这是一个创建于 2804 天前的主题,其中的信息可能已经有所发展或是发生改变。
非常关注这次的经典内网安全事件
云舒刚刚发文回应了:
http://weibo.com/ttarticle/p/show?id=2309404080084758708032
原文如下:
给小白的租户隔离科普文
我现在搞一个小创业公司,没多少时间可以浪费。然而没有办法,很多事情我不出来说明,就会有错误在流传——而且是耗子等在程序员圈子里面有较大影响力的人。感觉也很有意思,许多技术人员跟街头巷尾的大爷大妈没啥区别,交头接耳议论纷纷。类似的事情,比如美国大选、收容难民等,微博上议论也颇多,让我思考了好一阵子,就在想这都是为啥啊(当然,我已经想明白了)?
且说正题。
先说结论:阿里云不同租户默认是隔离的,而且从 2009 年到现在一直如此。
我 2009 年开始负责弹性计算安全,属于开拓领土,业务逐渐起来后,镇守一方。当时,在网络层面,我定下了数条基本法则。这些基本法则凌驾于所有的网络访问规则之上,用户不可见、不可修改、不可覆盖,是类似宪法存在的根本大法。其中第一条就是不同租户处于不同的安全组,默认互相隔离。第二条是每一个 VM 发出去的报文宣称的源 MAC 地址和源 IP 地址必须与控制平台分发给它的一致。还有几条我就不一一透露了,不然要泄露机密——这也是我的痛苦所在,写这篇文章是在刀尖上跳舞,要把事情说清楚但是又不能透露机密,我个人浅见,耗子写得东西偏多了。
我的安全哲学是在安全这个专业领域用户是 sb (这里的 sb 用户也包括资深的开发人员在内,区别在于小白知道自己不懂,资深的开发人员则以为自己懂),安全得由我这种专业人士保护。所以可以看见,我设置的策略是不人性化的,是死规矩是一刀切。在安全领域,用户的资产也得由我说了算。
这是我的道。
不知道大家看过魔兽电影没有?麦迪文设置一个魔法屏障,保护国王莱恩和洛萨撤退,但是洛萨的儿子没有及时进入屏障而被杀掉——我做的规则就是这样的。就算你们是一个公司同一个部门不同员工,只要你们买的云主机是用各自自己的账户买的,那么你们内网就不可互访,就算是一家人也不行,就算是亲儿子和亲爹的也不行。
2014 年,我从镇守云安全任上调离,去搞安全实验室,到西域开疆辟土,做了 IOT 安全研究、黑客溯源以及风控安全产品——淘宝的无验证码就是我们当时做的。
2015 年,我当初给云计算定下的几条基本法则做了一些改动。按说,这个改动应该是考虑了用户的因素,更柔和,更得耗子等技术方面人员喜欢的——那就是不同安全组默认拒绝,但是允许用户增加白名单,允许一些安全的访问,麦迪文的那个屏障,可以临时允许洛萨的儿子进来。这是 linux 的理念,信任用户,让用户自己决定自己的东西。比如说 root 去 rm -rf /,系统照样执行。
现在问题是,有一些用户为了方便,设置了允许一切 IP 访问自己的安全组,也就是有些吃瓜群众纷纷表示自己懂安全了发现漏洞了的原因。
我做的法则,铁血专制,剥夺用户的权利,即使用户想自杀也自杀不了,绝对安全,但是用户被我关在了笼子里——这部分,我也经历过不少投诉。 2015 年之后的法则,默认安全,但是用户有自主权,如果要自杀真的能死掉。
随着时间的推移,云计算的成熟,我觉得现在的策略是合适的。默认安全,但是高级用户可以自己掌控自己,不是很美妙么?所有的好的系统,都应该是这样子的吧。如果想自己有完全的掌控权,但是又绝对安全,抱歉,做不到。
我相信到这里,事情应该明确了吧?那么接下来,我要开始批驳耗子了——你说你一个程序员,好好写程序,发发编码方面的鸡汤文多好,为什么为什么为什么要一次一次的凑到我面前来呢?嗯?
耗子第一篇文章,这一段话“一台个人机器还好设置,如果你是企业用户,你的机器多了,那么,安全组这种设置可能就会是一个恶梦。比如你有 100 台机器,新增的这一台你就需要让那 100 台都知道。或是,你这 100 台中有一台的 IP 变了,你需要让另外 99 台的安全组都知道。…………省略许多文字…………所以,在这样的经典网络下,对于你的机器的安全组的管理,完全是没法管的,因为是静态的,而还是非常复杂的,所以配置错误这种事么,基本上是高概率的。”这一段简直就是放屁。配置安全组,不需要你去了解那么多细节,你只需要在 web 界面上把一个 vm 拉倒一个组里面去就好了,组增加、减少 vm ,所有相关组的策略会自动适配。即使你的 vm 发生迁移了,组策略也会自动跟随,部署到新的宿主机上面去。这是一个纯自动化的过程。
“一般来说, VPC 是通过 hack 底层的虚拟化系统完成的,也就是说,在 Hypervisor 层虚拟交换机中实现了一个类似路由器的东西——通过一个用户自定义的虚拟 IP 和实际 IP 的关系做 packet forwarding 或是 overlay 的机制等。 Anyway ,实现细节不重要。”这一段,你 tm 一个知名技术博主,写技术科普文章,你跟我说“ anyway 实现细节不重要”?就算不提细节,你跟我说“ VPC 是通过 hack 底层的虚拟化系统完成的”,逗我?不懂就去学啊。
我们首先看看为什么需要 VPC 。
首先云计算 VM 是讲究漂移的,有因为故障发生的漂移,也有因为用户主动发起的跨区域的漂移。漂移过程中要求保证业务尽量不中断,则需要保证 vm 的 ip 地址、 mac 地址不变,这就意味着需要一个巨大的二层网络,甚至是跨区域的。而二层网络越大,交换设备的 cam 表压力也越大,甚至爆掉, arp 之类的广播风暴也越严重,所以要把 vm 层面的一些东西对物理交换机屏蔽掉,分层处理。
其次, VPC 给用户一种很好的体验,延续传统网络时代自己组网自己规划的那种感觉,当然也可以更灵活的设计自己想要的东西,甚至形成 service chain 。
现在的 VPC 一般都是基于 VXLAN 实现的, VLAN 的 VLAN ID 字段只有 12 bit ,最多支持 4094 个 VLAN ,这对于海量租户而言肯定是不够的, VXLAN 则扩展成 24bit ,能够支持 1600 万个 VPC 区域,基本够用了。 VXLAN 是将原始报文封装成 UDP 包,可以很方便的跨域三层网络传输二层的内容,能够让用户组建跨地区的 VPC 。并且, VXLAN 将内部 VM 的 MAC 地址等信息屏蔽掉了,由 VTEP 处理,让交换机专注物理机方面的事情,减轻压力。
VXLAN 数据流程图(不是我画的,谷歌搜索的) VXLAN 数据流程图(不是我画的,谷歌搜索的)
对我而言,最喜欢的是 VTEP 可以形成 service chain 。其实现在 VXLAN 和 SDN 已经不太能去分得开了,至少我不太能分得开,也许可以基于 openflow 协议来控制 VTEP 的行为吧。
在阿里期间,我一直对现有割裂的安全厂商和产品耿耿于怀,大约是 2011 年我在 owasp 讲过我的安全产品虚拟化思路,将不同厂商的硬件盒子抽象成统一的 VM ,不同的功能就是不同的 image ,然后基于 SDN 或者 VXLAN 的能力,软件的方式定义网络结构,将平面的 vm 变成具有立体结构。这样,用户就可以绘制自己的网络拓扑图,在对应的地方,选择对应的产品,可能是安全,也可能是负载均衡,然后再选择供应商,点生成,整个网络就生成好了。这也许就是云计算安全最后的终局,但是不知道要多少年才能发展得到。
我本来想,国内就由我自己来完成这个壮举,可惜未能实现,我已离职。人生如梦啊。
不提这些,来说耗子的第二篇文章。
“ 2013 年,我在阿里商家业务部做聚石塔,聚石塔的底层是阿里云。当时,聚石塔的安全问题很严重,有很多商家和买家的业务数据外泄,所以,成立了一个专门负责安全的小组。阿里安全部门也专门派人来强力支持。
当时有一个很大的安全问题是——阿里云的内网多个租户居然是通的。”
不知道耗子知道不知道,因为一些我不方便说的原因,聚石塔是由淘宝维护负责的电商云,其实是属于同一个租户的!同一个租户,当然是互通的啊。我不知道耗子是知道那个原因不说,因为知道我不可能说,还是真不知道——按说你当时也 P9 ,应该知道吧。不说这个,但是至少,聚石塔所有的 vm 是属于同一个租户的,你也不知道么?那你负责聚石塔是怎么负责的?也是“ anyway ,细节不重要”?
更多的东西,我就不说了,所有这些,对我现在而言,都没有意义。如果不离职,我已经 P10 了,也许不久就要做到 P11 也就是所谓 VP 了。
但是那又如何?我现在是默安科技的联合创始人兼 CTO ,我他妈已经 P14 了啊。
因为这么些鸟事情,浪费了朕一上午的时间。这几年我基本已经不跟人交流云计算安全方面的东西了,因为我不知道找谁跟我交流。懂云的不懂安全,懂安全的不懂云,都懂的嘛,除了我以及了了数人之外,也就是一些搞跨界的了。
大道难借他人之手,唯有自成,且吃个黄焖鸡压压惊。
云舒刚刚发文回应了:
http://weibo.com/ttarticle/p/show?id=2309404080084758708032
原文如下:
给小白的租户隔离科普文
我现在搞一个小创业公司,没多少时间可以浪费。然而没有办法,很多事情我不出来说明,就会有错误在流传——而且是耗子等在程序员圈子里面有较大影响力的人。感觉也很有意思,许多技术人员跟街头巷尾的大爷大妈没啥区别,交头接耳议论纷纷。类似的事情,比如美国大选、收容难民等,微博上议论也颇多,让我思考了好一阵子,就在想这都是为啥啊(当然,我已经想明白了)?
且说正题。
先说结论:阿里云不同租户默认是隔离的,而且从 2009 年到现在一直如此。
我 2009 年开始负责弹性计算安全,属于开拓领土,业务逐渐起来后,镇守一方。当时,在网络层面,我定下了数条基本法则。这些基本法则凌驾于所有的网络访问规则之上,用户不可见、不可修改、不可覆盖,是类似宪法存在的根本大法。其中第一条就是不同租户处于不同的安全组,默认互相隔离。第二条是每一个 VM 发出去的报文宣称的源 MAC 地址和源 IP 地址必须与控制平台分发给它的一致。还有几条我就不一一透露了,不然要泄露机密——这也是我的痛苦所在,写这篇文章是在刀尖上跳舞,要把事情说清楚但是又不能透露机密,我个人浅见,耗子写得东西偏多了。
我的安全哲学是在安全这个专业领域用户是 sb (这里的 sb 用户也包括资深的开发人员在内,区别在于小白知道自己不懂,资深的开发人员则以为自己懂),安全得由我这种专业人士保护。所以可以看见,我设置的策略是不人性化的,是死规矩是一刀切。在安全领域,用户的资产也得由我说了算。
这是我的道。
不知道大家看过魔兽电影没有?麦迪文设置一个魔法屏障,保护国王莱恩和洛萨撤退,但是洛萨的儿子没有及时进入屏障而被杀掉——我做的规则就是这样的。就算你们是一个公司同一个部门不同员工,只要你们买的云主机是用各自自己的账户买的,那么你们内网就不可互访,就算是一家人也不行,就算是亲儿子和亲爹的也不行。
2014 年,我从镇守云安全任上调离,去搞安全实验室,到西域开疆辟土,做了 IOT 安全研究、黑客溯源以及风控安全产品——淘宝的无验证码就是我们当时做的。
2015 年,我当初给云计算定下的几条基本法则做了一些改动。按说,这个改动应该是考虑了用户的因素,更柔和,更得耗子等技术方面人员喜欢的——那就是不同安全组默认拒绝,但是允许用户增加白名单,允许一些安全的访问,麦迪文的那个屏障,可以临时允许洛萨的儿子进来。这是 linux 的理念,信任用户,让用户自己决定自己的东西。比如说 root 去 rm -rf /,系统照样执行。
现在问题是,有一些用户为了方便,设置了允许一切 IP 访问自己的安全组,也就是有些吃瓜群众纷纷表示自己懂安全了发现漏洞了的原因。
我做的法则,铁血专制,剥夺用户的权利,即使用户想自杀也自杀不了,绝对安全,但是用户被我关在了笼子里——这部分,我也经历过不少投诉。 2015 年之后的法则,默认安全,但是用户有自主权,如果要自杀真的能死掉。
随着时间的推移,云计算的成熟,我觉得现在的策略是合适的。默认安全,但是高级用户可以自己掌控自己,不是很美妙么?所有的好的系统,都应该是这样子的吧。如果想自己有完全的掌控权,但是又绝对安全,抱歉,做不到。
我相信到这里,事情应该明确了吧?那么接下来,我要开始批驳耗子了——你说你一个程序员,好好写程序,发发编码方面的鸡汤文多好,为什么为什么为什么要一次一次的凑到我面前来呢?嗯?
耗子第一篇文章,这一段话“一台个人机器还好设置,如果你是企业用户,你的机器多了,那么,安全组这种设置可能就会是一个恶梦。比如你有 100 台机器,新增的这一台你就需要让那 100 台都知道。或是,你这 100 台中有一台的 IP 变了,你需要让另外 99 台的安全组都知道。…………省略许多文字…………所以,在这样的经典网络下,对于你的机器的安全组的管理,完全是没法管的,因为是静态的,而还是非常复杂的,所以配置错误这种事么,基本上是高概率的。”这一段简直就是放屁。配置安全组,不需要你去了解那么多细节,你只需要在 web 界面上把一个 vm 拉倒一个组里面去就好了,组增加、减少 vm ,所有相关组的策略会自动适配。即使你的 vm 发生迁移了,组策略也会自动跟随,部署到新的宿主机上面去。这是一个纯自动化的过程。
“一般来说, VPC 是通过 hack 底层的虚拟化系统完成的,也就是说,在 Hypervisor 层虚拟交换机中实现了一个类似路由器的东西——通过一个用户自定义的虚拟 IP 和实际 IP 的关系做 packet forwarding 或是 overlay 的机制等。 Anyway ,实现细节不重要。”这一段,你 tm 一个知名技术博主,写技术科普文章,你跟我说“ anyway 实现细节不重要”?就算不提细节,你跟我说“ VPC 是通过 hack 底层的虚拟化系统完成的”,逗我?不懂就去学啊。
我们首先看看为什么需要 VPC 。
首先云计算 VM 是讲究漂移的,有因为故障发生的漂移,也有因为用户主动发起的跨区域的漂移。漂移过程中要求保证业务尽量不中断,则需要保证 vm 的 ip 地址、 mac 地址不变,这就意味着需要一个巨大的二层网络,甚至是跨区域的。而二层网络越大,交换设备的 cam 表压力也越大,甚至爆掉, arp 之类的广播风暴也越严重,所以要把 vm 层面的一些东西对物理交换机屏蔽掉,分层处理。
其次, VPC 给用户一种很好的体验,延续传统网络时代自己组网自己规划的那种感觉,当然也可以更灵活的设计自己想要的东西,甚至形成 service chain 。
现在的 VPC 一般都是基于 VXLAN 实现的, VLAN 的 VLAN ID 字段只有 12 bit ,最多支持 4094 个 VLAN ,这对于海量租户而言肯定是不够的, VXLAN 则扩展成 24bit ,能够支持 1600 万个 VPC 区域,基本够用了。 VXLAN 是将原始报文封装成 UDP 包,可以很方便的跨域三层网络传输二层的内容,能够让用户组建跨地区的 VPC 。并且, VXLAN 将内部 VM 的 MAC 地址等信息屏蔽掉了,由 VTEP 处理,让交换机专注物理机方面的事情,减轻压力。
VXLAN 数据流程图(不是我画的,谷歌搜索的) VXLAN 数据流程图(不是我画的,谷歌搜索的)
对我而言,最喜欢的是 VTEP 可以形成 service chain 。其实现在 VXLAN 和 SDN 已经不太能去分得开了,至少我不太能分得开,也许可以基于 openflow 协议来控制 VTEP 的行为吧。
在阿里期间,我一直对现有割裂的安全厂商和产品耿耿于怀,大约是 2011 年我在 owasp 讲过我的安全产品虚拟化思路,将不同厂商的硬件盒子抽象成统一的 VM ,不同的功能就是不同的 image ,然后基于 SDN 或者 VXLAN 的能力,软件的方式定义网络结构,将平面的 vm 变成具有立体结构。这样,用户就可以绘制自己的网络拓扑图,在对应的地方,选择对应的产品,可能是安全,也可能是负载均衡,然后再选择供应商,点生成,整个网络就生成好了。这也许就是云计算安全最后的终局,但是不知道要多少年才能发展得到。
我本来想,国内就由我自己来完成这个壮举,可惜未能实现,我已离职。人生如梦啊。
不提这些,来说耗子的第二篇文章。
“ 2013 年,我在阿里商家业务部做聚石塔,聚石塔的底层是阿里云。当时,聚石塔的安全问题很严重,有很多商家和买家的业务数据外泄,所以,成立了一个专门负责安全的小组。阿里安全部门也专门派人来强力支持。
当时有一个很大的安全问题是——阿里云的内网多个租户居然是通的。”
不知道耗子知道不知道,因为一些我不方便说的原因,聚石塔是由淘宝维护负责的电商云,其实是属于同一个租户的!同一个租户,当然是互通的啊。我不知道耗子是知道那个原因不说,因为知道我不可能说,还是真不知道——按说你当时也 P9 ,应该知道吧。不说这个,但是至少,聚石塔所有的 vm 是属于同一个租户的,你也不知道么?那你负责聚石塔是怎么负责的?也是“ anyway ,细节不重要”?
更多的东西,我就不说了,所有这些,对我现在而言,都没有意义。如果不离职,我已经 P10 了,也许不久就要做到 P11 也就是所谓 VP 了。
但是那又如何?我现在是默安科技的联合创始人兼 CTO ,我他妈已经 P14 了啊。
因为这么些鸟事情,浪费了朕一上午的时间。这几年我基本已经不跟人交流云计算安全方面的东西了,因为我不知道找谁跟我交流。懂云的不懂安全,懂安全的不懂云,都懂的嘛,除了我以及了了数人之外,也就是一些搞跨界的了。
大道难借他人之手,唯有自成,且吃个黄焖鸡压压惊。
 |
1
lians 2017-02-28 11:45:02 +08:00 via Android
离开那么多年 现成运行规则已经没有权限搞了吧 但内网的确啥都扫不到
其实也没什么 阿里云天天发那么多安全产品为了啥?懂了就得了呗 |
 |
2
Aliencn 2017-02-28 11:52:06 +08:00  7
就爱看技术人员撕逼,有乐趣还长知识
|
 |
3
Satan4869 2017-02-28 12:03:48 +08:00 via iPhone
哈哈哈 好一篇打脸的文章
感谢楼主分享 |
 |
4
simaguo 2017-02-28 12:04:41 +08:00
不明觉厉,前排,瓜子花生
|
 |
5
Tuisku 2017-02-28 12:11:14 +08:00
“但是那又如何?我现在是 默安科技 的联合创始人兼 CTO ,我他妈已经 P14 了啊。”
|
 |
6
19zero OP 1
大神把这条又删了……
“我一搞起来就容易态度很差,讨论技术的时候进入亢奋状态就变成暴君。所以,我又删掉了。但是问题,我想还是说清楚了。阿里云的租户从开始到现在默认都是隔离的,只是当初的隔离不可撤销,现在考虑用户感受,允许用户修改。不说了,我吃黄焖鸡了。 ” 问题说清楚了,但也点到为止,既霸气又有风度 |
 |
7
chenqh 2017-02-28 12:35:36 +08:00 via iPhone
这不是在证明经典网络是个大内网吗?
|
 |
8
AlexaZhou 2017-02-28 12:37:05 +08:00
这篇文章我喜欢,尤其最后一句
|
 |
9
vingz 2017-02-28 12:43:59 +08:00 1
跟过陈皓的博客多年,基本每篇必看,学到很多,不论是技术还是职业规划;
偏爱他讨论技术时温和的态度;能接受别人意见,基本上每篇博客都有读者在他的讨论区挑错,他会核实,如果有会改正。 我不信任一个讨论问题时态度差的人,能虚心,能诚于技术; 人都会犯错,基于个人的信息面 /经验 /记忆,写出的技术文章会有错谬,或者过段时间会有错谬(技术在发展...), anyway , try to control ourself; |
 |
10
tabris17 2017-02-28 12:44:17 +08:00
99%的漏洞是配置不当引起的安全问题
|
 |
11
IamJ 2017-02-28 12:46:54 +08:00
已经删掉了。。
|
 |
12
yaxin 2017-02-28 12:48:50 +08:00
为什么删了
|
 |
13
UnknownR 2017-02-28 12:48:52 +08:00
可以,围观还能涨姿势,也在纠结要不要毕业了去云计算的公司
|
 |
14
irainsoft 2017-02-28 12:59:21 +08:00
看这写的,到后面确实很亢奋啊 233333
|
 |
15
zbinlin 2017-02-28 13:02:19 +08:00
浪费了一个上午的时间写的,为什么要删掉呢?那样时间就真的浪费了。
|
 |
16
guoxu1231 2017-02-28 13:07:09 +08:00 via iPhone
狂的一米,我都没耐心读完。
|
 |
17
lihua1358 2017-02-28 13:08:29 +08:00
@yaxin “我一搞起来就容易态度很差,讨论技术的时候进入亢奋状态就变成暴君。所以,我又删掉了。但是问题,我想还是说清楚了。阿里云的租户从开始到现在默认都是隔离的,只是当初的隔离不可撤销,现在考虑用户感受,允许用户修改。不说了,我吃黄焖鸡了。 ”
这个原因吧 |
 |
18
VmuTargh 2017-02-28 13:13:20 +08:00
Alibaba: 好现在出问题了,推一波 advanced 的 VPC
翻译: 你没内网用了 |
|
19
VmuTargh 2017-02-28 13:16:14 +08:00
@VmuTargh 实际上如果按照云舒在文中的 VPC 架构设计,是完全可以支持用户自行开启内网互通规则的。然而在这件事情之前发生了啥各位都知道……
|
 |
21
lerry 2017-02-28 13:26:40 +08:00
阿里云不知道,之前用青云就发现,不同租户内网是通的
|
 |
22
kozora 2017-02-28 13:27:13 +08:00
全文转载了 (雾
|
 |
23
solidx 2017-02-28 13:43:43 +08:00
这好像就是说明了所有租户处于同一内网中
第一阶段:不同租户处于不同的安全组(为每个租户建立一个安全组,但还是处于同一内网,只不过不能访问其他安全组的资源) 第二阶段:允许增加白名单(因为处于同一个内网,添加白名单不当可能会被其他租户访问到自己的资源) 耗子想说明的是租户真的在同一个内网 云舒想说明的是我们的确有做隔离 感觉他两吵架不在一个点 |
 |
24
stormpeach 2017-02-28 13:48:22 +08:00
原来 P14 也吃黄焖鸡啊。。。
|
 |
25
chilaoqi 2017-02-28 13:49:10 +08:00
Anyway 这个词,各种 “专家” 确实常常挂嘴边。
|
 |
28
kingmo888 2017-02-28 14:38:33 +08:00
@solidx 感觉你没看仔细。
耗子根据聚石塔的情况说,是在同一内网的。 云舒说,我们确实不同租户有隔离,可 TM 聚石塔本来就 TM 是一个租户,当然在 TM 一个内网里,资源可以访问这再正常不过了。 |
 |
29
dreamtrail 2017-02-28 15:32:55 +08:00
这个什么云舒写的东西,每次看到标题就让我很不舒服,什么玩意,老子天下第一?
|
 |
30
julyclyde 2017-02-28 15:50:55 +08:00 1
看了感觉他们就是 IP 隔离,但二层是通的的感觉
|
 |
31
hebeiround 2017-02-28 15:52:00 +08:00 3
@dreamtrail #28 某些程度上来讲,天下第一未必算得上,但是大陆第一基本上能实打实坐上一阵- -
|
 |
32
7654 2017-02-28 16:00:41 +08:00
r#28 @kingmo888 聚石塔对阿里云来说是一个租户,但是对实际用户呢
这应该是云商偷數據卖数据最不要脸的 聚石塔是由天猫携手阿里云、万网宣布联合推出的一个“开放的电商云工作平台”,其价值在于汇聚了整个阿里系的各方资源优势,实现“云+SAAS 模式”的打通,通过资源共享与数据互通创造无限的商业价值 |
 |
33
linzhi 2017-02-28 16:11:51 +08:00
吃瓜群众来了
|
|
34
19zero OP @dreamtrail 其他人这么说也许太狂了,但这个云舒有这个资本
|
 |
35
swulling 2017-02-28 16:27:25 +08:00 2
我觉得耗子说的是对的,确实是在一个大内网里,只是靠安全组隔离罢了,这个隔离又不是底层的隔离
|
 |
36
est 2017-02-28 16:30:58 +08:00 1
@dreamtrail 云舒还真有资格说天下第一。
|
 |
37
thekll 2017-02-28 16:39:28 +08:00 via iPhone 6
在公开讨论技术问题时使用“ sb ”、“ tm ”、“鸟”这些词语,应该是对一些人和事很愤怒的表现吧。可是在公开场合这样真的好吗?要知道你面对不仅仅是那些你所指的人,而是各个层次的受众。否则你直接给他们私信发泄不满,另发文讲技术不是更好吗?
其次各种情感用词“小白”、“朕”、“ Pxx 级”,只能让人感觉到一种强烈的自我优越感的表白。技术出身技高一筹后就反过来瞧不起技不及己的人。权力、智力优势、资本都有一个共同的副作用,就是容易横行。这是每一个有理智的人都应该随时提防的,不管是对自己还是各种社会存在。这也是 Richard Stallman 一批另类程序员致力自由软件、以反抗权力的所在。 商人总以为自己很伟大,但商人做大了也容易作恶。 你也提到了哲学,这是系统实现中经常需要采用的思维方法,否则无从取舍。但是安全不是系统的目标,也不是全部,系统的目标是提供尽可能灵活的功能。安全属于底层的保障,是矛盾的另一个方向。你的牛气冲天的表现很容易让人产生你掌握了宇宙真理的错觉。 你可能也意识到了这种做法的不妥删了原文,但真的明白不妥之处了吗? |
 |
38
yohole 2017-02-28 16:45:56 +08:00
VPC 和经典网络的收费是不一样的, VPC 流量收费能让你倾家荡产的,希望以后引用了 VPC 后,能把费用降下来才是王道
|
 |
39
donie 2017-02-28 17:40:06 +08:00
没了解上下文,不过我觉得这文章想要说的没什么问题吧
|
 |
40
panzhc 2017-02-28 18:03:15 +08:00 via iPhone
|
|
41
panzhc 2017-02-28 18:09:41 +08:00 via iPhone
没用过聚石塔,但个人认为聚石塔不应该是一个租户,而是类似一个代理商,代理商可以创建多个安全组,安全组之间默认是隔离的,这样就和阿里云公有云一样了。至于后面用户设置了不合理的规则,虽然用户也有责任,但云平台面对的很多都不是专业人员,更不是安全专业的,建议云平台可以做好提醒和记录,降低用户的安全风险。
|
 |
42
cobola 2017-02-28 18:47:15 +08:00
惊讶的发现 我也是 P14 啊!
|
 |
43
huson 2017-02-28 18:51:32 +08:00
耗子:阿里云租户互通的
云舒:我们用安全组隔离 所以不通 |
 |
44
carterdang 2017-02-28 19:16:33 +08:00 via iPhone
为了节约 IP 和 租户频繁变更带来的运维困难,在一个大内网没问题。租户间的二层隔离从网络层面就是 vlan 隔离,用到 vxlan 解决租户 vlan 的数量限制是公有云的方向
|
 |
45
G900 2017-02-28 19:23:13 +08:00
问题是这种隔离策略,为什么身为 P9 的耗子都不知道,聚石塔作为阿里云这样大的一个租户,也没有被告知,公司抽调来的安全人员,也没人知道,这不是阿里云或者策略设计者的失职吗?
你设计的策略,用户都不知道,你就有脸出来喷用户了? |
 |
46
lance26 2017-02-28 20:54:16 +08:00
中二的气息扑面而来,“镇守一方”,“基本法则”...给我来瓶青岛纯生,吹到你怀疑人生:-)
|
 |
47
hitsmaxft 2017-02-28 20:56:02 +08:00
安全是好的, 可是开发团队根本不喜欢“额外”花时间在这些束手束脚的东西上, 不到出事是不会重视的。说到底, 是管理问题。
工程团队不懂工程。 |
 |
48
snnn 2017-02-28 21:00:39 +08:00 via Android
一句话:经典网络没做 overlay 呗。从来没见过哪个云计算提供商这么搞的。你不如说 CentOS 默认所有 incoming connection 都是 drop 的,所以只要用户不改,有天大的漏洞也不存在安全问题。
|
 |
49
stevele 2017-02-28 21:42:34 +08:00
云舒的文章其实是为了专门驳斥耗子的,但是不能说明阿里云的 VPC 做的好。就我个人的观点来说,阿里就是一种家长式的做法,一种很强权的态度:安全问题因为用户不懂,所以由阿里云接管并设置规则,用户都是小白,不用成长,听我的就行。这种思路云舒非得说没错的话,我也没办法。
|
 |
50
lynx 2017-02-28 22:19:39 +08:00
阿里云很多规则都很那啥,还总以为自己最牛逼,用户你就得听爸爸的话。服务质量又差。
最近几个月阿里云三天两头的说网络设备出现异常 |
 |
51
ryd994 2017-02-28 22:29:43 +08:00 via Android
这逻辑………强盗逻辑
找这么说我也可以说公网很安全,有事的都是小白不会配防火墙而已。数据库限好了只允许相应的服务器访问不就好了? 说什么加机器拖进安全组的也是笑了。动态伸缩几百几千台都可以做到,你拖安全组么? 阿里的内网,安全性和公网有什么区别? 不论怎么洗,阿里云的经典网络和 AWS 的有本质上都是不同,而且 AWS 的套路有自己的优势,这是无法否认的。 |
 |
52
mechgouki 2017-02-28 22:47:25 +08:00
为什么一定要说脏话?
|
 |
53
hk24v2 2017-03-01 01:08:27 +08:00 via Android
网络和开发的矛盾
|
 |
54
xifangczy 2017-03-01 02:49:51 +08:00
一半都是人身攻击看不下去。。。
|
 |
55
timothyye 2017-03-01 08:28:15 +08:00 via Android
感觉他跟耗子讨论没在一个点上,口气和用词倒是挺狂
|
 |
56
doubleflower 2017-03-01 10:06:11 +08:00
小白用户默认隔离就行,是不是内网有什么关系吗?
而且高级用户可以自由定制,这不是挺好的,喷点在哪? |
 |
57
suikatw 2017-03-01 14:39:21 +08:00
@ryd994 要看默认行为
公网默认是要你死的,你不保护好自己,你就要死 安全组按照云舒的说法,默认是保护你,你要先作死,才给让你死 加机器拖进安全组这个我理解也是正常的行为,只是拖进安全组这个动作并不一定是用户自己完成甚至令用户感知的,比如动态伸缩这个功能也是默认伸缩到原有安全组不就可以了嘛 |
|
58
ryd994 2017-03-02 02:33:29 +08:00 via Android
@suikatw 所谓安全组,本质上和早期网络一样,点对点拓扑设置规则
大多数服务器系统都是默认防火墙全挡的,可小白呢?第一句就 accept all 。阿里云也是一样,默认全挡有什么用?配置起来不方便的话小白用户一样全 accept 。这该怪小白不懂事么?别人打你你怎么不保护自己,这就叫强盗逻辑。 好的平台能指导用户正确使用,因为根本没有 maluse 的动机和条件。平台好不好不是看上限,是看下限。不然的话互联网也超安全的,运维水平够的话,什么网络不能用?无米之炊也能做出来啊。可复杂度呢?可靠性呢?可维护性呢? 你要认识到安全组这个东西本来就是阿里云早期没有中间层自己挖的坑,各种安全组各种策略都是后期补锅。像 AWS 那样布局好的,从根本上就不需要考虑这个问题。 |
Select Language