前言
在我的从业经历里,最初的时候可以说是开源时代,生产网部署一些ossec/wauzh/suricata,极少有采购的产品,绝大多数是借助开源搭建的,至于办公网,端上更是缺乏管控的,只能通过边界做隔离。但是由于生产环境都在公有云上(AWS,阿里云),所以其实一些基础的防御是依托了云厂商本身的。不过由于预算问题,也并不能采购多少云上的安全产品。后来去了大厂,大部分产品又都变成了自研的,结合内部系统做了很多的定制化,岗位职责明确细分。不过办公网的安全产品仍存在一定的采购。但是即便是少量的采购也是非常大的一笔预算,比如一个license 100块,覆盖5w个终端要多少钱?同时,当时从IDC上云的过程,安全产品的选项也在逐渐改变,一方面是集团安全的策略,一方面是阿里云公有云的售卖,还有一方面是自研产品。 再到现在的一个金融企业里,环境既不像之前的多云,也不像多IDC+云, 而是纯粹的变成了IDC。当然政策要求,无可厚非。
正文
商业设备具有一定的成熟性,但跌代往往没有开源的快。
特点:
- 硬件+软件形式售卖,一般管理平台是软件,license采取年更或者3年更方式。
- 定制化OS, 限制性命令行,同时进行了封装,可以通过特殊指令使用完整shell。
- 细节设计有缺陷,尤其是一些读写文件操作,密码错误后会直接删除特定目录的文件。
- 厂商在针对license激活方面为了防止盗版做了大量工作,但似乎收效甚微。
- 一般遇到问题都能够很快解决,不需要求助于社区。
问题:
其实从采购到POC,到维护设备,以及支持业务方使用的过程中,问题只会越来越多。POC时考虑下功能,性能,运维,运营,应用,多想想又没错。
- 目前商业化产品虽然贵,技术支持和售后也不错,但是并不是适用于每一个企业,定制化仍然需求强烈。
- 凡是想做HA,哪怕是管理平台也要买两个License,(乙方一般让用户购买更多的管理平台),但每台机器不能重复注册到不同管理平台。这样也难免出现单点故障,如果单独注册就增加了运营的难度。
- 相比于自研或者开源,每一套都需要一定的学习成本。同时,商业产品背后也采用了不少开源技术,例如radware的系统内部也是套用了ELK
- 很多企业在采购的商业产品从选型到部署到配置,几乎都是技术支持来完成的(大概率),那么其中的细节和坑企业是否知道呢?
- 很多企业以为采用商业产品就能够怎么怎么样,其实这些商业产品流露在外的并不少,留意下即可发下,针对每种设备的hacker研究者并不少, 同时由于商业产品不会把用户聚集在一起,因此出了事情的时候受灾更加严重。
- 针对商用设备出现的漏洞研究相对较少,也导致了漏洞暴露的时间会有延迟。在野利用无法被及时检测。
- 不同产品的后端存储不一致,导致数据库种类维护增多。是分给DBA去做,还是自己构建集群,有没有读写分离场景?
技巧:
- 如果上传比较慢,可以先拷贝到生产网某台机器,然后内部sftp/ftp速度会快。
- 国企或者银行这一类的技术支持积极性并不高,需要通过商务来推动
总结
我最初见到的招聘简历里是说道要求运维有百台左右的维护经验(我并不是运维),后来又看到美团招反入侵时要求有10w+服务器的治理经验(当然那时候可能生产网2w+办公网3w台左右吧),但是当突然发现安全的设备和服务器在排除大数据平台时也逐渐的达到百余台后,其实心中的思考逐渐多了起来。尤其是在这种持续性的增长过程。
从维护方面来说,面临着种类增加,维护困难。 从业务来说,提供了更多的业务出去,需要更多的运营人员。 这个后面会放在DevSecOps的文章里谈谈吧。