槽它的安全,但還是離不開(kāi)它。
雖然目前 Hadoop 的生態(tài)建得非常完善,已經(jīng)積累了大量的應(yīng)用,作為一個(gè)核心的底層框架已經(jīng)得到大家的認(rèn)可,但從它設(shè)計(jì)之初就沒(méi)有過(guò)多的考慮安全,即使現(xiàn)在有一個(gè)新技術(shù)比他效率更高,安全性更好,也很難被淘汰。
由于國(guó)外的大數(shù)據(jù)產(chǎn)業(yè)發(fā)展更完善,所以針對(duì) Hadoop 框架的安全廠商也相繼出現(xiàn)了,像 BlueTalon、Zettaset 等,BlueTalon 也在 06 年的 8 月也拿到了 1600萬(wàn)美金的A輪融資,這說(shuō)明我們做的這個(gè)模式在國(guó)外被證明是有市場(chǎng)的,但在國(guó)內(nèi)基本是空白的。
我們?cè)瓉?lái)做了十多年的主機(jī)加固,知道在什么系統(tǒng)里面面臨怎樣的風(fēng)險(xiǎn),該怎么去保護(hù),這些理念和技術(shù)是可以嘗試在數(shù)據(jù)分布式上落地的。
目前,各個(gè)廠商還處于“試鞋”的階段,大家原來(lái)都不穿鞋,我現(xiàn)在要把鞋賣給他們,其實(shí)挺難的,很多人會(huì)問(wèn),你為什么要做一個(gè)大家都聽(tīng)不懂的東西?
走這條路,其實(shí)挺孤獨(dú)。
我當(dāng)年入安全這個(gè)行當(dāng),得到過(guò)很多人的幫助。
當(dāng)年我只是一個(gè)對(duì)計(jì)算機(jī)很感興趣的醫(yī)生,2000 左右開(kāi)始出現(xiàn)那種網(wǎng)上的聊天室,我一個(gè)土生土長(zhǎng)的湖南人第一次通過(guò)網(wǎng)絡(luò)跟北上廣的朋友聊上了天,先開(kāi)始新鮮,見(jiàn)著人就聊,后來(lái)慢慢開(kāi)始找到了志同道合的網(wǎng)友。
那時(shí)候有個(gè)叫“黑客技術(shù)”的聊天室,它跟現(xiàn)在的QQ群還不一樣,你白天在聊天室聊,晚上大家睡覺(jué)就自動(dòng)解散了,從此這個(gè)聊天室就消失了。但黑客技術(shù)不一樣,它有固定的名稱,永遠(yuǎn)有人在建這個(gè)聊天室,而且里面基本上都是同一撥人,里面就討論技術(shù),不明白的地方可以請(qǐng)教。
我系統(tǒng)學(xué)安全知識(shí)最多的地方還是在網(wǎng)上的論壇、社區(qū),那時(shí)候大家學(xué)到些什么,都會(huì)在論壇上寫文章分享,我那時(shí)也寫了好些文章,先開(kāi)始請(qǐng)教別人,后來(lái)也會(huì)回答別人的問(wèn)題,那時(shí)候大家真的都特別單純,討論的都是技術(shù),發(fā)現(xiàn)漏洞后也會(huì)想方設(shè)法的聯(lián)系廠家。
做安全所需要的東西很雜,要不斷的學(xué)習(xí),因?yàn)樗刑嗟膽?yīng)用場(chǎng)景了,憑一己之力遠(yuǎn)遠(yuǎn)不夠。
做針對(duì) Hadoop 框架的安全開(kāi)源項(xiàng)目,也是同樣的道理,隨著應(yīng)用越來(lái)越多,單憑自己一家公司是不夠的。
當(dāng)每一天都有更多的數(shù)據(jù)、用戶和應(yīng)用在加入Hadoop 時(shí),這對(duì)整個(gè)數(shù)據(jù)驅(qū)動(dòng)的組織來(lái)說(shuō)是有好處的,但對(duì)安全人員來(lái)說(shuō),如何保護(hù)用戶的數(shù)據(jù)訪問(wèn)安全是個(gè)大問(wèn)題,很多對(duì)安全要求比較高的企業(yè)就要二選一,要么犧牲掉數(shù)據(jù)的安全性,要么將數(shù)據(jù)訪問(wèn)者拒之門外。
觀數(shù)想搞的這個(gè)開(kāi)源項(xiàng)目,就是想對(duì)正確的用戶和應(yīng)用程序提供精確的訪問(wèn)級(jí)別,在保證安全的同時(shí)不影響對(duì)數(shù)據(jù)處理方面的應(yīng)用。
如何實(shí)現(xiàn)?我們現(xiàn)在可以提供統(tǒng)一的賬號(hào)管理、基于密碼的身份認(rèn)證、支持RBAC(基于角色的權(quán)限)的訪問(wèn)控制、日志審計(jì)可視化、覆蓋大部分大數(shù)據(jù)組件的 UI 代理和 REST API (滿足約束條件和原則的應(yīng)用程序設(shè)計(jì)代理)、支持三權(quán)分立、支持 HDFS、Hive、Hbase 等組件,預(yù)支持的組件有 ES、Kafka、Storm、Spark。
這些基礎(chǔ)的安全防護(hù)功能,足以打消部分企業(yè)在籌建 Hadoop 大數(shù)據(jù)平臺(tái)的一些顧慮,也能幫助一些已經(jīng)建成的 Hadoop 大數(shù)據(jù)平臺(tái)提高安全防護(hù)能力。
這也是我們名為“螭吻”的開(kāi)源項(xiàng)目,觀數(shù)就是想用修建集市的方法,造出一所大教堂。
創(chuàng)業(yè)之路并不容易,我也會(huì)遇到缺錢的情況,而且三天兩頭會(huì)有人找來(lái),給錢讓你搞個(gè)站,破個(gè)郵箱什么的,有人也會(huì)經(jīng)受不住誘惑,但這條路肯定不能走。
即使是做安全,我們也選了一條不那么容易的路。
圈內(nèi)不少人問(wèn)過(guò)我,國(guó)際上已經(jīng)有開(kāi)源的大數(shù)據(jù)安全項(xiàng)目,為什么不拿來(lái)修改,而要自己重新做?
我覺(jué)得信息安全本就是一個(gè)對(duì)自主可控要求非常高的領(lǐng)域,就像是我們?cè)诨ù罅庾鲎约旱男酒筒僮飨到y(tǒng),大數(shù)據(jù)安全領(lǐng)域也應(yīng)該有國(guó)產(chǎn)自主可控的產(chǎn)品,特別是黨政軍等保密性要求很高的領(lǐng)域,這樣,至少能讓國(guó)人多一個(gè)選擇。
國(guó)內(nèi)的大數(shù)據(jù)方案提供商在搭建基礎(chǔ)架構(gòu)的時(shí)候,針對(duì)安全需求多數(shù)采取使用國(guó)外 Apache 開(kāi)源項(xiàng)目,如:Sentry、Ranger、Knox、Kerberos等,國(guó)內(nèi)在此領(lǐng)域相對(duì)處于空白,這些優(yōu)秀的項(xiàng)目當(dāng)中沒(méi)有一個(gè)來(lái)自于中國(guó)。從另一方面看,目前開(kāi)源組件解決的基本是“點(diǎn)”的問(wèn)題,很難全面的發(fā)揮協(xié)同作用,這樣其實(shí)并不能真正形成有效的方案。
做安全,只是做好自己的產(chǎn)品有時(shí)是不夠的,做的再好,也不會(huì)用你的,因?yàn)檐浖粔颍苓厸](méi)有其他的協(xié)同效應(yīng),生態(tài)差。但是當(dāng)做好一個(gè)產(chǎn)業(yè)的培育時(shí),周邊就會(huì)滋生出很多其他的企業(yè)來(lái)圍繞這個(gè)框架做工作。這,才是我所想要的教堂。
重要的事情說(shuō)三遍,此為雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。
