【免费】美团精选合辑——运维系列1资源-CSDN文库

需积分: 0 144 浏览量 2022-08-03 13:47:07 上传评论收藏 34.48MB PDF 举报

资源详情

资源评论

资源推荐

互联网企业数据安全体系建设 - 美团技术团队

互

联

网

企

业

数据

安

全

体

系

建

设

互

联

网

企

业

数据

安

全

体

系

建

设

作

者

:

赵

彦

一

、

背

景

一

、

背

景

Facebook

数据

泄

露

事件

一

度

成

为互

联

网

行

业

的

焦点

，

几

百

亿

美

元

市

值

瞬

间

蒸

发

，

这

个

代价

足

以

在地

球

上

养

活

一

支

绝

对

庞

大

的

安

全

团

队

，

甚

至

可

以

直

接收

购

几

家

规

模比

较

大

的

安

全公

司

了

。

虽

然

媒

体

上

发

表

了

很

多

谴责

的

言论

，

但

实

事

求

是

地

讲

，

Facebook

面

临

是

一个业

界

难题

，

任何

一

家

千

亿

美

元

的

互

联

网

公

司

面

对

这

种

问题

，

可

能

都

没

有

太大

的

抵抗

力

，

仅仅

是

因

为

全

球

区

域

的

法

律

和

国

情

不

同

，

暂时

不

被

顶

上

舆

论

的

浪

尖

罢

了

。

但

是

全

球

的

趋

势

是

越

来

越

重

视

隐

私

，

在

安

全

领

域

中

，

数据

安

全

这

个

子

领

域

也

重

新

被

提

到

了

一个

新

的

高

度

，

所

以

笔

者

就

借

机来

说

一下

数据

安

全

建

设

。

（

按

照

惯

例

，

本

文

涉

及

敏

感

信

息

的

部

分

会

进

行

省

略

处

理

或

者

一

笔

带

过

。

）

二

、

概

念

二

、

概

念

这

里

特

别

强

调

一下，

“

隐

私

保

护

”

和

“

数据

安

全

”

是

两个

完

全

不

同

的

概

念

，

隐

私

保

护

对

于

安

全

专业

人

员

来

说

是

一个

更

加偏

向合

规

的

事

情

，

主

要

是

指

数据

过

度

收

集

和

数据

滥

用

方

面

对

法

律

法

规

的

遵

从

性

，

对

很

多

把

自

身

的盈

利

模

式建

立

在

数据

之

上

的

互

联

网

公

司

而

言

，

这

个

问题

特

别

有

挑

战

。

有

些

公

司

甚

至

把

自

己定

义为

数据

公

司

，

如

果

不

用

数据

来

做

点

什么

，

要

么

用

户

体

验

大

打折扣

，

要

么

商

业

价

值

减

半

。

GDPR

即

将实

施

，

有

些

公

司

或

将

离

场

欧

洲

，

就

足

见

这

件事

的

难

度

不

容小

觑

。

当

然

市

场

上

也

有

一

些

特

别

推

崇

隐

私

保

护

的

公

司

，

他们

很

大

程

度

上

并

不

能

真

正

代

表

用

户意愿

，

而

只

是

因

为

自

家

没

有

数据

或

缺

少

数据

，

随

口

说说

而

已

。

数据

安

全

是

实

现

隐

私

保

护

的

最

重

要

手

段

之

一

。

对安

全

有

一

定

了

解

的

读

者

可

能

也会

察

觉

到

，

数据

安

全

并

不

是

一个

独

立

的

要

素

，

而

是

需

要

连

同

网络

安

全

、

系统

安

全

、

业

务

安

全

等

多

种

因

素

，

只

有

全

部都

做

好

了

，

才

能

最

终

达

到

数据

安

全

的

效

果

。

所

以

本

文

尽

可

能

的

以

数据

安

全

为

核

心

，

但

没

有

把

跟

数据

安

全

弱

相

关

的

传

统

安

全

体

系

防

护

全

部

列出

来

，

对

于

数据

安

全

这

个

命

题

而

言

尽

可

能

的

系统

化

，

又

避

免

啰

嗦

。

另

外

笔

者

也

打

算

在

夏

季

和

秋

季

把

其

他

子

领

域

的

话

题

单

独

成

文

，

譬

如

海

量

IDC

下

的

入

侵

防

御

体

系

等

，

敬

请

期

待

。

三

、

全

生

命周

期

建

设

三

、

全

生

命周

期

建

设

尽

管

业

内

也

有

同

学

表

示

数据

是

没

有

边

界

的

，

如

果

按

照

泄

露

途

径

去

做

可

能

起

不

到

“

根

治

”

的

效

果

，

但事

实

上

以

目

前

的

技

术是

做

不

到

无

边

界

数据

安

全

的

。

下

图

汇

总

了

一个

全

生

命周

期

内

的

数据

安

全

措施

：

互联网企业数据安全体系建设 - 美团技术团队

四

、

数据

采

集

四

、

数据

采

集

数据

泄

露

有

一

部

分

原

因

是

用

户

会

话

流

量

被

复

制

，

尽

管

有

点

技

术

门

槛

，

但也

是

发

生

频

率

比

较

高

的

安

全

事件之

一，

只

是是

很

多

企

业

没

有

感

知

到

而

已

。

下

面

从

几

个

维

度

来

说

明

数据

采

集阶

段

的

数据

保

护

。

流

量

保

护

流

量

保

护

全

站

HTTPS

是

目

前

互

联

网

的

主

流

趋

势

，

它

解

决

的

是

用

户

到

服

务

器

之

间

链

路

被

嗅

探

、

流

量镜

像

、

数据

被

第

三

方掠

走

的

问题

。

这

些

问题

其

实

是

比

较

严

重

的

，

比

如

电

信

运

营

商

内

部

偶

有

舞

弊

现

象

，

各

种

导

流

劫

持

插

广

告

（

当

然

也

可

以

存

数据

，

插

木

马

），

甚

至

连

AWS

也

被

劫

持

DNS

请

求

，

对

于

掌握

链

路资

源

的

人

来

说

无

异

于

可

以

发

动

一

次

“

核

战

争

”

。

即

使

目

标

对

象

IDC

入

侵

防

御

做

的

好

，

攻

击

者

也

可

以

不

通过

正

面

渗

透

，

而

是

直

接

复

制

流

量

，

甚

至

定

向

APT

，

最

终

只

是

看

操

纵

流

量

后

达

到

目的的

收

益

是

否

具

有

性

价

比

。

HTTPS

是

一个

表

面

现

象

，

它

暗

示

着

任何互

联

网

上

未

加

密

的

流

量

都

是

没

有

隐

私

和

数据

安

全

的

，

同

时

，

也

不

是

说

有

了

HTTPS

就

一

定安

全

。

HTTPS

本

身

也

有

各

种

安

全

问题

，

比

如

使

用

不

安

全

的

协

议

TLS1.0

、

SSL3

，

采

用

已

经

过

时

的

弱

加

密

算

法

套

件

，

实

现

框架

安

全

漏

洞

如

心

脏

滴

血

，

还

有

很

多

的

数

字

证

书

本

身

导

致

的

安

全

问

题

。

全

站

HTTPS

会

带

来

的

附

带

问题

是

CDN

和

高

防

IP

。

历史

上

有

家

很

大

的

互

联

网

公

司

被

NSA

嗅

探

获

取

了

用

户

数

据

，

原

因

是

CDN

回

源

时

没

有

使

用

加

密

，

即

用

户

浏

览

器

到

CDN

是

加

密

的

，

但

CDN

到

IDC

源

站

是明

文

的

。

如

果

CDN

到

源

站

加

密就

需

要

把

网

站

的

证

书

私

钥

给

到

CDN

厂

商

，

这

对

于

没

有

完

全

自

建

CDN

的

公

司

而

言

也

是

一

个

很

大

的

安

全

隐

患

，

所

以

后

来

衍

生

出

了

Keyless CDN

技

术

，

无

需

给

出

自

己

的

证

书

就

可

以

实

现

CDN

回

源

加

密

。

广

域

网

流

量

未

加

密

的

问题

也

要

避

免出

现

在

“

自

家

后

院

”——

IDC

间

的

流

量

复

制

和

备

份

同

步

，

对

应

的

解

决

方

案

是

跨

IDC

流

量

自

动加

密

、

TLS

隧

道

化

。

业

务

安

全

属

性

业

务

安

全

属

性

在

用

户

到

服

务

器

之

间

还

涉

及

两个业

务

安

全

方

向

的

问题

。

第

一个

问题

是

账

号

安

全

，

只

要

账

号

泄

露

（

撞

库

&

爆

破

）

到

达

一

定

数

量

级

，

把

这

些

账

号

的

数据

汇

总

一下，

就

必

定

可

以产

生

批

量

数据

泄

露

的

效

果

。

第

二

个

问题

是

反

爬

，

爬

虫

的

问题

存

在

于

一

切

可

通过

页面

、

接

口

获

取

数据

的

场

合

，

大

概

1

小

时

爬

个

几

百

万

条

数据

是

一

点

问题

都

没

有

的

，

对

于

没

有

彻底

脱

敏

的

数据

，

爬

虫

的

效

果有时

候

等

价于

“

黑

掉

”

服

务

器

。

账

号

主

动

地

或

被

动

地

泄

露

+

爬

虫

技

术

，

培

育

了

不

少

黑

产

和

数据

获

取

的

灰

色

地

带

。

UUID

UUID

UUID

最

大

的

作

用

是

建

立

中

间

映

射层

，

屏

蔽

与

真

实

用

户

信

息

的

关

系

链

。

譬

如

在

开

放

平

台

第

三

方

应

用

数据

按

需

自

主

授

权

只

能

读

取

UUID

，

但

不

能

直

接

获

取

个

人

的

微

信

号

。

更

潜

在

的

意

义

是

屏

蔽

个

体

识

别

数据

，

因

为

实

名

制

，

手

机

号

越

来

越

能

代

表

个

人

标

识

，且一

般

绑

定

了

各

种

账

号

，

更

改

成

本

很

高

，

找

到

手

机

号

就

能

对

上

这

个

人

，

因

此

理

论

上

但

凡

带

有

个

体

识

别

数据

的

信

息

都

需

要

“

转

接

桥

梁

”

、

匿名

化

和

脱

敏

。

譬

如

当

商

家

ID

能

唯

一

标

识

一个

品

牌

和

店

名

的

时

候

，

这

个

原

本

用

于

程

序

检

索

的

数据

结

构

也

一下

子

变

成

了

个

体

识

别

数据

，

也

都

需

要

纳

入

保

护

范

畴

。

互联网企业数据安全体系建设 - 美团技术团队

五

、

前

台

业

务

处

理

五

、

前

台

业

务

处

理

鉴

权

模

型

鉴

权

模

型

在

很

多

企

业

的

应

用

架构

中

，

只

有

在

业

务

逻辑

最

开

始处

理

的

部

分

设

置

登

录态

校

验

，

后

面

的

事

务

处

理

不

再

会

出

现用

户

鉴

权

，

进

而

引

发

了

一

系

列

的

越

权

漏

洞

。

事

实

上

越

权

漏

洞

并

不

是

这

种

模

型

的

全

部

危

害

，

还

包

括

各

种

K/V

、

RDS

（

关

系

型

数据

库

）

、

消

息

队

列

等等

，

RPC

没

有

鉴

权

导

致

可

任

意

读

取

的

安

全

问题

。

在

数据

层

只

知

道

请

求

来

自

一个

数据

访

问

层

中

间

件

，

来

自

一个

RPC

调

用

，

但

完

全

不

知

道

来

自

哪

个

用

户

，

还

是

哪

个

诸

如

客

服

系统

或

其

他

上

游

应

用

，

无

法

判

断

究竟

对

当

前

的

数据

（

对

象

）

是

否

拥

有

完

整

的

访

问

权

限

。

绝

大

多

数

互

联

网

公

司

都

用

开

源

软

件

或

修

改

后

的

开

源

软

件

，

这

类

开

源

软

件

的

特点

是

基

本

不

带

安

全

特

性

，

或

者

只

具

备

很弱

的

安

全

特

性

，

以

至

于

完

全

不

适

用

于

海

量

IDC

规

模

下

的

4A

模

型

（

认证

、

授

权

、

管

理

、

审

计

）

。

外

面防

御

做

的

很

好

，

而

在

内

网

可

以

随

意

读

写

，

这

可

能

是

互

联

网

行

业

的

普

遍

现

状

了

。

主

要

矛盾

还

是

鉴

权

颗

粒

度

和

弹

性

计

算

的

问题

，

关

于

这

个

问题

的

解

决

方

案

可

以

参

考

笔

者

的

另

外

一

篇

文

章

《

初

探

下一

代

网络

隔

离

与

访

问

控

制

》



，

其

中

提

到

Google

的

方

法

是

内

网

RPC

鉴

权

，

由

于

Google

的

内

网

只

有

RPC

一

种

协

议

，

所

以

就

规

避

了

上

述

大多

数

安

全

问题

。

对

于

业

务

流

的

鉴

权

模

型

，

本

质

上

是

需

要

做到

Data

和

App

分

离

，

建

立

Data

默

认

不

信任

App

的

模

型

，

而

应

用

中

的

全

程

Ticket

和

逐

级

鉴

权是

这

种

思

想

下

的

具

体

实

现

方

法

。

服

务化

服

务化

服

务化

并

不

能

认

为

是

一个

安

全

机

制

，

但

安

全

却

是服

务化

的

受

益

者

。

我

们

再

来

温

习

一下

当年

Bezos

在

Amazon

推

行

服

务化

的

一

纸

号

令

：

1

）

所

有

团

队

今

后

将

通过

服

务

接

口

公

开

他们

的

数据

和

功

能

。

2

）

团

队

必

须

通过这

些

接

口

相

互

通

信

。

3

）不

允

许

使

用

其

他

形式

的

进

程

间

通

信

：不

允

许

直

接

链

接

，不

允

许

直

接

读

取

其

他

团

队

的

数据

存

储

，不

支

持

共

享

内

存

模

式

，

无

后

门

。

唯

一

允

许

的

通

信

是

通过

网络

上

的

服

务

接

口

调

用

。

4

）

他们使

用

什么

技

术

并

不

重

要

。

HTTP

，

Corba

，

Pubsub

，

自

定

义

协

议

-

无

关

紧

要

。

贝

索

斯

不

在

乎

。

5

）

所

有服

务

接

口

无

一

例

外

都

必

须

从

头

开

始

设计

为

可

外

部

化

。

也

就

是

说

，

团

队

必

须

规

划

和

设计

能

够

将

接

口

展

示

给

外

部

开

发

人

员

。

没

有

例

外

。

6

）

任何

不

这

样

做

的

人

都

会

被解

雇

。

服

务化

的

结

果

在

安

全

上

的

意

义

是

必

须

通过

接

口

访

问

数据

，

屏

蔽

了

各

种

直

接

访

问

数据

的

途

径

，

有

了

API

控

制

和

审

计

就

会

方

便

很

多

。

内

网

加

密

内

网

加

密

一

些

业

界

Top

的

公

司

甚

至

在

IDC

内

网

里

也

做到

了

加

密

，

也

就

是

在

后台

的

组

件之

间

的

数据

传

输都

是

加

密

的

，

譬

如

Goolge

的

RPC

加

密

和

Amazon

的

TLS

。

由

于

IDC

内

网

的

流

量

比

公

网

大

得

多

，

所

以

这

里

是

比

较

考

验

工

程

能

力

的

地

方

。

对

于

大多

数

主

营

业

务

迭

代仍

然

感

觉

有

压

力

的

公

司

而

言

，

这

个

需

求

可

能

有

点

苛

刻

了

，

所

以

笔

者

认

为

用

这

些

指

标来

衡

量

一

家

公

司

的

安

全

能

力

属

于

哪

一个

档

位

是

合

理

的

。

私

有

协

议

算

不

算

？

如

果

私

有

协

议

里

不

含

有标

准

TLS

（

SHA256

）

以

上

强度

的

加

密

，

或

者

只

是

信

息

不

对

称

的

哈

希

，

笔

者

认

为

都

不

算

。

数据

库

审

计

数据

库

审

计

剩余137页未读，继续阅读

评论0

内容反馈

那你干哈

粉丝: 26
资源: 289

最新资源

资源上传下载、课程学习等过程中有任何疑问或建议，欢迎提出宝贵意见哦~我们会及时处理！点击此处反馈

feedback-tip