@三斗室 饶琛琳“大话”运维安全

运维安全是企业安全保障的基石，不同于Web安全、移动安全或者业务安全，运维安全环节出现问题往往会比较严重。就此，《安全智库》记者采访了《日志易》产品总监饶琛琳，让我们跟随记者，一起来听听。

记者：SaaS服务和传统软件产品或云服务在安全方面有哪些差异？

饶： 主要体现在几个方面,一个方面就是传统软件本身的安全性，也就是本身已经在一个内网之中，更多的考虑的就是，对方会不会进入到我们的内网来，或者说进到内网以后，怎么来保障像SQL注入等这种软件架构上的事情。而SaaS或者云服务，要把很多的精力放在传统的内网服务，而不会去考虑用户基本就是我们内部的人。

但是SaaS或者云服务是不一样的，比如前段时间出的这样一个事情，就是有人问说阿里云上怎么不同的客户互相之间，二层的网络之间居然不是隔离呢？阿里云说其实我们本来是应该做隔离的，但是由于不方便，就把默认选项改了。这其实就是云服务很需要去关注的。云平台之上的隔离，当身处内网之中，是不需要去考虑太多的，但是在做云服务或者SaaS服务的时候，不同的租户之间的隔离是非常重要的。

记者：在云环境下，运维工作有哪些挑战？您是如何应对的？

饶：云环境下，我觉得运维的挑战跟之前比，有一些可能不太统一的地方，主要在于，以前传统的地方从底层的机架、服务器都会有人在管，但是在云环境下，更多的是需要调用API，比如说调用API创建了一台主机，调用API去生成了一个服务，可能给运维人员的一个感觉就是，我们的重要性是不是在下降？当初我们做的很多活现在就被机器代替了！这其实是一个从表面上看起来很有挑战性的事情，这就是促进运维人员应该去面对的一个现实，就是我们运维真正的目的，不是管好服务器就OK，这其实不应该叫运维工程师，而是应该叫机房管理员。

运维工程师真正该做的事情是怎么去提高好运维的站点。运维站点可能是网站的站点，普通网站，也可能现在纯粹的APP后面没有太多的Web,只是一些接口，运维的站点，服务好客户，而服务好的话，除了保证稳定性、提高性能等，我们应该抓住一些实质，其实调不调API没有关系，而是我知道服务好不好，有没有办法让它更好。调API去新创建几台主机，这个很简单，不管是运维人员还是开发人员做的，这个都OK，但是什么时候该调这个API去创建主机？这台主机我创建的是有价值的。这个时间点的把握，怎么把这个事情运用在最恰当的时候，这是在云环境下运维工程师们应该重点去考虑的一个方向，以后应该是往这条路上去走的。

记者：谈谈现在火热的人工智能（AI），运维会不会逐步被机器学习取代?

饶：我刚刚前面其实讲云的时候其实已经提到了一点，运维有一些工作是迟早要被机器去代替的，但是另外一部分，可能是不太一样的地方，除了一些标准的部署上架的工作之外，剩下的一部分工作，刚刚我们提到保证服务的可用性和提高服务的性能，这里保证可用性就涉及到一个很大的问题就是故障定位，出了一个问题怎么找到它，它的根源在哪儿？

这块目前我看到的情况，我们可以通过一些机器学习的算法，比如说监控了有10000个机器指标，大概可能有二三十个跟报警的那个差不多，那下一步人就要去操作了，因为这是机器学习很重要的一点，就是机器学习是不讲因果性，只讲相关性，所以我们经常看到有人在讲人工智能的时候有一些笑话，今天下雨了，明天怎么样，这个其实是相关的，从这个曲线上来看，发生了A了也发生了B，它其实是相关性，并不是因为A所以B，这一点在目前的运维工作上也是类似的道理，这个时候是需要运维人员通过经验来弥补后来的这一段的。

记者： 近几年，运维领域有什么重要进展？

饶：运维领域这些年的进展主要两个方面。一个方面的是在容器编排这块，就是所谓的Docker，这几年确实发展的很快，尤其包括在Docker之上，K8S，DCOS等，它是大大方便了运维部署，降低了部署成本，所以这也是运维以后部署这件事情，可能以后运维真的就不用做了。以前在虚拟化时代，其实因为虚拟化本身部署也挺辛苦的，但是现在Docker确实把成本降得很低。

另一个方面就是我们日志易在做的事情 ，怎么更快的提高数据 对服务的可用性以及性能提高的这一部分，就是降低MTTR，或者降低MTTI，这一部分原先其实也是很靠经验的。你可能工作了15年了，看见这个事情有经验了，可能就会去猜，觉得是这个样子，然后我们就去查，但是现在有一套数据分析的平台在支撑，之后这种大概、可能、猜测尝试的时间就会被大大的缩短，故障的时间就会随之降低下来。因为运维本质其实是一个试错的工作，你有100个思路，赶紧去试第一个，不对，赶紧放弃去试第二个，如果原先靠人的话，试100个大概就需要1个小时，是现在有这样一个统一的平台，你可能试100个，可能也就需要5分钟或者10分钟，那问题就一定被解决了。

记者：对于一些中小客户，在安全零基础的情况下，您对安全建设有哪些建议？资源短缺、人力极少的情况下做好安全运维您有哪些高招？

饶：如果安全0基础的话，就是卡好最容易被攻破的地方，比如简单密码或者一些基础的端口，不要成为最短板。

如果资源短缺、人力也少的话，安全事大，我们有必要来投入钱或者资源，去采购一些，至少能够保证最关键的东西，核心数据确实是需要去投入的，不管投入的是什么，有资源投资源，有人投人，如果都没有，那就投点钱吧~~

本文采访内容仅代表嘉宾观点，不代表《安全智库》观点。