话题1:各位大佬,咨询一个问题,容器网络的地址空间,和idc普通网络地址空间怎么互通呢?
A1:容器访问idc是正常访问。idc访问容器,容器要暴露端口,而且访问的是容器宿主机的ip。如果是k8s,做个ingress,会更简单些。
Q:就是想了解一下最佳实践,方便内部管理。容器分测试和生产吗?如果分的话,是在同一套容器平台上做?还是分两套容器平台?
A3:分。环境治理和用什么底层技术无关,无论物理机、cvm还是pod。
A4:容器分不同的集群,集群里面可能会划分不同的命名空间。
A5:把传统应用稍微改一下,打包成容器运行,如果是这种lift and shift,其实没太大必要,而且更容易出问题。如果是要算力,要云服务,要服务治理,或架构升级,可以考虑。
个人经历的教训是,太早赶时髦,简单粗糙,动作变形,容易形成技术上的文明锁死,负债累累以后要走出来比全新开始的更难。
某大厂顾问给我们的金句:1云下(传统) -----> 2上云 -----> 3云原生,三个阶段来看:
2阶段其实是一个中间态的了,一大部分的工作还是在云下,同时这个阶段在技术形态上是一个大杂烩
3阶段是完整依赖于云的整体能力,以云作为核心的底座,应用在in cloud的阶段,开发人员关注点上就是在业务的了,因为自下而上的三大层都是标准并且基于声明的维度来走的了。
我相信有一些单位会热衷把三阶段做到二阶段。就是fork 个社区项目,魔改,放到阶段二的环境,形成技术环境锁定,逼着你用,帮大家成功降级。之后如果社区大版本升级了,那就尴尬了。不上不下的二阶段,大家尽量不要长时间停留。
我的建议。没那能力和机遇,1可能比2好,别着急。想清楚了,分析透了,试点成功了,再出发,大家的目标是3,不要在2上投入和停留太多,因为很容易掉坑里。再说2的业务收益是什么?大多虚荣指标而已。
A6:迁不迁移,安全能有话语权吗?国内传统企业估计没几家在3的吧。而且不在2上蹦哒时间久一点,怎么能积累经验教训……
A7:某大厂云的顾问都是很水的,所谓金句基本可以忽略了。哪有什么传统,不传统,什么上云,云原生。这些定义都是各家自说自话。很多甲方,把虚拟机当上云了,而即使很多认为VMWARE虚拟机不是云的那些,认为搞华为,阿里,腾讯那些私有云,把虚拟机迁移上去,就叫上云了,但是虚拟机的迁移使用就叫上云了吗?
然后云原生的定义,什么叫云原生,CNCF的定义DEVOPS,微服务,容器,还有的说法是加上DDD。"看上去,传统就是old style了,过时和不fashion。
光说云原生,腾讯和华为自己的全家桶,都不全,阿里算是相对全一点。但甲方需要走到这么远吗?大概率不需要,特别是我们金融业,都是强监管才是最大需求,技术先进性并不是。所以甲方对于这些技术,是基于自身需要去选择,然后再基于宣传和升职需求去加挂一个云的帽子。所以叫什么名字和你用啥,其实关系不大,重要的是你知道你自己需要啥,而你又能掌控啥。
不要这样看,这个世界已经不是原来那样了,技术发展太快,你钻研一个技术能通杀的可能性不大了,你下ORACLE的船容易下吗?你只是从A船下,换到B船而已。所以你的人生肯定面临上船,下船,再上船再下船,你只需要搞清楚你的目的地在哪就行了,换什么船不重要。
A8:这些是社区基本概念,是我们问顾问的,也不是他们发明的。lift and shift,相对是cloud navtive。
A9:看行业吧,银保监会对云非常谨慎。以前经历过一次尝试,搁置了。本来成熟的技术底座,被几个互联网小孩搞得四不像,最起码有成熟的售后服务体系。
A10:哪里有成熟的技术底座?成熟的售后服务体系是要很长时间去建立的。互联网是2C的,肯定烂
A11:还是有些成熟的特征的,服务器设备相对稳定,网络设备相对稳定,网络协议相对稳定,操作规范相对成熟,备份离职相对成熟,等等。
A12:现在很少人再讲这个了吧,服务器和网络设备都是根据云厂商的标准配置提供就好了,不存在互联网厂商的就不稳定,自己买给VMWARE的就稳定,协议都是清一色的VXLAN,OVERLAY这些,也相当标准和稳定。操作规范更成熟,都不让你登进去改参数的,如果改了,就违反他们的兼容性和最佳实践,很多操作也是CLICKOPS了,还不规范?备份离职不知道啥意思,不懂。还有现在云的底层,容器标准的很,每次拉镜像不会有意外不会有差异。
A13:之前,大家说技术服务于业务,技术不需要先进,优先满足业务需求,满足监管就可以了。 现在,数字化是业务的升级场景多,特别是实业的场景很实在,模式很给力,效益很明显。 反问,如果业务完成数字化转型了,技术本身能完成数字化转型了么?我们技术人员能全链条、全生命周期、层层下钻了解我们的技术系统和研发运营流程么?能覆盖多少技术栈的分析?我们甲方能BizDevOps了?技术真不要先进了?真的不需要云技术?打个比方,以前夫唱妇随,夫为妻纲,现在要追求亲家平等,双方联姻。如果还是从属心态,怎么做得好技术?更何谈业技融合。
A14:金融甲方IT就不要为自己加戏了,什么叫先进,先进是要和谁比,是看否和自己的业务场景的需要比,如果要光比技术先进性,金融业跟互联网比可以说全军覆没。我混了银行,混了券商,直白点说,银行比券商先进,可能有8年的差距,但券商赚钱差过先进技术的银行吗?而且券商最赚钱的部门就几乎是IT技术最差的部门。很多时候是IT自己为自己加戏,说IT引领,引领个鬼,离业务都还没搞懂业务场景的突破,IT人员懂?IT人员充其量是赋能业务人员使其具备一定的IT素质,让其做业务突破。
除了互联网银行,现在金融业大部分都只是处在上容器的阶段,SERVICEMESH有多少人用了,更别说WEB服务用LAMDA这种函数计算了,国外的,互联网公司大量使用,那我们要追先进,要用到哪个层面去。字节这些会去用GO语言,甚至去改编译器来优化性能。金融业要追求先进,是不是要废掉JAVA?基础设施,是不是不用IAC,就是废物。监管要求研发和运维分离,这是违背DEVOPS理念的,那是不是去说监管落后,要不管监管,要追求技术先进,研发直接通过持续发布平台,容器DOCKFILE发多个环境,随时发布,反正灰度。
吃哪行饭,就做好哪行饭的事情,盲目追求先进,除了自己获益之外,组织不太会获益。
A15:这个问题我觉得要辩证地来看,一方面确实没必要“跟热点”、“逐概念”,安全建设发展还是有自己的节奏和规划;但一方面也不能固步自封,还是需要坚持以业务为先的服务理念。
对于安全部门,研发、运维这些部门也是“业务部门”,他们到底有没有已经或是规划使用新的研发、运维技术,这其中有什么安全风险,这些还是需要安全人员来做的,毕竟安全本质就是风险控制么。
就算暂时这些业务部门没有采用新技术的想法或规划,安全人员了解下最新的技术理念和安全技术,也是技术上与时俱进。至于那些“云原生”、devops这些技术发展理念和方法论是否真的帮助业务降本增效,这个自有业界共识,安全人员做的就是与时俱进,做好技术储备,比如业务部门问到相关问题也不至于“临时抱佛脚”,做好技术储备,个人觉得这样是比较好的。
金融行业确实是秉承“谨慎”原则,无论是业务还是IT新技术采纳,这点个人觉得可以参考国外的银行业,看看他们的现状。金融业相比互联网行业步子可能没有那么大,但肯定还是有变化的。
A16:上次一个朋友的回复:CIO的定位应该还是围绕企业的数字化转型这条主线。当前数字化转型在企业发展过程中的重要性在不断提升,而创新对企业提高自身竞争力的重要性从未改变,两者叠加数字化的创新自然就更重要、要求也更高。所以从CIO的角度来看,会感觉更加像是在承担首席创新馆的职责和重任。
其实我们需要看到并且调整的在于:我们从开始就错误的把CIO定义为IT部门的老大,而不是思考和实践如何更好的利用IT、利用数字化规划和领导企业发展;
因此在管理者和我们自身都形成了一个惯性思维:IT很重要,IT是工具。现在要改变的是我们自己的思维方式,并且影响管理者改变这种思维:IT对企业的作用将逐渐由推动变为拉动,拉动是带有方向属性的。您最后点到的非常对,以前,更多的时候,CIO变成了一个项目负责人、一个项目经理。
A17:没有最好的IT技术,只有最不合适的应用,IT的价值是辅助业务发展。所有的事情都是围绕着成本收益的。
A18:说到底是把什么作为价值的问题。研发觉得上容器好处有:研发可以方便的变更,提高效率;不用开网络权限了,减少工作量;出发点就没有数字化转型这么高大上的追求。
A19:今天这个话题蛮有兴趣的,也发表一下我的看法。
先交代背景,我们devops以及容器都是运维侧来主导建设的,现在开发也认可我们的建设和规范要求。
从整个实施来说,如果企业文化对于部门墙太重的话,这个事情比较难推进落地,毕竟需要打破团队墙,部门墙才能做好这个工作。所以整个推进的角度有些痛苦,但要明白一个问题,工具体系有其先进性,但也有他的局限,先进性体现在对于业务流程的支持上,但不能体现到具体岗位的价值增长上。
所有业务的变革,至少会对一个,两个团队会有负面影响,如何让大家尝到甜头来认可变革的目标很关键。这些治理层的问题不是工具,技术,体系能解决的,可能需要一个因地适宜的过程。
总结一点,技术领先不代表业务流程领先,不要太依赖工具来解决治理层的问题。
很多时候我们分析成本效益,取决于汇报人的视角(开发、架构、运维、安全、PMO等),但很难形成一个上帝视角公允的看对业务流程的优化提升上,这里不但有价值点,还包括风险点的容忍度。
A20:这个也算是正常的,不同人看待视角不同。就比如说,微服务容器化如果从直接成本看真的降低成本吗?这个就要一个比较的体量规模综合来看,资源+人力+效率等来评估对业务效率或者业务收入的影响。不过这个在很多时候不太容易说的清楚。所以我们现在经常面对老板回答证明关联关系。
A21:在现状来看,大部分金融企业应该先抬头看看治理,再去研究什么技术先进。
A22:其实甲方安全也是一样了,安全治理花的时间精力远远超过红蓝对抗了。
A23:理论上如此,实操上挺难的。人还是那帮人,业务发展的还不算差,收入也没有太大变化,没有动力和能力去做治理,要搞也是请一堆毕马威安永Gartner之类的进来,如此而已。
A24:有没有用COBIT 2019去看看自己的IT治理缺失,用GARTNER IT SCORE去评估相关领域的成熟度和优先级,参考TOGAF去看看自己的架构治理,用DAMA看看自己的数据治理,再研究一下国家法律和行业标准,将其外规内化,把这些基本动作先思考和做完,再谈技术先进。
这些全部都是自评即可,有钱可以请咨询,学习一下,没钱就自己参考一下。小型和初创企业,就当我没说。但我觉得能进这个群的,都不算小公司了。所以可以都用类似的东西看看自己。
A25:上面谈的是怎么做的观点,我补充一个什么时候做的观点:前东家请华夏基石的咨询老师进来时候,讲过一个很基础的观点,企业什么时候开始做治理、向内看?当企业经营遇到问题的时候、收入规模利润不再增长的时候,才会向内看、做治理、降本增效,如果企业持续增长,是可以掩盖一切问题的。以我的认知,国内金融企业应该很快就会遇到增长瓶颈,因此,建议从现在开始就做好治理的能力储备。
A26:企业一开始需要支持业务发展,能追求技术往往能立竿见影,把握竞争力,只能到一定阶段后谈治理。
A27:国内金融业其实更直接,什么时候开始做?监管关注的时候开始做。所以因为银监最严最狠,叠加人行要求,一人两爹,所以银行的整体治理和IT水平就最高。监管越松,IT水平就越低。就像数据治理,什么时候开始做,反洗钱开始坚持罚钱的时候开始做。
A28:赞同,我们现在做IT预算和后评估就是这种情况。这个时候问题表现的最突出。更多还是看经营管理团队自我的认知,管理颗粒度,即自律、他律。
Q:安全是什么时候开始重视,从国家攻防演习开始的。
A29:只要是问题能让管理层看到,就可以动手做。如果问题管理视角不认同,那就没多大异议了。从攻防演习开始,也是结果导向。
A30:不一定是重视,应该是为了免责吧。感觉安全工作,从上到下都是在做免责,董事会和高层在免合规的责,安全人员在免自个的责。Due diligence 勤勉尽责,还有个Due care。
A31:尽职免责,也要有个清晰可落地的策略,不然真的就是懒政。这个责就是明确的监管要求了,这个是非常高的必要性了,属于追求经营利润的前提性限定约束。
A32:对,领导不想被约谈,不想因为安全琐事被处罚或者耽误前程,那就听话。他做的免责就是,我对安全有支持,无论从政令上还是资源成本上,所以无责任,就算有事,也是安全人员没做好。目前三大法也差不多了,网安法、数安法、个保法。再多,企业也受不了。这三个法落实好就行了。
不过看这架式,后面还会有一堆。看有些省都在发地方,最怕最后搞成各省各来一套。
A33:做事层面,还是不要多想和做事无关的东西比较好,会影响自己。
A34:这几个大法,基本思想没有问题,但是很多条款还是管理粗线条的框架,很多没有细化落地的要求,各种各样的理解,导致执行存在较大的偏差。
A35:滴滴出海后,跨境审查很严格,连每年404的数据都需要审核了。所以后面可能还会出不少法规对条目进行细化及补充。目前等保的条款里面就有两个搞不定的,一个是可信验证,一个是商密算法。商密算法金融行业大规模在做了,可信验证确实搞不定。
话题2:关于终端安全、员工安全意识、安全考核等方面的安全杂谈
Q1:问下各位大佬,现在有啥成熟的入网和桌管方案能适配国产化设备吗?比如常见的uos 麒麟os这类。现在国产化设备越来越多了,这个问题很迫切需要解决。
A1:这个问题都是目前大家的问题,监管推这个东西很久了,这个态势下去可能没几年就要一刀切了。问了一圈。都在研发中,没有成熟的功能。
A2:几个大的终端安全厂商,都有国产系统适配了吧?
A3:国产化设备情况,不能多说,毕竟属于敏感内容。我就说现在机器替代速度,远超过外界的认为。
A4:说是适配了,只是能用,好不好用又是另一说了。既然要上肯定要上好用的,要不没法交差的。让大家都变麻烦,然后自己也累的东西,监管还没强推的时候还不如不上。
A5:适配个客户端,但功能是残缺的达不到能用的状态。一上,涉及面太广。过渡期怎么办?还有好多业务合规要求,一下子千疮百孔。
A6:比如哪方面?监管要求的常用功能我们这边用起来还好,稳定性倒是需要改进。现在更大的问题是国产系统的稳定性。
Q2:我们密码复杂度被吐槽很多次了,但是我们就是不改。大小写字母数字加特殊数字符,16位以上,最近5次不得重复。每6个月强制更换一次密码。
A1:大小写字母数字加特殊数字符,8位以上,最近5次不得重复,每3个月强制改一次。密码就不是设置让你记住的。而是通过合理方式保存的。
A2:除非所有人都用可靠的密码管理器,不然肯定有记到记事本的。
A3:每次密码过期的时候,就会有一堆人吐槽。被人吐槽无所谓,就怕有高管说这个
A4:我们这边高管对基线的事情都保持沉默和无条件支持。不发表意见,因为他们经历过毒打,只要经历过一次毒打,就都会老实。
从业务基层升到主管位置以后的那批业务人也很老实,以前叫嚣很厉害,升职以后也都老实了。我很佩服业务培训的那批人,能把这些人培训的底线守得一句话都不会吐槽。
双减的行业。现在人少了,不值得学习了,就是守着一亩三分地过日子,低调求发展。我们创业老板,有这方面的底子在,所以对于技术的工作是很支持的。老板对技术的要求很简单,保持业务正常运行,在不浪费的条件下,给予有条件的最大程度支持。尤其是只需要这种动动嘴起子不花钱的支持。
A5:其他同仁家里不清楚,你们这个支持力度至少意识上的,我个人了解的,算很OK了。
A6:不花钱的情况下,做一些有用的工作,老板是很乐意支持的,尤其是民企。
A7:如果领导真正关心安全的投入,不管是资金还是人员,产生了多少回报(不是利润,可以是技术体系进步、规范化、能力提升),说明领导懂了。我也给开发做安全开发培训,虽然是半吊子,但我觉得围绕着漏洞,收益不高,希望是真正的带来编码体系或质量的进步,可这不可能是我一个安全岗能办到的。领导能不能从漏洞,明白需要做的是编码规范,而不是有洞补洞下次不要再犯。大老板可能关心不到这么底层,这是研发部领导要考虑的。
A8:因为从越早的层面接入,成本越低,不啊,你从这个角度去跟CTO汇报,他会考虑的,向上管理是门学问。
Q3:想认真问问,不知道大家老板对安全的考核是怎么样的?另外,如果业务或者开发条线出问题,你们承担多少责任?
A1:看你提醒了没,提醒了不搞是他的问题,没提醒各分一半锅走。大老板只会考虑合不合规,会不会被追责。有没有敏感数据泄露出去,导致经济损失。我接触到的,有的认为是其他的问题,有的认为是你不是管杀不管埋,要盯着对方去搞。
A2:看你是一道防线还是二道防线,一道防线不做那就抄送自己老板,他们老板。然后CTO,二道防线的要求不做直接抄CTO。
A3:人员多的单位这个监督执行都是问题,花精力不讨好的事情,不如从终端基线、外设管控、物理环境安全着手。
A4:这不是一个必要的选项,就跟军队叠方块被字一样,只是体现令行禁止的规则执行性。
Q4:医院对自带WIFI和操作系统的智能医疗设备有什么好的管控措施吗?我这边接入设备太杂,管起来焦头烂额的。
A1:非必需的拆除无线模块、必须的入网需要申请。我们这边上了网络准入系统,设备入网都需要审核,有合规检测,大型医疗设备的涉及维保还有管理部门不在信息中心现在也没好的办法,重要时期找监管单位协助做安全检查,单独组网管理。
A2:非必需的拆除无线模块、必须的入网,mac绑定,确定后域限制通讯。大型设备的模块没人不敢动,一台几百上千万停了都是大事故。
A3:可能被入侵。这个可以考虑作为攻击队渗透点啊。无线模块可以拆,提要求让设备厂商处理,维保内合理要求啊。这个会出现一个问题,等保或者是漏扫。在合同里设坑。我以前有过这样的。等保里对医疗设备这块没具体规定哦。大型设备这还算好的,那些四处乱跑的移动医疗设备和5G机器人就更头痛了。
A5:肯定隔离啊,你们这种就是工控网,肯定要单独隔离的,不跟外网通,单独做成dmz。
A6:之前也是搞网段的,但医疗设备对应的服务器都不一样,东西向隔离效果不好。
A7:看你们有没有网工了,有网工做基于白名单放通就ok。没有网工就不好折腾了。这种一般设备我们叫做哑终端吧。
A8:科室的问题,不是院领导的问题,我们这边很重视,绩效考核信息部门有10分。他们医疗设备还真不能算哑终端了,要算工控机,是直接的生产服务。入网和监控上面有什么区别对待呢。
A9:区别就是:哑终端管控力度,也就是当pc机管,工控机当生产服务来管,设备很重要,产生的数据又是敏感数据。
--------------------------------------------------------------------------------
【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送(每周)。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球,方便大家查阅。
如何进群?
原文始发于微信公众号(君哥的体历):容器安全思辨之从网络安全的价值,到IT的价值,再到技术创新的价值;关于终端安全、安全意识、安全考核等方面的杂谈 | 总第170周
评论