1
lians 2017-02-28 11:45:02 +08:00 via Android
离开那么多年 现成运行规则已经没有权限搞了吧 但内网的确啥都扫不到
其实也没什么 阿里云天天发那么多安全产品为了啥?懂了就得了呗 |
2
Aliencn 2017-02-28 11:52:06 +08:00 7
就爱看技术人员撕逼,有乐趣还长知识
|
3
Satan4869 2017-02-28 12:03:48 +08:00 via iPhone
哈哈哈 好一篇打脸的文章
感谢楼主分享 |
4
simaguo 2017-02-28 12:04:41 +08:00
不明觉厉,前排,瓜子花生
|
5
Tuisku 2017-02-28 12:11:14 +08:00
“但是那又如何?我现在是 默安科技 的联合创始人兼 CTO ,我他妈已经 P14 了啊。”
|
6
19zero OP 大神把这条又删了……
“我一搞起来就容易态度很差,讨论技术的时候进入亢奋状态就变成暴君。所以,我又删掉了。但是问题,我想还是说清楚了。阿里云的租户从开始到现在默认都是隔离的,只是当初的隔离不可撤销,现在考虑用户感受,允许用户修改。不说了,我吃黄焖鸡了。 ” 问题说清楚了,但也点到为止,既霸气又有风度 |
7
chenqh 2017-02-28 12:35:36 +08:00 via iPhone
这不是在证明经典网络是个大内网吗?
|
8
AlexaZhou 2017-02-28 12:37:05 +08:00
这篇文章我喜欢,尤其最后一句
|
9
vingz 2017-02-28 12:43:59 +08:00 1
跟过陈皓的博客多年,基本每篇必看,学到很多,不论是技术还是职业规划;
偏爱他讨论技术时温和的态度;能接受别人意见,基本上每篇博客都有读者在他的讨论区挑错,他会核实,如果有会改正。 我不信任一个讨论问题时态度差的人,能虚心,能诚于技术; 人都会犯错,基于个人的信息面 /经验 /记忆,写出的技术文章会有错谬,或者过段时间会有错谬(技术在发展...), anyway , try to control ourself; |
10
tabris17 2017-02-28 12:44:17 +08:00
99%的漏洞是配置不当引起的安全问题
|
11
IamJ 2017-02-28 12:46:54 +08:00
已经删掉了。。
|
12
yaxin 2017-02-28 12:48:50 +08:00
为什么删了
|
13
UnknownR 2017-02-28 12:48:52 +08:00
可以,围观还能涨姿势,也在纠结要不要毕业了去云计算的公司
|
14
irainsoft 2017-02-28 12:59:21 +08:00
看这写的,到后面确实很亢奋啊 233333
|
15
zbinlin 2017-02-28 13:02:19 +08:00
浪费了一个上午的时间写的,为什么要删掉呢?那样时间就真的浪费了。
|
16
guoxu1231 2017-02-28 13:07:09 +08:00 via iPhone
狂的一米,我都没耐心读完。
|
17
lihua1358 2017-02-28 13:08:29 +08:00
@yaxin “我一搞起来就容易态度很差,讨论技术的时候进入亢奋状态就变成暴君。所以,我又删掉了。但是问题,我想还是说清楚了。阿里云的租户从开始到现在默认都是隔离的,只是当初的隔离不可撤销,现在考虑用户感受,允许用户修改。不说了,我吃黄焖鸡了。 ”
这个原因吧 |
18
VmuTargh 2017-02-28 13:13:20 +08:00
Alibaba: 好现在出问题了,推一波 advanced 的 VPC
翻译: 你没内网用了 |
19
VmuTargh 2017-02-28 13:16:14 +08:00
@VmuTargh 实际上如果按照云舒在文中的 VPC 架构设计,是完全可以支持用户自行开启内网互通规则的。然而在这件事情之前发生了啥各位都知道……
|
21
lerry 2017-02-28 13:26:40 +08:00
阿里云不知道,之前用青云就发现,不同租户内网是通的
|
22
kozora 2017-02-28 13:27:13 +08:00
全文转载了 (雾
|
23
solidx 2017-02-28 13:43:43 +08:00
这好像就是说明了所有租户处于同一内网中
第一阶段:不同租户处于不同的安全组(为每个租户建立一个安全组,但还是处于同一内网,只不过不能访问其他安全组的资源) 第二阶段:允许增加白名单(因为处于同一个内网,添加白名单不当可能会被其他租户访问到自己的资源) 耗子想说明的是租户真的在同一个内网 云舒想说明的是我们的确有做隔离 感觉他两吵架不在一个点 |
24
stormpeach 2017-02-28 13:48:22 +08:00
原来 P14 也吃黄焖鸡啊。。。
|
25
chilaoqi 2017-02-28 13:49:10 +08:00
Anyway 这个词,各种 “专家” 确实常常挂嘴边。
|
28
kingmo888 2017-02-28 14:38:33 +08:00
@solidx 感觉你没看仔细。
耗子根据聚石塔的情况说,是在同一内网的。 云舒说,我们确实不同租户有隔离,可 TM 聚石塔本来就 TM 是一个租户,当然在 TM 一个内网里,资源可以访问这再正常不过了。 |
29
dreamtrail 2017-02-28 15:32:55 +08:00
这个什么云舒写的东西,每次看到标题就让我很不舒服,什么玩意,老子天下第一?
|
30
julyclyde 2017-02-28 15:50:55 +08:00 1
看了感觉他们就是 IP 隔离,但二层是通的的感觉
|
31
hebeiround 2017-02-28 15:52:00 +08:00 3
@dreamtrail #28 某些程度上来讲,天下第一未必算得上,但是大陆第一基本上能实打实坐上一阵- -
|
32
7654 2017-02-28 16:00:41 +08:00
r#28 @kingmo888 聚石塔对阿里云来说是一个租户,但是对实际用户呢
这应该是云商偷數據卖数据最不要脸的 聚石塔是由天猫携手阿里云、万网宣布联合推出的一个“开放的电商云工作平台”,其价值在于汇聚了整个阿里系的各方资源优势,实现“云+SAAS 模式”的打通,通过资源共享与数据互通创造无限的商业价值 |
33
linzhi 2017-02-28 16:11:51 +08:00
吃瓜群众来了
|
34
19zero OP @dreamtrail 其他人这么说也许太狂了,但这个云舒有这个资本
|
35
swulling 2017-02-28 16:27:25 +08:00 2
我觉得耗子说的是对的,确实是在一个大内网里,只是靠安全组隔离罢了,这个隔离又不是底层的隔离
|
36
est 2017-02-28 16:30:58 +08:00 1
@dreamtrail 云舒还真有资格说天下第一。
|
37
thekll 2017-02-28 16:39:28 +08:00 via iPhone 6
在公开讨论技术问题时使用“ sb ”、“ tm ”、“鸟”这些词语,应该是对一些人和事很愤怒的表现吧。可是在公开场合这样真的好吗?要知道你面对不仅仅是那些你所指的人,而是各个层次的受众。否则你直接给他们私信发泄不满,另发文讲技术不是更好吗?
其次各种情感用词“小白”、“朕”、“ Pxx 级”,只能让人感觉到一种强烈的自我优越感的表白。技术出身技高一筹后就反过来瞧不起技不及己的人。权力、智力优势、资本都有一个共同的副作用,就是容易横行。这是每一个有理智的人都应该随时提防的,不管是对自己还是各种社会存在。这也是 Richard Stallman 一批另类程序员致力自由软件、以反抗权力的所在。 商人总以为自己很伟大,但商人做大了也容易作恶。 你也提到了哲学,这是系统实现中经常需要采用的思维方法,否则无从取舍。但是安全不是系统的目标,也不是全部,系统的目标是提供尽可能灵活的功能。安全属于底层的保障,是矛盾的另一个方向。你的牛气冲天的表现很容易让人产生你掌握了宇宙真理的错觉。 你可能也意识到了这种做法的不妥删了原文,但真的明白不妥之处了吗? |
38
yohole 2017-02-28 16:45:56 +08:00
VPC 和经典网络的收费是不一样的, VPC 流量收费能让你倾家荡产的,希望以后引用了 VPC 后,能把费用降下来才是王道
|
39
donie 2017-02-28 17:40:06 +08:00
没了解上下文,不过我觉得这文章想要说的没什么问题吧
|
40
panzhc 2017-02-28 18:03:15 +08:00 via iPhone
|
41
panzhc 2017-02-28 18:09:41 +08:00 via iPhone
没用过聚石塔,但个人认为聚石塔不应该是一个租户,而是类似一个代理商,代理商可以创建多个安全组,安全组之间默认是隔离的,这样就和阿里云公有云一样了。至于后面用户设置了不合理的规则,虽然用户也有责任,但云平台面对的很多都不是专业人员,更不是安全专业的,建议云平台可以做好提醒和记录,降低用户的安全风险。
|
42
cobola 2017-02-28 18:47:15 +08:00
惊讶的发现 我也是 P14 啊!
|
43
huson 2017-02-28 18:51:32 +08:00
耗子:阿里云租户互通的
云舒:我们用安全组隔离 所以不通 |
44
carterdang 2017-02-28 19:16:33 +08:00 via iPhone
为了节约 IP 和 租户频繁变更带来的运维困难,在一个大内网没问题。租户间的二层隔离从网络层面就是 vlan 隔离,用到 vxlan 解决租户 vlan 的数量限制是公有云的方向
|
45
G900 2017-02-28 19:23:13 +08:00
问题是这种隔离策略,为什么身为 P9 的耗子都不知道,聚石塔作为阿里云这样大的一个租户,也没有被告知,公司抽调来的安全人员,也没人知道,这不是阿里云或者策略设计者的失职吗?
你设计的策略,用户都不知道,你就有脸出来喷用户了? |
46
lance26 2017-02-28 20:54:16 +08:00
中二的气息扑面而来,“镇守一方”,“基本法则”...给我来瓶青岛纯生,吹到你怀疑人生:-)
|
47
hitsmaxft 2017-02-28 20:56:02 +08:00
安全是好的, 可是开发团队根本不喜欢“额外”花时间在这些束手束脚的东西上, 不到出事是不会重视的。说到底, 是管理问题。
工程团队不懂工程。 |
48
snnn 2017-02-28 21:00:39 +08:00 via Android
一句话:经典网络没做 overlay 呗。从来没见过哪个云计算提供商这么搞的。你不如说 CentOS 默认所有 incoming connection 都是 drop 的,所以只要用户不改,有天大的漏洞也不存在安全问题。
|
49
stevele 2017-02-28 21:42:34 +08:00
云舒的文章其实是为了专门驳斥耗子的,但是不能说明阿里云的 VPC 做的好。就我个人的观点来说,阿里就是一种家长式的做法,一种很强权的态度:安全问题因为用户不懂,所以由阿里云接管并设置规则,用户都是小白,不用成长,听我的就行。这种思路云舒非得说没错的话,我也没办法。
|
50
lynx 2017-02-28 22:19:39 +08:00
阿里云很多规则都很那啥,还总以为自己最牛逼,用户你就得听爸爸的话。服务质量又差。
最近几个月阿里云三天两头的说网络设备出现异常 |
51
ryd994 2017-02-28 22:29:43 +08:00 via Android
这逻辑………强盗逻辑
找这么说我也可以说公网很安全,有事的都是小白不会配防火墙而已。数据库限好了只允许相应的服务器访问不就好了? 说什么加机器拖进安全组的也是笑了。动态伸缩几百几千台都可以做到,你拖安全组么? 阿里的内网,安全性和公网有什么区别? 不论怎么洗,阿里云的经典网络和 AWS 的有本质上都是不同,而且 AWS 的套路有自己的优势,这是无法否认的。 |
52
mechgouki 2017-02-28 22:47:25 +08:00
为什么一定要说脏话?
|
53
hk24v2 2017-03-01 01:08:27 +08:00 via Android
网络和开发的矛盾
|
54
xifangczy 2017-03-01 02:49:51 +08:00
一半都是人身攻击看不下去。。。
|
55
timothyye 2017-03-01 08:28:15 +08:00 via Android
感觉他跟耗子讨论没在一个点上,口气和用词倒是挺狂
|
56
doubleflower 2017-03-01 10:06:11 +08:00
小白用户默认隔离就行,是不是内网有什么关系吗?
而且高级用户可以自由定制,这不是挺好的,喷点在哪? |
57
suikatw 2017-03-01 14:39:21 +08:00
@ryd994 要看默认行为
公网默认是要你死的,你不保护好自己,你就要死 安全组按照云舒的说法,默认是保护你,你要先作死,才给让你死 加机器拖进安全组这个我理解也是正常的行为,只是拖进安全组这个动作并不一定是用户自己完成甚至令用户感知的,比如动态伸缩这个功能也是默认伸缩到原有安全组不就可以了嘛 |
58
ryd994 2017-03-02 02:33:29 +08:00 via Android
@suikatw 所谓安全组,本质上和早期网络一样,点对点拓扑设置规则
大多数服务器系统都是默认防火墙全挡的,可小白呢?第一句就 accept all 。阿里云也是一样,默认全挡有什么用?配置起来不方便的话小白用户一样全 accept 。这该怪小白不懂事么?别人打你你怎么不保护自己,这就叫强盗逻辑。 好的平台能指导用户正确使用,因为根本没有 maluse 的动机和条件。平台好不好不是看上限,是看下限。不然的话互联网也超安全的,运维水平够的话,什么网络不能用?无米之炊也能做出来啊。可复杂度呢?可靠性呢?可维护性呢? 你要认识到安全组这个东西本来就是阿里云早期没有中间层自己挖的坑,各种安全组各种策略都是后期补锅。像 AWS 那样布局好的,从根本上就不需要考虑这个问题。 |