SaaS产品的安全怎么搞？

除了物理隔离方面有绝对优势外，Local Deployment的模式比云计算安全吗？”“不能阻止别人作恶，只要上互联网，就要考虑被攻击的风险。”全场无尿点讨论，SaaS产品的安全怎么搞？尽15000字的干货分享，牛人们爬楼学习从此腰酸了腿也不疼了。
程艳冬 20:34

各位，大家晚上好。我是美洽的程艳冬。我来主持今晚的崔牛会八点半。话题是，SAAS公司如何做好安全？是否能比传统软件更安全。

群里有很多专门从事安全行业的，大家畅所欲言。安全是个大话题，为了不发散，并产生实际价值。我们今天只讨论SAAS安全。

作为一个一行代码都没写过的人，我的关注点其实很简单，第一，业务不要中断，怎么办？不能被DDOS等各种攻击。

第二，不能被脱库，这种数据安全比较重要。我想咱们先从这两个话题开始。

大家可以给我们这样的技术白痴，做个普及。大家要做什么。同时其他人，有任何问题，也可以随时提出来。

阿朱-京东技术学院 20:37

@程艳冬@美洽创始人 ddos是没有好办法的，脱库的常发生点就是邮箱和端口。

陈奋@安全狗 20:38

还是有一些办法，看你能投入多少预算

程艳冬 20:38

对于数据安全，和业务安全，我们能做什么？

程艳冬 20:38

要不，陈奋展开一下？

阿朱-京东技术学院 20:38

@程艳冬@美洽创始人业务安全你指的是啥？

陈奋@安全狗 20:39

@阿朱-京东技术学院脱库主要因为你的应用安全没做好，不是端口问题

程艳冬 20:39

业务安全指的是，如何让业务不中断。比如银行，肯定这方面不错。

程艳冬 20:39

另外，群里的SAAS老大，也可以谈谈，你们对安全的理解，和自己的困惑。

程艳冬 20:40

技术出身的@Anytao@Worktile 聊聊，你们的安全措施？如何保证不被攻击，如何保证数据安全？

陈奋@安全狗 20:41

1、如何保证自己平台安全？（1）基础环境安全：这个如果自己没有机房条件的话，要从0开始做，那要做的事情就多了：物理环境、网络环境（各类防火墙）、灾备等。这个投入就大了，不是一个创业公司能投入的起的。托管在传统机房，基础环境的安全也基本等于0。个人推荐直接上到IAAS云平台，相对基础环境的安全都做了。（2）系统安全。这个我们产家就可以自己做很多事情：系统的安全基线和加固，做好系统的安全防护（比如可以利用我们安全狗软件做长期监控）。（3）应用安全：a)做好自己应用的安全开发和安全检测（安全开发很多公司做不到，需要有标准的安全开发流程），安全检测相当于后期的补救，可以找第三方安全公司来做（比如众测平台）。 b)做好应用层安全防护，比较WEB类应用要接入WEB防火墙。（4）管理和长期监控：内部需要一套制度去规范运维流程，最好有一套安全监控平台做长期的安全数据分析。

Anytao20:41

@程艳冬@美洽创始人这话题应该我们运维和安全负责人聊聊，我努力参与吧

阿朱-京东技术学院 20:41

@程艳冬@美洽创始人业务不中断的关键是：事务完整性保证、分流重定向重试

@老寒_夏凯 20:41

物理安全、运行安全、数据安全

Anytao20:41

还有运维管理，人的因素

Anytao20:43

还有平台选择，自建服务器还是云服务

阿朱-京东技术学院 20:43

@陈奋@安全狗脱库还不常见是应用安全方面出的问题

程艳冬 20:43

安全开发很多公司做不到，需要有标准的安全开发流程。这个有最佳实践吗？

张福-青藤云安全 20:44

安全是个系统工程，必须成体系的做建设，有短板就会出问题。

Anytao20:44

@阿朱-京东技术学院同意，人的因素更多

ZheWang 20:44

早期的创业公司养不太起厉害的运维

Anytao20:44

更多自动化、更少人的动作

程艳冬 20:45

所以，@张福-青藤云安全的解决方案就是你们的产品，体系化监控？

阿朱-京东技术学院 20:45

@程艳冬@美洽创始人首先sql注入、XSS、URL参数泄露/JS泄露后台细节，这些基本问题没有

张福-青藤云安全 20:45

要做安全，首先第一步是度量自己的安全现状。如果没有清晰完整的度量，那做安全就是个伪命题

ZheWang 20:46

敏感数据尽量不要存在自己数据库比如银行卡 ssn之类

张福-青藤云安全 20:46

@程艳冬@美洽创始人我们正在尝试给saas企业提供一个最佳实践方案，从体系到支撑体系所必备的产品，以及服务。用云的方式

程艳冬 20:46

@ZheWang 美国的SAAS，我看都有一些SOC2的认证啊之类的。这方面有哪些最佳实践吗？我曾经去Quora上搜索过，发现也没有啥文章。

阿朱-京东技术学院 20:46

应用安全、系统安全、数据安全，咱们今天就谈这三个。业务系统可用性另谈，这都是大问题

陈奋@安全狗 20:47

标准的安全开发流程比较难做到。但是让自己的开发人员和测试人员掌握必要的安全开发知识，这个我觉得可以做到。起码可以杜绝80％因为开发过程留下的安全漏洞

Yinan20:47

安全的三个关键方面:网络安全,系统安全,运营安全。网络安全包括防火墙的安装和配置,交换机,虚拟网——这些是针对黑客的第一道防线;系统安全包括服务器访问加密,操作系统加固,以及补丁更新;运行安全包括将访问权限控制在必要的范围内,加密登陆过程并全程追踪。

程艳冬 20:47

让我们一起欢迎@刘生权

Anytao20:48

@顾逸南-云络科技好专业

ZheWang 20:48

@程艳冬@美洽创始人我们之前有过一张很长的表来衡量安全大概有个1000来条

阿朱-京东技术学院 20:48

@陈奋@安全狗一是代码底层有安全框架，2是有安全测试和安全监控团队

程艳冬 20:48

刘生权，是北森的技术，对安全有非常深的理解。北森做的也非常好。也摸索了几年了。@刘生权能否给大家讲讲，这方面的经验教训？也有人说SAAS安全是个伪命题，你是怎么看的？

阿朱-京东技术学院 20:49

把系统安全单独看，运维来专门做

ZheWang 20:49

有自己人权限的细节客户权限的细节我们供应商权限的细节

程艳冬 20:49

@ZheWang 你们那1000多项的大表，是能够公开的吗？

阿朱-京东技术学院 20:49

SaaS那点流量和名气，都没啥人看上去攻击

Anytao20:50

@阿朱-京东技术学院老说实话，更多的问题是自己的不作为

张中 20:50

@阿朱可是2B的SaaS产品又是客户最担心安全的

Yinan20:50

很多是管理的问题

阿朱-京东技术学院 20:50

@ZheWang 自己人数据安全，都是分级脱敏的，而且是api访问数据，没有直接数据服务器和数据库

江金涛(冷焰)@Sobug 20:51

安全就像一个checklist的清单，清单里面覆盖了各个边界，如何做到有效的发现，监控，阻断，会很有意义

程艳冬 20:51

刘生权是 CSA 《云安全指南》的部分译者，本身又在北森有实践经验，是特别懂这块的。

ZheWang 20:51

@程艳冬@美洽创始人我不一定能找到了

江金涛(冷焰)@Sobug 20:51

@张福-青藤云安全的体系可以有效解决

阿朱-京东技术学院 20:52

@江金涛(冷焰)@Sobug 嘿嘿，安全就是千里之堤溃于蚁穴。虽然你建立了千里长堤

陈奋@安全狗 20:52

懂安全的运维太少了。还是交给专业的安全团队[呲牙]

ZheWang 20:52

@阿朱-京东技术学院对的应该是那样但是早期很多公司做不到

程艳冬 20:52

明白，所以感觉大家可以先用类似青藤云安全这样的产品，定位，评估一下，它那有比较全的CHECKLIST。

江金涛(冷焰)@Sobug 20:53

所以要有效监控，原来我在腾讯负责反黑体系的时候，我们对于所有的基础数据是24小时监控

Anytao20:53

@程艳冬@美洽创始人还有找到有功底的人，比如刘总

Anytao20:53

@江金涛(冷焰)@Sobug 有点好奇，24小时监控

程艳冬 20:53

对。所以，我们等@刘生权给大家讲讲。SAAS公司怎么做好，讲干货。

陈奋@安全狗 20:54

我们是专门征对企业的安全解决方案，适合大家。[呲牙]

程艳冬 20:54

陈奋，你们平台本身是SAAS吗？

程艳冬 20:54

你们自己的安全做的怎么样？

刘生权 20:54

刚才顾逸南说的很好，SaaS的安全，是在云计算环境安全，网络安全，数据安全以及运营安全的基础上，加上应用安全

程艳冬 20:55

2.假设做到60分，80分，95分，要多少钱，做多少事？

江金涛(冷焰)@Sobug 20:55

@Anytao@Worktile 腾讯几次安全事件，我们在复盘的时候，发现基本上跟外部黑客拼的是速度和覆盖率

江金涛(冷焰)@Sobug 20:55

黑客比我们更先知道我们的弱点在哪儿

程艳冬 20:56

恩。这是速度，覆盖率怎么理解？

刘生权 20:56

我认为安全是一个持续不断的过程，需要随时对安全保持敬畏之心，因为它确实是云计算的立业之本。

Anytao20:56

@江金涛(冷焰)@Sobug 所以定期的安全检查，更多点实时监控很必要

刘生权 20:57

现在CSA推出了一个CSA-Star的安全认证，大家感兴趣可以去了解一下

程艳冬 20:57

@Anytao@Worktile怎么实时监控？用什么工具吗？

Yinan20:57

我们云络刚刚做了个关于公共云上安全的分享活动。安全可以从互联网层面（网络安全，如何抗D），应用之前（传统是防火墙，现在是WAF），应用之内（要写安全的代码），还有应用之下（公共云）几个层面来分析。

Yinan20:57

很多人不上公共云就是担心安全问题，就是应用之下的问题

江金涛(冷焰)@Sobug 20:58

比如黑客比你更快知道你们的strut2有哪些，比你更快知道腾讯某个ip上线了个业务，我们在轮询监控的时候，在时间差中被入侵，但是有些数据我们是没有覆盖到的，黑客的外部视角却发现了

Yinan20:59

我套用上次腾讯云做分享说的一句话：因为大家不相信，所以国家颁发了可信云认证；如果还是不相信，那就是心结了

刘生权 20:59

是的，在CSA的网站有一个云计算安全的自评的CheckList

阿朱-京东技术学院 20:59

几个大云公司的安全都有一定水准，我倒是担心自己搞全套的SaaS企业

程艳冬 20:59

@刘生权会后把网址发给我，我发给大家。

Yinan21:00

因为安全有很多层面，大家只要出了问题，就认为公共云不安全，我觉得这个不太公平

刘生权 21:00

我一直一个观点，除了物理隔离方面有绝对优势外，Local Deployment的模式并不比云计算安全

K.P. 2121:00

如果云服务商提供一个面向创业公司的安全包，包括云waf服务，主机防入侵服务，实时web漏洞扫描，10g以内ddos防护服务，超出10g部分先行防护后付费，能达到80分吗？包年多少钱大家能接受？

刘生权 21:00

只要联网，云计算所面临的一切安全问题，Local Deployment的系统同样会遇到

刘生权 21:01

而且企业内部IT应对安全的响应能力有高有低

程艳冬 21:01

@K.P. 21我觉得好厉害，能达到90分了。我觉得10万-30万。应该可以

Yinan21:01

@刘松阿里云的云盾现在就推出了很多升级服务吧

一清 21 21:01

我一直一个观点，除了物理隔离方面有绝对优势外，Local Deployment的模式并不比云计算安全@刘生权巨同意

Anytao21:02

说到底还是认知能力

程艳冬 21:02

@K.P. 21是绝对的安全大拿，原来绿盟的技术总监，现在阿里做安全。

Yinan21:02

但是，如果云盾再强大，如果客户代码有安全漏洞，管理有问题，访问没做好控制，安全出了问题，大家能责怪云厂商吗

程艳冬 21:02

那当然不能责怪。

Yinan21:03

所以，就是要回到安全的这几个层面来分析，怎么能加强自己的安全系数

刘生权 21:03

并且，一般企业内部IT的水平比领先的云计算公司的IT的水平差距还是比较大的。当然，有些企业内部IT的能力也非常强。能力差的，安全性肯定得不到保障

程艳冬 21:03

@顾逸南-云络科技我觉得，目前大家担心都是自己，SAAS公司，业务发展快，人不懂。所以还是应该怎么做，大家不清楚。

江金涛(冷焰)@Sobug 21:03

这个问题有意思，云服务提供商需要担责吗

阿朱-京东技术学院 21:04

@顾逸南-云络科技现在企业应用最容易攻破，一个密码连复杂度都没有，连定期失效都没有，连重试锁定都没有

Yinan21:04

所以，需要引入专门负责安全运维的服务商

K.P. 2121:04

安全对抗就是个成本对抗问题，一年30万左右不可能做到全面防护，但云运营商因为资源丰富，运营成本平均下来开始可以搞一搞的，如果单独服务公司来搞成本太高了

程艳冬 21:04

我希望会有有个SAAS公司安全指南，如何一步一步修炼。从不及格修炼到及格，再修炼到80分-90分。这是大家关心的。

Yinan21:04

我个人不认为云厂商应该为客户自己的问题来担责

Anytao21:05

@程艳冬@美洽创始人这个有点难，checklust可以有

阿朱-京东技术学院 21:05

SaaS商搞好自己的应用安全和数据安全即好，把系统安全交给更底层的云

任向晖 mingdao.com 21 21:05

@刘生权 https://cloudsecurityalliance.org/research/ccm/是这个吗？

刘生权 21:05

是的

程艳冬 21:05

@K.P. 21安全对抗的部分，因为跟流量相关，是不应该包的。其他的部分，如果有，就非常好。

K.P. 2121:05

@程艳冬@美洽创始人你说的是ddos流量？

刘生权 21:06

如果大家有兴趣，我看能不能联系一下CSA的相关人和大家交流一下

程艳冬 21:06

对。K.P

程艳冬 21:06

@刘生权非常感兴趣。

陈奋@安全狗 21:06

安全是动态的过程，评测只能证明当时的能力

程艳冬 21:07

@刘生权你翻译了CSA云安全指南，并且结合自己的经验，如果给大家一个安全的建议。（执行层面），你发现大家都了什么，都最应该做好哪三个事情？

Yinan21:08

我们不能阻止别人作恶，只要上互联网，就要考虑被攻击的风险。所以，我们经常建议客户在上限前做好两个测试－压力测试和渗透测试

刘生权 21:08

csa-star的认证，貌似国内只有阿里云通过了csa-star的认证

K.P. 2121:08

ddos防护按照攻击量级和持续时间付费对用户来说最合理，现在很多抗d报价的确还可以优化

LarryX肖凯 21:08

ddos这种靠云把

LarryX肖凯 21:08

靠自己是没用的

Yinan21:08

现在进行DDOS的成本太低了

程艳冬 21:08

另外，我想问个问题。也是这几天征集的。如何才是数据隔离的最佳实践，要每个客户都一个独立的数据库吗？还是多个客户共用一个数据库，分表。

LarryX肖凯 21:09

靠硬件和第三方也是没用的

程艳冬 21:09

@K.P. 21是，现在阿里云的防D，是你不被攻击也要交保护费。

K.P. 2121:09

csa的指南很全面，但没有落地细节

程艳冬 21:09

如果说，被攻击了，先防，再收费，我觉得是比较爽的。

LarryX肖凯 21:09

阿朱说的对，saas把自己应用层的安全做好就行了，别被sql注入、破解密码啥的

Yinan21:10

我觉得安全宝在这方面做的不错

刘生权 21:10

阿里云本身就是防d的，不信你扫扫看，马上会被屏蔽

Yinan21:10

先防，再收费

LarryX肖凯 21:10

防d我觉得没有比云更靠谱的了

K.P. 2121:10

对，该优化一下，对于创业公司来说，最好的方式就是包年，包扛住

LarryX肖凯 21:10

创业公司，说实话也没人d你

程艳冬 21:11

那真是太棒了。

程艳冬 21:11

但是业务中断的影响很大。

程艳冬 21:11

另外，我想问个问题。也是这几天征集的。如何才是数据隔离的最佳实践，要每个客户都一个独立的数据库吗？还是多个客户共用一个数据库，分表。

Yinan21:11

阿里云的云盾还是很强大的，现在推出了高防服务，所以，对有DDOS攻击风险的公司来说，上云是最好的选择

K.P. 2121:12

争取搞个面向创业公司的安全包吧

程艳冬 21:12

@顾逸南-云络科技 AWS上，遭遇DDOS，AWS都能给搞定吗？还是要用第三方服务。

Anytao21:12

@程艳冬@美洽创始人我的观点是没大的差别，只是租户模型不同

LarryX肖凯 21:12

aws也一样

刘生权 21:12

LEVELONE: CSA STAR Self-Assessment

CSASTAR Self-Assessment is a free offering that documents the security controlsprovided by various cloud computing offerings, thereby helping users assess thesecurity of cloud providers they currently use or are considering contractingwith. Cloud providers either submit a completed The Consensus AssessmentsInitiative Questionnaire (CAIQ), or to submit a report documenting compliancewith Cloud Controls Matrix (CCM). This information then becomes publiclyavailable, promoting industry transparency and providing customer visibilityinto specific provider security practices. www.cloudsecurityalliance.org/star/self-assessment/

LEVELTWO: CSA STAR Attestation

CSASTAR Attestation is a collaboration between CSA and the AICPA to provideguidelines for CPAs to conduct SOC 2 engagements using criteria from the AICPA(Trust Service Principles, AT 101) and the CSA Cloud Controls Matrix. STAR Attestationprovides for rigorous third party independent assessments of cloud providers.www.cloudsecurityalliance.org/star/attestation/

LEVELTWO: CSA STAR Certification

TheCSA STAR Certification is a rigorous third party independent assessment of thesecurity of a cloud service provider. The technology-neutral certificationleverages the requirements of the ISO/IEC 27001:2005 management system standardtogether with the CSA Cloud Controls Matrix. www.cloudsecurityalliance.org/star/certification/

LEVELTHREE: CSA STAR Continuous Monitoring

Currentlyunder development and scheduled for 2015 release, CSA STAR ContinuousMonitoring enables automation of the current security practices of cloudproviders. Providers publish their security practices according to CSAformatting and specifications, and customers and tool vendors can retrieve andpresent this information in a variety of contexts.www.cloudsecurityalliance.org/star/continuous/

Yinan21:12

遭遇DDOS，云的确是最好的选择

Yinan21:12

AWS有ELB

程艳冬 21:13

@顾逸南-云络科技 ELB能做到什么效果？

Yinan21:13

跟阿里云的SLB一样

程艳冬 21:13

@Anytao@Worktile租户模型不同，带来的效果有啥区别？你们是分表？

Yinan21:13

负载均衡

K.P. 2121:14

ddos防护难点在漏斗口的大小，出口带宽只有1g，防护设备10g也只能发挥1g能力，而云有个超大漏斗口，所以防个百g以上还是很轻松的

K.P. 2121:14

slb防不了ddos

Yinan21:15

AWSDDoS - First by having a lot of bandwidth, second by having good tools to avoidscans and some types of DDoS, but beyond that, we really don't know - for L7HTTP server overloads, they don't really help.

Anytao21:15

@程艳冬@美洽创始人目前是，但以后不排除多租户

程艳冬 21:16

对。我记得@K.P. 21 说过，AWS上也有防DDOS的第三方服务可以买。例如安全宝之类的。

K.P. 2121:16

aws上可以在marketplace上买imperva，再加ddos saas服务，可以搞定ddos

Yinan21:16

这句话，翻译不来－回答@程艳冬@美洽创始人的问题：General practice is all combined and separate by customer ID/key, but youcan use MySQL DBs per customer up to 10,000+ customers though it's not a greatway。Separate tables can also beused, but obviously only if there are a few tables per customer.But what arethe goals ? For security, none of this matters as the code and apps can accessit all, so the design should be best for the system overall stabilty andperfomrance and focus on security at the app layer.

洪倍@AdMaster 21:16

ddos就是谁带宽大谁赢吧

程艳冬 21:17

哈哈哈。@洪倍@AdMaster 来了。ADMASTER的有啥经验教训，在SAAS安全方面？讲干货哈

程艳冬 21:17

你是CTO。你直接点[微笑]

Yinan21:18

要最经济的抗D，最好还是要学会用好云

Yinan21:18

但是SaaS公司真的只担心DDOS吗

Yinan21:18

我觉得更担心数据安全吧

程艳冬 21:18

抗D上，AWS没有阿里云好。对吧。

程艳冬 21:18

对的，同样担心数据安全。能做些什么？

K.P. 2121:19

国内运营商不容许bgp通告，所以抗d服务要么是dns牵引，要么就是向阿里云一样防护云内主机。而美国和欧洲运营商是容许通告bgp的，所以国外会有prolexic、blacklotus这样的antiddos saas服务，国内没有

Yinan21:19

我认为在国内的话，阿里云的抗D是威力很大的

程艳冬 21:20

原来这样。@K.P. 21

洪倍@AdMaster 21:20

优先级是这样的服务可用性>数据准确性

K.P. 2121:20

行业不一样优先级会不一样吧

程艳冬 21:20

如何落地和实施？@洪倍@AdMaster

洪倍@AdMaster 21:20

数据安全是跨了两层的

洪倍@AdMaster 21:21

系统环境要做隔离

洪倍@AdMaster 21:21

前端云化

洪倍@AdMaster 21:22

后端专用线路

Yinan21:22

@K.P. 21Yes, but upstream carriers in some cities/provinces will do black-hold BGP foryou, maybe, if you are a big customer (they blackhole the IP), but a lot ofneighbor provinces often won't do it.

Yinan21:22

@K.P. 21Generally BGP blackhole/announce not useful in China, as you say, as takes toomuch coordination and work among carriers.

K.P. 2121:23

用blackhole就算防护失败了

Anytao21:23

aws的vpc会省很多力气，阿里云貌似还在beta阶段

程艳冬 21:23

呃，这个，比较专业，木有懂。各位CTO，能理解@洪倍@AdMaster 讲的吗？我是不懂

张福-青藤云安全 21:24

真实的情况一般是社工获取邮件后，从邮件翻出vpn后就进内网了，之后基本全沦陷

阿朱-京东技术学院 21:25

邮箱密码是最常见的攻入口

程艳冬 21:25

@顾逸南-云络科技你可以沿着，你刚才讲的方向，继续。初创和中小SAAS公司，还应该做些什么？

程艳冬 21:26

恩。明白@阿朱-京东技术学院。京东没有做一些第三方的安全认证吗？例如CSA的，之类的。

阿朱-京东技术学院 21:26

对了，刚才有人提到数据库隔离模型，我认同一个客户一个数据库

程艳冬 21:27

这方面。@洪倍@AdMaster 也是建议这样。

刘生权 21:27

SaaS推荐采用双因子验证模式来增强对用户密码的保护

程艳冬 21:27

@阿朱-京东技术学院你能具体讲讲，为什么吗？

Yinan21:27

初创公司需要做好访问安全，在没有过多预算的情况下，如何从管理入手

阿朱-京东技术学院 21:27

@程艳冬@美洽创始人都有安全认证，也有安全测试安全运维团队、也有乌云白帽子联盟

张福-青藤云安全 21:27

从管理入手是正确的

Yinan21:27

比如，有没有日志记录所有的操作

Yinan21:27

并且，进行访问控制

张福-青藤云安全 21:28

安全归根到底是管理问题

程艳冬 21:28

双因子验证，知道了。

刘生权 21:28

需要从应用框架层面就要考虑安全审计，对所有请求进行鉴权

阿朱-京东技术学院 21:28

@顾逸南-云络科技日志与访问控制是最起码的

Yinan21:28

另外，运行安全－需要全方位的24x7x365网络和安全服务器

对服务器管理进行特定时间和个人限制／安全的密码管理／

／加密的密码访问登录／

所有员工的电脑都经过特别的安全设置和锁定

程艳冬 21:29

@刘生权的干货来了。

阿朱-京东技术学院 21:29

安全，就是个千里之堤溃于蚁穴。堤得修，但..嘿嘿

程艳冬 21:29

@阿朱-京东技术学院你继续讲讲，为啥认同每个客户一个数据库？

程艳冬 21:29

这种在实践中非常少。

刘生权 21:30

不要期望所有的工程师都有安全开发的意识，要做到，安全从基础架构做起，然后要有安全攻防实验室，对产品重大升级前要做安全扫描。要有安全组件简化工程师开发安全的程序。

阿朱-京东技术学院 21:30

@程艳冬@美洽创始人为性能、安全、代码简易、运维，都方便

刘生权 21:30

安全，不是一种状态，而是一个持续优化的过程

Yinan21:30

接下来，还要注意系统安全了－

操作系统加固配置

指定IP的管理员访问

使用安全的LDAP来认证所有访问

对所有访问使用安全的SSH服务器

对所有的访问使用中央登录以及审计

专家配置的VPN和防火墙阻挡未经认证的访问

阿朱-京东技术学院 21:31

安全，就是个攻防持久战

张福-青藤云安全 21:31

@顾逸南-云络科技 [强]

程艳冬 21:31

@刘生权你们的数据库，是每个企业一个数据库吗？还是一个数据库，分表。

程艳冬 21:31

@顾逸南-云络科技这些就是一个好的应用安全的系统设计？可以这么理解不？

Yinan21:32

是的

程艳冬 21:32

@阿朱-京东技术学院那为啥大家都不这么做呢？为啥大家都是一个数据库，分表呢？是出于成本考虑？

张福-青藤云安全 21:32

@顾逸南-云络科技提过的东西我们都产品化了

Yinan21:32

一定要计划，一定要有风险意识，当然很多细节就是运维的经验积累了

阿朱-京东技术学院 21:32

@程艳冬@美洽创始人这有啥成本？都是mysql

LarryX肖凯 21:33

弄多个库管理麻烦，也不利于数据统计

阿朱-京东技术学院 21:33

迁移、分流都好

程艳冬 21:33

那我就不明白，为啥大家都不这么做。

张福-青藤云安全 21:33

@顾逸南-云络科技说的挺到位的，其实运维做到较高水平后一般安全也会做的比较好

刘生权 21:33

安全是由很多纬度组成的，开发，运维，管理，产品，那一个环节都不能少

Yinan21:33

是啊，要写安全的代码！！！

张福-青藤云安全 21:33

@刘生权说的很对，确实是这样，系统工程

阿朱-京东技术学院 21:34

@肖凯·驻云多个库管理有啥麻烦的，运维自动化啊

程艳冬 21:34

@肖凯·驻云 ADMASTER是做数据统计的。其实，多个库也没有问题。

刘生权 21:34

所以CSA-Star是以ISO27001为基础的

张福-青藤云安全 21:34

安全最难之处在于知易行难

程艳冬 21:34

@顾逸南-云络科技你认为是分库好？还是一个库分表好？

洪倍@AdMaster 21:34

我们内部产品需求评审就有安全层面的评估

洪倍@AdMaster 21:35

的确安全意识很重要

张福-青藤云安全 21:35

iso27001只是最基本的要求，和实际上安不安全还是2码事情

LarryX肖凯 21:35

做saas的，每个用户一个库你试试

刘生权 21:35

为之则难者亦易矣

程艳冬 21:35

@洪倍@AdMaster 你们技术团队就接近200人了。自然有资源。[流泪]

阿朱-京东技术学院 21:35

@洪倍@AdMaster 我们是把功能需求和非功能需求分开，一个是产品经理管，一个是架构师管

LarryX肖凯 21:35

企业内部多个业务分库分表都还ok，也就几十个库

洪倍@AdMaster 21:35

特别是常见的已验漏洞，开发工程师自己就可以搞定

LarryX肖凯 21:35

saas的，上万个用户，弄上万个库？

Yinan21:36

Generalpractice is all combined and separate by customer ID/key, but you can use MySQLDBs per customer up to 10,000+ customers though it's not a great way

Yinan21:36

Separatetables can also be used, but obviously only if there are a few tables percustomer.

Yinan21:36

Butwhat are the goals ? For security, none of this matters as the code and appscan access it all, so the design should be best for the system overall stabiltyand perfomrance and focus on security at the app layer.

LarryX肖凯 21:36

这个东西到了一定量级管理非常麻烦，数据统计也非常麻烦

洪倍@AdMaster 21:36

对的，我们有一个四面体管理结构，产品架构研发项目

张福-青藤云安全 21:36

一家企业即便什么漏洞都没有，也可以被黑掉

刘生权 21:36

一个用户一个数据库就更安全了吗？

Yinan21:36

我复制黏贴CTO的回答[Chuckle]

阿朱-京东技术学院 21:37

@肖凯·驻云上万个数据库很正常啊，哪个大互联网企业不管理十几万台服务器的

程艳冬 21:37

恩。明白。感觉是一个客户，一个数据库，在数据隔离上，可以做的更好。

Yinan21:37

所以，答案就是没有一个方案是对安全绝对有效的

刘生权 21:37

只有心理上的作用罢了

K.P. 2121:37

一个客户一个数据库对安全有帮助吗？

Yinan21:37

就是

张福-青藤云安全 21:38

对安全来说外部信息非常重要

Yinan21:38

@K.P. 21没有

刘生权 21:38

一个用户一个数据库，最容易做成伪SaaS

程艳冬 21:38

@刘生权你们北森，能过SOC2认证不？

张福-青藤云安全 21:38

很多东西知道和不知道本身就是天壤之别

K.P. 2121:39

而且管理麻烦，反而不安全

阿朱-京东技术学院 21:39

@张福-青藤云安全白帽子联盟是必须的。其实攻防之间都差不多认识。江湖新出道傻小子吃仙丹的还比较少见

Yinan21:39

哎，我们CTO找到了以下关于AWS上做DDOS的内容：Page 50 of here is about AWSDDoS: https://s3.amazonaws.com/awsmedia/AWS_Security_Best_Practices.pdf

程艳冬 21:39

国内，SAAS公司，安全做的最好的是哪家？

洪倍@AdMaster 21:39

如果性能瓶颈导致的服务不可用算作大安全范畴，那分客户分库就对安全有帮助

Yinan21:40

50页的英文，大家晚上睡不着就看哈[Chuckle]

洪倍@AdMaster 21:40

我觉得企业关注的是大安全，而不仅仅是攻防

Yinan21:40

SaaS关注数据安全

阿朱-京东技术学院 21:40

@洪倍@AdMaster 不讲神马大安全，系统可用性、系统性能，咱们日后单讲

Yinan21:41

@黄晓凌你们关注哪些安全问题呢？

黄晓凌 21:41

@顾逸南-云络科技数据安全

程艳冬 21:41

恩。接下来，我想这样，第一@顾逸南-云络科技 @张福-青藤云安全 @陈奋@安全狗 @江金涛(冷焰)@Sobug 你们做安全的，可以跟大家讲讲，你们能做什么？大家不太懂。

Yinan21:42

[Shy]我们是安全代维，就是从运维层面做好安全

程艳冬 21:43

另外，我们已经热烈讨论了一小时。接下来，大家可以场所语言，我作为一个技术白痴，就不主导了。@顾逸南-云络科技可以接下来引领一下大家的讨论。因为本身今晚他们有一个跟投资人的会，都推掉了，来参与讨论，还请他们CTO参与。所以，比我更专业。

Yinan21:43

数据安全分几个层面来做：

用户数据安全计划

强大的用户认证和登录

硬盘加密和重起过程(可用的)

备份加密并会储存于高级别的安全服务器中数据清除/销毁过程

安全缺口通报

程艳冬 21:43

@顾逸南-云络科技比如我们公司，美洽，怎么用你们？多少钱？异地管理，是否麻烦，怎么沟通？

江金涛(冷焰)@Sobug 21:43

[害羞]，我们是安全检测，就是从发现层面上尽快解决问题，给内部体系建设赢得空窗期

程艳冬 21:43

相当于你给我提供两个安全的运维人员？

Yinan21:44

我们不是按照人头来算的，按照服务器台数按月来计费

张福-青藤云安全 21:44

我们专注于服务互联网企业，为企业提供一整套业务安全体系，以及构成体系所必须的产品和服务，以云的方式

程艳冬 21:45

对，sobug容易理解，就是给大家提供众测，跟乌云的区别是，乌云会公布企业漏洞。SOBUG更站在企业角度，可以不公布漏洞，私下解决。这是我的理解。

Yinan21:45

从应用之下开始哈，比如帮助客户怎么用好云，因为公共云上有不少安全的防护措施，很多人不会用

程艳冬 21:45

@张福-青藤云安全简单说，你们有个大checklist，通过探针，自动监测。是这样吧。产品啥时候上线？

刘生权 21:46

希望大家多分享多交流，是否可以和乌云组织合作一下，建立一个机制，一起来提升各家系统的安全性。因为大家都是云计算生态环境里面的，每一家出事，都是对生态环境的伤害！对客户信心的打击

Yinan21:46

台数不一样，单价不一样

LarryX肖凯 21:46

把乌云拉进来呗

程艳冬 21:46

哦。我们做SAAS的，价格都是公开的。http://meiqia.com/prices

陈奋@安全狗 21:46

我是做功防出身的，从黑客角度没有功不破的系统。如果公司没有专门的安全团队，是做不好安全（依赖运维做好安全不太现实，懂安全的运维太少）。国内目前大的互联网公司都有自己专门的安全团队。做为初创企业、中小企业除了做好一些必要的安全措施还是找合适自己预算第三方专业安全公司。

程艳冬 21:47

@顾逸南-云络科技你们不是特别公开哈。

Yinan21:47

我们是PAAS平台

Yinan21:47

跟SaaS还不完全一样哎

刘生权 21:47

周五我和CSA亚太区有个会议，被他们拉为北京区域的理事了。看能否组织一下相关的分享。

程艳冬 21:48

@刘生权威武！

david21:48

我们做身份管理的，主要从业务安全角度讲，用户账号分为普通用户账号和特权账号。普通用户账号采用专有的软件集中管理，密码单向加密，避免密码泄漏。而特权账号管理也可以采用对应的软件，把一切访问数据库，操作系统之类的账号全部屏蔽与用户，即用户看不到最终访问的帐号和密码。同时所有的访问，包括普通用户的访问，特权帐号的访问全部可以被记录，并且可以对应到真实人，以便事后审计。而认证可以根据用户访问的资源不同提供不同的密级，密级越高的资源提供越安全的认证策略，比如证书认证，动态口令认证，多因子认证等。当然，还有很多其他帐号、认证方面可以谈的，比如SoD，定期审视等

Yinan21:48

安全工具越来越多

Yinan21:49

但是还是需要专家来帮助客户选择

程艳冬 21:49

@陈奋@安全狗我今天访问网宿科技的网站，然后说我访问频率很高，被系统拉黑，然后就看到安全狗的一个广告。

程艳冬 21:49

网宿科技是你们安全狗的客户？

刘生权 21:49

david，最好的身份管理是用户自己管理身份，做Identity as a Service

Yinan21:49

要注重细节，更要专家帮助

张福-青藤云安全 21:49

我们的产品设计出来就是为了抵御最高等级的黑客攻击的,为了做到这一点，我们的体系包含如下部分：1明确检测并显示当前存在的安全问题，2.基于行为和关系白名单模型的异常监测机制，3.24小时的实时人工监控中心，4.一整套易于部署和管理的模块化的软件安全产品

刘生权 21:50

类似OneLogin 和Ping Identity

刘生权 21:50

可惜国内没有这样的服务

程艳冬 21:52

@顾逸南-云络科技你可以继续哈。刚才比较嘈杂，好多人来不及提问和参与。你可以继续引领大家讨论一些你们实际过程中的问题。

Yinan21:54

哈哈，我就是觉得创业的SaaS公司，在预算不多的情况下，可以从管理入手，怎么做好安全运维，怎么用好云；当有了一定钱的时候，考虑使用各种工具

LarryX肖凯 21:55

乌云的老大来了[呲牙]

陈奋@安全狗 21:55

也打个广告。我们安全狗也是纯软件的安全解决方案，做了几个事情1)我们在国内主流的云计算平台上都有我们专门加固过的安全镜像。省去大家做安全基线。2)我们的安全软件和安全云平台，解决大家系统和应用运行中遇到的黑客入侵行为防护，并实时监控预警。3)我们专业的安全团队提供应急处理。我们有免费也有收费的。目前已经保护超过百万台服务器和网站（国内市场占有率最大)，近期刚完成B轮（还未披露）。大家用云服务器，都可以用我们的服务

刘生权 21:55

哪位？抱抱大腿，呵呵

LarryX肖凯 21:55

安全专家来了 @洗洗睡了是乌云老大

阿朱-京东技术学院 21:55

@肖凯·驻云好牛

程艳冬 21:56

@洗洗睡了这个群是中国最大的，企业级服务的创始人群，各个公司只能有一个创始人留在群里。这个群里，目前已经获得融资36亿人民币了。

程艳冬 21:56

今天我们讨论的是SAAS公司的安全问题。

Yinan21:57

但是，所有的工具，所有的云计算知识的学习是有一定时间成本的，需要专家来帮助和建议。我做公司的理念是不管客户是创业公司，还是对安全有更多诉求，有一定资本的公司，都需要给到对方靠谱的解决方案，然后伴随他们成长，不同的阶段，推荐不同的服务。

刘生权 21:57

希望大家多分享多交流，是否可以和乌云组织合作一下，建立一个机制，一起来提升各家系统的安全性。因为大家都是云计算生态环境里面的，每一家出事，都是对生态环境的伤害！对客户信心的打击

刘生权 21:58

请乌云老大考虑一下，一起帮助大家加强安全，谢谢

程艳冬 21:58

恩。感觉@顾逸南-云络科技是卖服务的。@陈奋@安全狗是卖软件，监控的。

Yinan21:58

所以，安全的诉求根据客户发展的阶段不同，推荐的服务也不同，因为服务都是有成本的。

Yinan21:59

我就是卖服务的呀

Yinan21:59

而且做最底层的活

Yinan21:59

运维可不那么容易啊

程艳冬 22:00

恩。明白。要不，各位做安全的老大再群里发个红包吧。每人发个1元的红包。谁抢到了。你们送他1万元的服务。然后接受了的，使用后，要写一个使用报告，分享给大家。哈哈哈

Yinan22:00

要保证不宕机，要保证安全，要保证速度，还要控制成本

陈奋@安全狗 22:00

我是云安全SAAS服务，服务器需要装我们的安全软件

陈奋@安全狗 22:00

要发红包，今天打了这么广告[呲牙]

程艳冬 22:00

可以啊

程艳冬 22:01

这个是一万元的产品体验红包哈

程艳冬 22:01

金额只需要1元就好

程艳冬 22:04

@顾逸南-云络科技你们公司在AWS上，还是阿里云上。

Yinan22:05

我们的客户在很多云和IDC机房里面，不管你是在云上还是物理机房的

程艳冬 22:06

@顾逸南-云络科技明白。刚才讨论的过程中，是否还有意犹未尽的？你们的老外CTO，还有什么对大家的忠告吗？呵呵

LarryX肖凯 22:07

问问老外CTO，中国的安全环境和美国相比如何[偷笑]

LarryX肖凯 22:07

哪里更安全

Yinan22:07

这个不能分国家吧

Yinan22:07

还是分公司内部的管理意识

LarryX肖凯 22:07

好奇，大范围的应该可以看看把

LarryX肖凯 22:08

比如美国saas明显就比国内saas火

阿朱-京东技术学院 22:08

互联网安全怎么可能有国界之隔

Yinan22:08

他的回答是US

程艳冬 22:08

哈哈哈

Yinan22:08

更多技术，更多协同

Yinan22:08

另外法律规范更多

Yinan22:09

这是他的个人回答哦，不代表我的看法，我觉得国内公司做的好的也有不少

LarryX肖凯 22:09

所以在中国，做好安全防护显得更重要了[偷笑]

刘生权 22:09

美国的saas形成了一个生态，互相之间是能集成的

LarryX肖凯 22:10

因为中国安全环境更差

程艳冬 22:10

好。本晚的崔牛会八点半就正式结束。剩下的是自由交流时间，我就先闪了。我会整理一个文档，给没有参加的同学查阅。