首先一提到京東,可能很多人都會(huì)講到京東是一個(gè)電子商務(wù)公司,,京東有自己的電子商務(wù),,有些人可能會(huì)講京東還有物流,用金融體系,,移動(dòng)金融用的比較多的可能說京東有金融,,京東云它誕生的時(shí)間并不長(zhǎng),到現(xiàn)在也就是兩年多的時(shí)間,,不到三年,。
但是京東公司有一個(gè)戰(zhàn)略是什么呢?雖然京東起源于商城,,但是無論京東商城也好,,還是物流,包括我的金融體系,,包括我的金融保險(xiǎn),,我的這些所有都是上層的業(yè)務(wù)。要把這些上層的業(yè)務(wù)做好,,能夠給我?guī)硪粋€(gè)更大的競(jìng)爭(zhēng)上的優(yōu)勢(shì),,云的技術(shù)是必須要解決的一個(gè)問題。所以說這也是為什么京東花了很多的力我們來建自己的京東云,,我們的目標(biāo)就是用技術(shù)將第一個(gè)12年建立的所有商業(yè)模式進(jìn)行改造,,打造一個(gè)包括智能零售、智能金融,、智能保險(xiǎn),、智能物流業(yè)務(wù)在內(nèi)的全球領(lǐng)先的智能商業(yè)體。這是我們的一個(gè)夙愿,。
那么要做云,,我本人是做安全出身的,做了大概十幾年的時(shí)間,,做云其實(shí)說,,我最早接觸應(yīng)該是2009年的時(shí)候,那時(shí)候可能很多客戶還對(duì)云不太了解,,但是我們從對(duì)國外的一些領(lǐng)先的廠家也好,,包括一些領(lǐng)先理念來看的話,,做云要解決的第一個(gè)問題就是安全問題。因?yàn)樵葡喈?dāng)于什么,?相當(dāng)于我們把自己的資產(chǎn),,把自己的身家性命交給別人去代管,這種情況下,,如果說作為一個(gè)服務(wù)托管商,,你自身不能解決安全問題的話,你是很難讓你的客戶相信你能夠愿意把他的系統(tǒng)遷到云上,。所以從我們第一天做云開始,,我們就給自己定了一個(gè)目標(biāo),我們要打造可信任,、合規(guī),、安全可靠的云。
那么啊具體怎么做呢,?在云安全建設(shè)過程中,,我們其實(shí)會(huì)分成幾大塊。
首先第一,,剛剛邵總也講了,,做云首先分兩個(gè)大目標(biāo),首先作為云平臺(tái)來講的話,,我要對(duì)外提供云的服務(wù),,首先我要保證自身的安全,這是我們作為云的建設(shè)廠商所承擔(dān)的一個(gè)義務(wù),。另外一部分,,我既然要給我的客戶提供上云的服務(wù),幾年前大多數(shù)廠商還是聚焦在IaaS上,,計(jì)算,、存儲(chǔ)、網(wǎng)絡(luò),,這是我們應(yīng)用體系建立了三大要,,我們叫三大要,但是你讓他上云的時(shí)候,,同時(shí)呢必須要解決他的安全和合規(guī)的問題,,這時(shí)候在云自身建設(shè)的時(shí)候,要給租戶提供他相應(yīng)的安全相關(guān)的服務(wù),。這是從云的角度兩大維度來說,。
其實(shí)做云技術(shù)做了這么多年,,一個(gè)最深的體會(huì)是什么,?相信大家可能都有體會(huì),,技術(shù)只是安全的一部分,一個(gè)技術(shù)發(fā)展的再好,,它如果用不好,,其實(shí)你是無法根本解決安全問題的。我們做了這么多年,,我發(fā)現(xiàn)很多客戶可能買了一堆的安全設(shè)備,,一個(gè)一個(gè)的串糖葫蘆串在一起。
舉個(gè)最簡(jiǎn)單的例子,,我以前一個(gè)金融客戶,,買過我們的IPS設(shè)備,裝到他的系統(tǒng)里,,運(yùn)行了兩年,,兩年以后,突然有一天,,我們那個(gè)一線的服務(wù)工程師來報(bào)賬了,,說這個(gè)客戶找過來了,說咱這個(gè)IPS設(shè)備上網(wǎng)已經(jīng)兩年時(shí)間了,,但是咱們一條日志都沒有,,說我們這個(gè)業(yè)務(wù)就這么安全,沒有人來攻擊,?最后我們趕緊安排人去排查,,排查完了以后,最后發(fā)現(xiàn)什么問題呢,?大家都知道現(xiàn)在基本上外圍業(yè)務(wù)都是https加密化的,,那么這個(gè)客戶在部署的時(shí)候,他自己沒有這個(gè)意識(shí),,他把這個(gè)IPS以串行的方式布在這個(gè)https上,,所有流進(jìn)IPS后的流量都是加密后的流量,大家知道傳統(tǒng)的IPS是基于特征去檢測(cè)的,,這時(shí)候加密后的流量基本上是密文化,,什么都看不到了,相當(dāng)于失去作用了,。但是這個(gè)設(shè)備在網(wǎng)上運(yùn)行了兩年時(shí)間,,因?yàn)榇蠹覜]有足夠的安全意識(shí),也沒有經(jīng)常性的去進(jìn)行觀察,,所以說也不知道這兩年到底有沒有受到攻擊,?
所以說我們?cè)谧鲈频臅r(shí)候,我們會(huì)發(fā)現(xiàn)云的安全,、運(yùn)維安全是非常重要的一點(diǎn),,這個(gè)運(yùn)維安全,,尤其是對(duì)于我們?cè)谱陨淼谋U希@是來保障我們?cè)谱陨砟軌驅(qū)ν馓峁┏掷m(xù)不斷的服務(wù)的一個(gè)最基本的基礎(chǔ),。
另外還有從業(yè)務(wù)角度的運(yùn)營安全,,大家知道京東是電商出身,電商必須面臨的一個(gè)問題是什么,?曬羊毛的問題,,我們中國人其實(shí)很聰明,有大量的黑產(chǎn)是專門做這個(gè)的,通過各種曬羊毛的活動(dòng)去謀取巨大的利益。其實(shí)我們?cè)谧鲈频臅r(shí)候,,也是跟大量的黑產(chǎn)做斗爭(zhēng),。
云這個(gè)東西應(yīng)該是挺特殊的,但是舉一個(gè)例子,就在前不久我們觀測(cè)到一個(gè)行為,有人大量利用我們?cè)浦鳈C(jī)申請(qǐng),因?yàn)樵浦鳈C(jī)有一個(gè)帳號(hào),,有一個(gè)生命周期管理,一般在欠費(fèi)之前,,我們首先要保障用戶業(yè)務(wù)的可用,,絕大部分云廠商它不會(huì)說欠費(fèi)馬上停機(jī),它會(huì)給客戶一個(gè)緩沖期,。有些人就在這個(gè)上面做文章了,,他開通了一個(gè)很小的數(shù)額,欠費(fèi)以后,,他不會(huì)馬上停機(jī),,還可以繼續(xù)使用,他大量賬戶去注冊(cè)的時(shí)候,,就可以產(chǎn)生大量云計(jì)算能力的資源,,它用來干什么?用來挖礦,。這種時(shí)候他不斷的去排量的注冊(cè),,排量的去使用,你查到以后他再去換帳號(hào),。對(duì)于這樣,,如果我們不能很好的進(jìn)行監(jiān)測(cè),其實(shí)它就會(huì)消耗我們大量云的資源,,進(jìn)一步就會(huì)影響我其他云的一些正常業(yè)務(wù)的開展,。所以說在云的運(yùn)營安全上也是需要重點(diǎn)關(guān)注的一部分。
上面這些其實(shí)更多都是偏向于業(yè)務(wù)和技術(shù),作為云來講的話,,我們還有一個(gè)最基本的要求是合規(guī),,所以我們所有技術(shù)的構(gòu)建,我的運(yùn)營和運(yùn)營保障體系的建設(shè)和我的運(yùn)維保障體系的建設(shè),,都是以合規(guī)安全為前提的。所以說,,其實(shí)我們也做了大量合規(guī)的相關(guān)認(rèn)證工作,,包括可信云、等保啊,、ISO,,包括一些PDISS認(rèn)證,這都是我們的一些實(shí)踐,。
今天這個(gè)論壇其實(shí)更大的主題是數(shù)據(jù)安全,,前面大家也分享了很多數(shù)據(jù)安全相關(guān)的工作,作為我們?cè)苼碚f,,云其實(shí)是一個(gè)特殊的存在,,做云的人既是甲方也是乙方,大家應(yīng)該能理解,。首先作為云的建設(shè)方我是要承擔(dān)甲方的責(zé)任,,我要保證我這個(gè)云能夠盡可能利用現(xiàn)有的安全基礎(chǔ)把它建設(shè)的比較好,安全的運(yùn)營,。所有我的服務(wù)提供商我又是一個(gè)乙方,,這個(gè)角度我們?cè)谧鰯?shù)據(jù)安全的時(shí)候,首先有一個(gè)核心的理念是什么,?做云一個(gè)最基本的理念就是數(shù)據(jù)主權(quán)問題,,剛才前面也介紹過了。我作為云服務(wù)商,,那么上云的數(shù)據(jù),、用戶的數(shù)據(jù),我是堅(jiān)決不能碰的,,這是一個(gè)最基本的要求,。
第二個(gè)安全保障,這個(gè)是什么,?相當(dāng)于你上云以后,,我的數(shù)據(jù)沒有保障,那在云上面要給你提供一系列的安全可靠的措施,,能夠確保租戶數(shù)據(jù)的隔離,,比如數(shù)據(jù)的隔離性,租戶之間不能互相去訪問。第二數(shù)據(jù)的隱私性,,我可以給你提供加密的手段,,你可以把上云的數(shù)據(jù)通過密鑰的方式進(jìn)行加密,這樣的話,,保證你的數(shù)據(jù)即使被別人拿走的情況下也看不到里面的內(nèi)容,。
第三是透明可信,這個(gè)不用多說了,。
基于這個(gè)核心理念,,我們?cè)趺绰涞啬兀科鋵?shí)我們要通過幾個(gè)方面:
1,、在人員的組織上,;
2、制度的流程上,;
3,、在技術(shù)保障上。
這三個(gè)大點(diǎn)來去落地,。
今天由于時(shí)間關(guān)系講得特別細(xì)也不太現(xiàn)實(shí),,給大家分享一下我覺得還是比較有用的。
剛才也說了,,技術(shù)只是一個(gè)基礎(chǔ),,其實(shí)在整個(gè)安全的建設(shè)中,運(yùn)維,、人員和制度保障其實(shí)是非常重要的一點(diǎn),,我們通過我們的摸索,其實(shí)我們建立了一套人員組織和制度流程相關(guān)的規(guī)范,。比如說在人員組織上,,我們有一個(gè)最高的安全委員會(huì),這是最高的決策層,,是一級(jí)部門的主管來承擔(dān)委員的,。
在此之下,我們有一個(gè)安全工作組,,大家知道很多企業(yè)在做安全的時(shí)候,,一個(gè)最大的痛點(diǎn)是什么?最大的痛點(diǎn)是安全人員和應(yīng)用開發(fā)人員,,還有網(wǎng)絡(luò)運(yùn)營人員是完全隔離的不同組織,,大家知道不同的組織每個(gè)人有不同的訴求,我做安全的人肯定希望盡量的去多設(shè)一些坎兒,,能夠讓我的系統(tǒng)能夠可控,。做網(wǎng)絡(luò)的人覺得我第一要素是要保證網(wǎng)絡(luò)的可用性,,因?yàn)榫W(wǎng)絡(luò)不能故障,你只要是盡量能通的地方都能通上,,不該通的地方斷了就行了,。做應(yīng)用的人來講,你網(wǎng)絡(luò)也好,,其他也好,,別影響我應(yīng)用的可能性,別影響我的性能,。所以說他們這幾個(gè)組織之間,,天然會(huì)有一個(gè)沖突,我們?cè)趺唇鉀Q這個(gè)問題呢,?
我們現(xiàn)在打破了這個(gè)安全的邊界,雖然我們有一個(gè)專業(yè)的安全運(yùn)營團(tuán)隊(duì),,我們更多給自己立足于服務(wù)的角色,,我們服務(wù)應(yīng)用開發(fā)部門,服務(wù)網(wǎng)絡(luò)部門,,我們更多是在每一個(gè)組織部門里面建立我的一個(gè)安全官制度,,每個(gè)組織,換句話說,,每一個(gè)開發(fā)組織,,每一個(gè)希望運(yùn)維組織都有安全的接口人,這個(gè)接口人相當(dāng)于我安全團(tuán)隊(duì)的一個(gè)延伸,。這樣的話,,因?yàn)樗宄麡I(yè)務(wù)自身的情況,同時(shí)他又能夠接觸到我們核心的安全理念和我安全的一些制度和測(cè)定,,通過這些觸手,,真正把我們安全的一些理念也好,技術(shù)也好,,和我的一些要求真正的落實(shí)到每一個(gè)小的組織和小的開發(fā)的周期里去,。這是一個(gè),我覺得還是一個(gè)我們?cè)趯?shí)踐上很有用的一個(gè)地方,。
通過這個(gè)組織,,我們就真正的打破了我們各個(gè)不同組織之間的邊界,真正的解決了這個(gè)安全問題,。
數(shù)據(jù)生命周期其實(shí)從真正管理的技術(shù)上來講,,剛才前面介紹過了,我不多說了,,基本上從數(shù)據(jù)的產(chǎn)生,、存儲(chǔ)、使用和銷毀這幾個(gè)階段來進(jìn)行管理。但是這里面再稍微多提一點(diǎn),,說到數(shù)據(jù),,其實(shí)是個(gè)非常復(fù)雜的過程,剛才咱們的律師也說了,,基本上很少有企業(yè)能夠把自己的家庭摸得特別清楚,,在云里面更是這樣了。我們?cè)趺磥碜鲞@個(gè)數(shù)據(jù)治理呢,?我們有一個(gè)核心的理念,,就是我們“抓大放小”,什么叫抓大放小,,就是我抓住最核心的東西,,哪些是我絕對(duì)不能丟的?哪些是我絕對(duì)不能漏出去的,?比如說我的帳號(hào)信息,,用戶的隱私信息,包括各個(gè)體系之間的密鑰信息,,這些類似于這些核心數(shù)據(jù)我們會(huì)系統(tǒng)性的把它梳理出來,,把這些數(shù)據(jù)進(jìn)行系統(tǒng)的監(jiān)管和監(jiān)控,整個(gè)數(shù)據(jù)在我的產(chǎn)生,、流轉(zhuǎn)和使用的過程中都會(huì)進(jìn)行相應(yīng)的監(jiān)控,,那么來做這個(gè)重點(diǎn)的防護(hù)。
剛才前面給大家介紹的是我們一個(gè)體系比較寬泛的東西,,真正落地的時(shí)候其實(shí)還是需要各種不同的手段來做的,,比如說最基本的,我們都說了,,技術(shù)保障永遠(yuǎn)只是后端的一個(gè)東西,,你要做到真正的安全,我們就要盡量的把安全的工作前移,。所以說我們?cè)谡麄€(gè)京東云的開發(fā)過程中,,我們會(huì)推行我們相應(yīng)的SDR開發(fā)的體系。換句話說,,在各個(gè)組件的開發(fā)過程中,,從前期的設(shè)計(jì)階段、編碼階段到后面上線前漏洞的安全檢查階段,,我們都會(huì)有對(duì)應(yīng)的安全卡點(diǎn)進(jìn)行強(qiáng)制性的檢查,。換句話說,我們把安全做成了一個(gè)組成的極限,,能力的極限,,我們把整個(gè)安全能力賦能給各個(gè)團(tuán)隊(duì),,作為工具給他使用。你在你的每個(gè)生命周期階段,,你只需要使用我提供的工具,,就能進(jìn)行安全對(duì)應(yīng)的風(fēng)險(xiǎn)的管控。盡量保證我在業(yè)務(wù)系統(tǒng)開發(fā)上線之前,,絕大部分我們已知的安全問題已經(jīng)被解決了,,當(dāng)然我們做安全的人大家都有一個(gè)口號(hào),絕對(duì)沒有人敢跟他說我的系統(tǒng)是百分之百安全的,,任何一個(gè)一定會(huì)有它隱藏的問題的,。
這就是我們的開發(fā)流程。
當(dāng)然這個(gè)開發(fā)流程我們會(huì)有自己的一套標(biāo)準(zhǔn)和體系,,以這個(gè)體系為指導(dǎo)進(jìn)行我整個(gè)京東云軟件生命周期的管理,。
開發(fā)完了以后,另外一個(gè)重要的環(huán)節(jié)就是運(yùn)營,,運(yùn)營我們有一個(gè)核心的一個(gè)要素,,以前大家在做,尤其是互聯(lián)網(wǎng)公司,,就是大家在做安全建設(shè)的時(shí)候,,可能有一個(gè)最大的問題,,更多的是看邊界,,很多人都認(rèn)為我把邊界堵住了,就很安全了,,內(nèi)網(wǎng)基本上是一鍋粥,,換句話說所有的系統(tǒng)都放在一起,互相之間也沒有訪問的隔離,,也沒有控制,。
那我們現(xiàn)在有另外一個(gè)理念,這個(gè)理念也不是特別新,,是零信任的理念,,其實(shí)在國外,尤其是Google是最早進(jìn)行實(shí)踐的,。零信任是什么,?我們認(rèn)為這個(gè)堡壘是最容易從內(nèi)部突破的,換句話說,,外部也很容易突破,。但是因?yàn)槟銓?duì)這些邊界很重視,那么你的監(jiān)控,、防護(hù)手段相應(yīng)也比較多,,相對(duì)來說它通過難度比較大,,內(nèi)網(wǎng)由于你是一片空白,從內(nèi)部作案,,容易度就更加簡(jiǎn)單一些,。其實(shí)有個(gè)數(shù)據(jù),我在這里沒寫,,往往在安全事件造成的損失中,,往往是從內(nèi)部被攻破的,造成的損失是遠(yuǎn)遠(yuǎn)高于被外部攻破的結(jié)果的,。
所以說我們是以零信任為基礎(chǔ),,換句話說,我們要構(gòu)建一套最基本的信用體系,,也就是說以我所有在網(wǎng)絡(luò)中的元素作為主體,,也就是說我的主機(jī),我的應(yīng)用,,我的服務(wù)它都是里面一個(gè)個(gè)被我管控的元素,。我除了在傳統(tǒng)的網(wǎng)絡(luò)邊界上進(jìn)行邊界劃分和隔離控制以外,我們?cè)诨ハ嘣L問之間,,我們都默認(rèn)互相是不可信的,。這樣的情況下,我每一次調(diào)用都要進(jìn)行相應(yīng)的健全,,比如A和B之間有調(diào)用關(guān)系的時(shí)候,,我B服務(wù)是不可能開放給所有人的,也必須進(jìn)行健全,。那么在披露這個(gè)健全通過以后,,才能進(jìn)行相關(guān)的方案。
這樣就帶來了一個(gè)最大的好處:
第一通過這個(gè)制度我們可以理清系統(tǒng)與組件之間的訪問關(guān)系,,大家都知道這個(gè)其實(shí)在安全治理上是一個(gè)非常重要的一個(gè)環(huán)節(jié),。
第二通過健全我進(jìn)一步加強(qiáng)了這個(gè)系統(tǒng)的抗攻擊性,換句話說,,不是每一個(gè)人進(jìn)到我的內(nèi)網(wǎng)就可以訪問我的系統(tǒng),,你進(jìn)來以后還得知道我各個(gè)組件之間的訪問關(guān)系,你還得知道這個(gè)組件之間我的健全和訪問的控制策略,,你才能模擬對(duì)授信的主體去進(jìn)行相關(guān)的操作,。這是一個(gè)比較重要的體系。
基于整個(gè)風(fēng)險(xiǎn)管理,、智能分析,,這些都是一些手段,這些我相信在座的應(yīng)該在日常的工作中用的比較多,,在這兒就不強(qiáng)調(diào)了,。
那么以此為基礎(chǔ),,其實(shí)我們剛才說了,因?yàn)槲覀兗仁羌追接质且曳?,所以我們?cè)谧霭踩ㄔO(shè)的時(shí)候,,稍微有點(diǎn)區(qū)別,首先我們自己就是一個(gè)客戶,,換句話說,,我所有開發(fā)的安全的系統(tǒng)也好,安全的產(chǎn)品也好,,首先要先服務(wù)于我京東云自身的安全,,那么在這里面提到傳統(tǒng)的時(shí)候,有很多各種各樣的設(shè)備,,比如說云wep是解決wep問題的,,高防解決Devdaps攻擊服務(wù)問題的,主機(jī)安全更不用說了,。因?yàn)槟阍诰W(wǎng)絡(luò)上你能看到的信息是有限的,,所以你在做安全管理和控制的時(shí)候,終端安全基本上是不可獲缺的一環(huán),,再包括我的漏掃,,我的入侵檢測(cè),流量審計(jì)等等一堆的東西,,做安全沒有說哪一個(gè)設(shè)備可以包打天下的,,一定是一個(gè)解決方案,是一套怎么說呢,?換句話說,,更多我們是在筑城墻,,就是不斷的抬高你攻擊的門檻,,盡量在我的成本可控的情況下,盡量的來提升攻擊的難度,,使我的系統(tǒng)相對(duì)安全,。
這么一堆東西,你接到系統(tǒng)里以后,,如果按照傳統(tǒng)的方式一樣一樣管理,,互相之間沒有打通,其實(shí)它帶來一個(gè)最大的問題,,第一運(yùn)維非常困難,;第二系統(tǒng)沒有打通,很多的高級(jí)威脅發(fā)現(xiàn)你是很難做的,。所以說我們?cè)诮ㄔO(shè)的時(shí)候,,我們會(huì)有一套基于云態(tài)勢(shì)感知的體系,。這就是我個(gè)人這兩年來,我覺得做云來說,,做安全做的最舒服的一個(gè)地方,,因?yàn)樽鰝鹘y(tǒng)安全廠家的時(shí)候,當(dāng)你做態(tài)勢(shì)感知,,你想把各個(gè)不同的系統(tǒng)挖通的時(shí)候,,你所帶來最大的一個(gè)困難,就是你會(huì)面對(duì)千變?nèi)f化各種各樣不同廠家的設(shè)備,,但是做云的時(shí)候,,因?yàn)楹芏鄸|西都是原生的,那么這種情況下,,首先在建立的時(shí)候就定義了自己一套標(biāo)準(zhǔn)的體系,,那么我有自研的產(chǎn)品,有合作的產(chǎn)品,,合作產(chǎn)品你接入的時(shí)候,,因?yàn)槲业沫h(huán)境相對(duì)可控,就按照我的標(biāo)準(zhǔn)方式來接入,。這樣的話,,我就能夠天然的做到數(shù)據(jù)的集成和兼容性。
以態(tài)勢(shì)感知為核心,,我可以把這些所有的觸手相關(guān)的數(shù)據(jù)統(tǒng)一起來進(jìn)行統(tǒng)一的分析,,當(dāng)然了全靠人也不行,全靠人的話,,大家知道每天產(chǎn)生的數(shù)據(jù)量是非常大的,。所以在整個(gè)態(tài)勢(shì)平臺(tái)上,我們會(huì)有相關(guān)自動(dòng)化分析的算法和相關(guān)數(shù)據(jù)分析的引擎,,來把我大量的安全的原事件進(jìn)行關(guān)聯(lián)分析以后,,來進(jìn)行我的加權(quán),來真正的發(fā)現(xiàn)對(duì)我來說威脅最大的一些實(shí)踐和把它提取出來來進(jìn)行告警和后面的閉環(huán)處置,,這是一個(gè)自動(dòng)化的部分,。
當(dāng)然機(jī)器相對(duì)來說,目前就我個(gè)人的經(jīng)驗(yàn)來看的話,,它的準(zhǔn)確率相對(duì)來說孩子做不到100%準(zhǔn)確,,所以我有剛才我說的,我們運(yùn)維團(tuán)隊(duì)來使用這個(gè)態(tài)勢(shì)感知平臺(tái)來進(jìn)行最后的確認(rèn)環(huán)節(jié),,通過這兩個(gè)技術(shù)的相連,,我們能夠把這一整套安全體系運(yùn)營起來。
這是人和技術(shù)兩個(gè)維度,,那么我們?cè)趺磥黹]環(huán)呢,?首先我們會(huì)有一個(gè)專門的用戶的運(yùn)營團(tuán)隊(duì),,這個(gè)團(tuán)隊(duì)它主要的責(zé)任是面向客戶來提供安全相關(guān)的服務(wù),同時(shí)我們還有一個(gè)自己的產(chǎn)品開發(fā)運(yùn)維團(tuán)隊(duì),,這個(gè)團(tuán)隊(duì)更多的職責(zé)是我基于云的這種原生的安全產(chǎn)品的開發(fā)和維護(hù),。那么這兩個(gè)團(tuán)隊(duì),其實(shí)在我們的組織里面是把它打通了的,,換句話說,,這兩個(gè)團(tuán)隊(duì)之間已經(jīng)沒有隔閡,在很多組織里面,,其實(shí)這兩個(gè)團(tuán)隊(duì)是各自獨(dú)立行事的,,相對(duì)來說就會(huì)有些困難。
因?yàn)槲耶a(chǎn)品開發(fā)團(tuán)隊(duì)我更多的是利用機(jī)器,、利用數(shù)據(jù),利用自動(dòng)化的方式來做事情,,那么我這個(gè)運(yùn)營團(tuán)隊(duì)它會(huì)有更多一些人的經(jīng)驗(yàn)和外部信息的來源,,通過這兩者的結(jié)合,,我通過我的攻擊人員平臺(tái),就能夠最終給我基于云上客戶提供一個(gè)相對(duì)來說比較穩(wěn)定可靠的安全服務(wù),。
那么在整個(gè)服務(wù)的建設(shè)上,,剛才前面是羅列了一堆的產(chǎn)品,,我們一個(gè)原則還是圍繞著數(shù)據(jù)安全為核心來建設(shè),,所有的安全的防護(hù)手段都是圍繞著包括我們的數(shù)據(jù)加密、數(shù)據(jù)庫的安全,、通信的安全,、接入的安全這幾個(gè)不同的維度來做,,幾個(gè)大的原則:
1,、進(jìn)不來,,大家都知道盡量抬高你的門檻,,這主要是我們邊界上進(jìn)行相應(yīng)的防護(hù)手段的建設(shè),。
2,、看不見,也很簡(jiǎn)單,,這個(gè)原則就是什么,,我核心數(shù)據(jù)都會(huì)進(jìn)行加密存儲(chǔ),,即使你真的進(jìn)來了,,你把這些核心數(shù)據(jù)拿出去了以后,,你只要拿不到核心的密鑰,,也依然看不到數(shù)據(jù)的,。
3、拿不走,,更不用說了,,在我們所有的網(wǎng)絡(luò)體系里面,其實(shí)我們會(huì)有一套除了威脅發(fā)現(xiàn)的體系,,我們還會(huì)有一套整個(gè)流量監(jiān)控體系,,換句話說,我們會(huì)對(duì)云里面各個(gè)應(yīng)用的流量進(jìn)行日常應(yīng)用的建模,,一旦我們發(fā)現(xiàn)在某些特定的主機(jī)有異常的流量產(chǎn)生的時(shí)候,那么我們會(huì)進(jìn)行及時(shí)的報(bào)警,,我們相應(yīng)的運(yùn)維團(tuán)隊(duì)就會(huì)集成的處置,。
這是幾個(gè)大的原則,。
除了自身用,其實(shí)京東云還可以對(duì)云以外的用戶來提供,,換句話說,,我們?nèi)绻f自己的業(yè)務(wù)系統(tǒng),我可能跑在阿里云上,。
這一塊具體的因?yàn)闀r(shí)間關(guān)系,,我就不多說了。
剛才前面講了安全涉及的東西特別多,,我相信沒有任何一個(gè)廠家能夠獨(dú)立去覆蓋所有的安全領(lǐng)域,,但是作為云,,尤其是公有云的廠家來說,,我認(rèn)為它的一個(gè)主要職責(zé)就是替客戶解決問題,,換句話說客戶可能不專業(yè),,但是我們不能不專業(yè),。所以我們要聯(lián)合一個(gè)安全的生態(tài),,給云上的客戶提供完整的一體化的解決方案,。所以說我們?cè)诔擞凶匝械漠a(chǎn)品之外,我們還會(huì)建立一個(gè)開放合作一個(gè)共生的體系,,我們會(huì)從不同的安全維度,比如網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)的應(yīng)用,,還有安全管理,移動(dòng)安全相關(guān)的,,我們會(huì)有一些合作的上跟我們合作,,把這些產(chǎn)品納入到我京東云整個(gè)產(chǎn)業(yè)體系,大家登錄京東云的時(shí)候就會(huì)很容易的看到我們會(huì)有一個(gè)安全的市場(chǎng),,可以選用云原生的服務(wù),,也可以選用云市場(chǎng)里的第三方的安全產(chǎn)品來進(jìn)行集中的管理。
剛才說了這么多,最終想要達(dá)到一個(gè)什么目的,?大家知道其實(shí)現(xiàn)在企業(yè)都在進(jìn)行數(shù)字化的轉(zhuǎn)型,數(shù)字化轉(zhuǎn)型對(duì)企業(yè)的管理者來說,,其實(shí)提供了新的要求,,以前可能一個(gè)企業(yè)的管理者更多的是技術(shù)的管理者,,它只要說我保證我的技術(shù)路線能夠符合我這個(gè)企業(yè)IT的建設(shè)和業(yè)務(wù)的需求就可以。但實(shí)際上,,你光是被動(dòng)的跟隨,,其實(shí)你已經(jīng)很難滿足這個(gè)企業(yè)業(yè)務(wù)的競(jìng)爭(zhēng)性要求了。所以很多時(shí)候我們現(xiàn)在更多的是通過技術(shù)來促使企業(yè)的業(yè)務(wù)產(chǎn)生新的變革,,能給企業(yè)的業(yè)務(wù)提供新的競(jìng)爭(zhēng)力,。這就要求企業(yè)的技術(shù)管理者,由技術(shù)管理者的角色轉(zhuǎn)變?yōu)闃I(yè)務(wù)領(lǐng)導(dǎo)者的角色,。
對(duì)于IT架構(gòu)的改變來說,,聚焦在安全上,以前傳統(tǒng)的基本上是安全的信息孤島,,資源都是集中化建設(shè),,上線無論是采購周期、上線周期,,包括后期的運(yùn)維都會(huì)很困難,。到第二個(gè)融合架構(gòu)階段,做到的完全資源池化,,其實(shí)現(xiàn)在目前來看,,絕大部分,尤其是設(shè)備商,,安全廠商在做的是這個(gè)事情,,相當(dāng)于我把我的安全設(shè)備能夠虛擬化了以后,以不同虛擬化的形式來提供出來,。真正到云原生,,我們一個(gè)理念就是安全即服務(wù),換句話說其實(shí)云要給客戶提供的真正的是一個(gè)安全服務(wù),,而不是一堆服務(wù),。用戶的需求就是我上云以后我的業(yè)務(wù)能安全,很多,,尤其是在中小型客戶,,我要養(yǎng)一支專門的安全團(tuán)隊(duì)來做相應(yīng)的安全管理的時(shí)候,無論從成本上,,還是人員的招聘上,,各方面都是有問題的。所以說云服務(wù)商要解決的問題,,就是怎么把我一系列的產(chǎn)品轉(zhuǎn)換成服務(wù),,真正的以最簡(jiǎn)單的方式提供給客戶,這是我們要解決的問題,。
那么在整個(gè)數(shù)字化轉(zhuǎn)型里面,,從京東云的建設(shè)來說,,我們有公有云、私有云,、專有云還有混合云相關(guān)的產(chǎn)品,。這個(gè)是傳統(tǒng)云的劃分。其實(shí)京東云的建設(shè)更多的是關(guān)注于上面的SaaS層面,,比如說我們有對(duì)應(yīng)的供應(yīng)鏈云,、電商云、營銷云,、零售云,、金融云還有園區(qū)云,大家可以非常清晰的看到,,這些都是圍繞著京東自身的核心能力來建設(shè)的,,這也是為什么我們會(huì)在云這一塊發(fā)力的原因,,更多是通過我們自身的實(shí)踐,,自身的應(yīng)用,而我們這些我們認(rèn)為比較成熟的,,對(duì)大家能夠有建設(shè)性的東西,,真正的賦能到云上,提供給用戶來使用,。
最后,,受一下京東云的愿景是什么?我們京東云的愿景是成為可托付的中國云服務(wù)首選品牌,,同時(shí)放眼國際,,這是我們的一個(gè)愿景,愿景很大,,當(dāng)然要走的路還很長(zhǎng),,也需要廣大客戶和合作伙伴們的支持。但是我相信以京東的拼搏精神,,在大家的努力之下,,我認(rèn)為這個(gè)目標(biāo)還是可以達(dá)成的。