文 | 技术王大拿
最近某SaaS软件服务商被员工删数据库的事件刷屏了。 与疫情一样, 许多从业人士都开始反思自身的“安全与运维体系”建设问题。因为友商这次爆雷本质上是内部运维管理问题。一将功成万骨枯,运维都是踩着服务器尸体成长起来的,谁敢说自己从未手滑过,但大部分可能是无心之过。友商此次不同在于是员工有意为之,而且是核心运维人员快速出手在各个关键点施加破坏。 那么行业此时最应该思考的就是,如果你们的企业遇到这种问题,应该如何解决? 要想解决,笔者认为需从“和与分”两方面入手:
- 合, 是合并风险,用体系化的运维与监控方法将风险点合拢, 把本来20个风险, 合并之后就只有5个关键点, 控制5个要比控制20个容易的多, 比如堡垒机或者各种SSO都是这个思路。Kubernetes也能提供这方面的价值。
- 分, 首先是架构上分散,异地双活成本嫌高,那做异地备份总可以。
- 分, 还有分权,让程序员和运维人员权限分离,这也是对员工的保护,避嫌,避免成为嫌疑人,毕竟做电商项目,离钱太近,在结构上保障自己的安全。
运维本身也要分组,备份资产逻辑上要做分离,从水平和垂直两个维度拆, 水平就就是工艺流程,垂直就是业务领域。 针对数据外泄的情况: 比如用户的密码加Salt, Salt除了在数据库行记录外,配置信息里还有全局Salt。 这样即使拥有超越这个时代的计算能力, 也能保证单独拿到数据库或者代码也没什么用。
如果要有更严苛的加密方式, 就要引入多人制衡的方法。比如我们做了一个数字供应链项目,价值上亿的数字商品以token的方式存在数据库里。 为了安全,我们做了一个单独的存储服务,负责加解密的密钥由两名同学保管,在服务启动时候由两位同学各自输入自己的那份。 非常有仪式感, 也的确有效。启动之后密钥仅存在内存中,再没有其他任何痕迹。
我们还做了个钉钉机器人 这些实践很琐碎,做安全的思维方式和做前端开发有点像, 要一点跳跃性, 对现有知识的灵活组织能力极为重要, 而且跨技术和管理。 有个系统化的办法就是老老实实把27018拿下来, 认认真真思考审核老师的每个问题,真的把拿证的过程看作一次对组织与技术安全性的梳理。 相对于27001, 27018更侧重考察云平台对客户数据的保障机制。本司不卖证, 只是拿证之后忍不住要得瑟一下。
BSI的审核过程会逼迫你对自身的安全管理体系进行反思, 一个靠谱的组织此时应该把审核老师当作帮助自身提升的队友, 而非监考的老师。
这个拿证的过程, 其本身的严肃性也算是给整个组织上了一堂课,毕竟不是所有人都自带强烈的安全意识。
每年经手几千亿订单流水数据,且还是跨平台的全域数据,“怀璧其罪”, 不得不小心翼翼。
【喜讯】
信息安全新高度,成就客户新利器
商派软件喜获BSI机构ISO27001&27018认证2月19日,商派在“提供电子商务平台开发和运维服务 ”领域/范围,同时获得了英国标准协会(BSI)旗下英标管理体系认证(北京)有限公司的信息安全管理体系认证(ISO27001)和公有云个人信息保护管理体系(ISO27018)认证;中国国家认证认可监督管理委员会官方网站可以查询到相关的认证信息。商派成为同时通过ISO27001&27018认证的互联网商业软件服务商,这足以表明商派的信息安全管理水平以及产品质量都已经达到了国际领先水平。
