106
阿裏雲全球首批MVP — 傅奎專訪
個人基本介紹
很榮幸能成為阿裏雲全球第一批MVP。原本以為可以竊喜一番,沒想到緊接著就是花肉同學的奪命催稿釘(釘)。【花肉醬:人家也不想的啦】
作為信息安全領域摸爬滾打十年以上的從業人員,我練過滲透,幹過產品,做過集成,賣過服務,吹過谘詢,也曾在互聯網電商企業“掃黃(牛)打黑(產)”一線與職業黑客、羊毛黨直接對抗。目前正全麵負責千尋位置公司(www.qxwz.com)未來時空基礎設施的的信息安全工作。
我不擅長寫自我介紹類的材料,一方麵受限於我的文字表達能力,同時也因為我並沒有什麼“豐富”的經曆。相對於普通的安全技術,我更關注安全架構;不過,我願意在MVP平台和大家就任何與安全有關的話題進行交流。
學生時期,我曾受到了一本雜誌《黑客防線》的影響,從此踏上安全之路。對新事物的好奇,是我在這個領域堅持下來的重要原因。有幸能在工作過程中遇到不錯的夥伴、可靠的領導甚至人生導師,更堅定了我在這個行業深耕的信念。
在從業數年的不同階段,我曾服務過不同的公司和客戶,包括:安全產品廠商、安全服務與集成商、世界500強通信企業、紐交所上市電商公司和目前所在的千尋位置公司。我是真正的愛一行幹一行,從踏入安全圈門檻的那一刻開始我就一直保持著戰鬥激情,可謂“飲冰十年,難涼熱血”。
很多人關心的技術棧:
我是雲計算的狂熱愛好者和追隨者,在AWS、阿裏雲、Linode等平台都曾部署過自己的個人服務器集群。多年前,我就開始使用遠程服務器資源來替代本地主機進行各類安全技術的研究測試。亞馬遜開始提供雲計算服務後,我就把家裏的電腦“搬”到了雲上。從此把用來升級電腦的錢都砸在了雲主機上。這讓我有足夠的時間和精力聚焦於鑽研安全技術,而不必忍受個人電腦上常常因虛擬機卡死帶來的痛苦。
作為一名安全從業人員,我始終沒有放棄自己在編程開發方麵的努力。很顯然,相對於專業的開發人員我差得還很遠;但具備一定的編碼基礎,能讓我更加自信地與開發、測試同學進行溝通,尤其是說服大家為產品增加一些安全特性時。
工作和學習環境:
我在工作和學習過程中使用最頻繁且為之付費的軟件有:
● Chrome以及基於Chrome的各類插件
● Grammarly - 讓你的英文寫作看上去更加專業
● Evernote -存儲和搜索信息碎片,解放大腦
● MWeb - 支持Markdown 語法的編輯器,支持一鍵發布到 WordPress
● Snagit - 及時截圖是個好習慣,支持打碼、特效、自動存儲和標簽管理
● SublimText - 支持高亮查看和編輯代碼文件
● SecureCRT - 最好用的 SSH 客戶端,支持宏操作
● Gliffy/Graphviz/yWorks yed - 流程圖、時序圖、拓撲圖、關係圖,不可或缺
● 各類安全類軟件或工具
我個人學習和使用過的編程語言和開發環境有很多,但真正擅長且一直在用的是下麵這些:
● Python/Java
● PyCharm/IntelliJ
● MySQL/SQL Lite
● Bootstrap/jQuery/Tornado
關於安全本身,我更喜歡參與開源社區的活動。我是開源社區和開源產品的受益者,也是開源社區的貢獻者。2012年曾主導翻譯過OWASP WebGoat 5.4版本的手冊翻譯。
信息安全是現代企業賴以生存的生命線,信息安全建設更是一項管理與技術並重的工作。就我接觸過的企業和我服務過的客戶而言,最近幾年越來越多的企業都在高度重視安全,積極招攬安全人才。隨著《網絡安全法》的正式施行,我國網絡與信息安全領域將會有更大的市場前景和發展空間
總體上說,信息安全行業適合於那些喜歡不斷挑戰自我的人。我個人在諸多方麵都不太優異,但有幾點體會還是很深刻的:
關注業務
安全人員除了做好本職的安全工作外,還需要關注業務。任何企業最終都需要通過業務來產生盈利。安全人員必須關注並熟悉公司的業務,要清楚公司當前的業務狀態、戰略規劃;特別是當需要在安全和業務之間取得平衡時,要能更好地用業務語言說清楚安全問題。很多企業在安全建設上容易走兩個極端:要麼是沒有安全,要麼就是一管到底,導致業務開展缺乏靈活性,從而喪失市場機遇和競爭力。
注重提煉和積累
無論個人、團隊還是企業,都應定期對自身的安全工作進行回顧,提煉和積累。個人要想提高專業水準,必須定期對已有知識和經驗進行總結和抽象,輸出成產品或方法論,從而避免止步不前。企業在安全建設過程中同樣需要定期積累和沉澱案例,並對案例進行複盤和挖掘,從而逐步提升安全防護能力,減少安全短板。
不要懼怕新技術
關於新技術,很多業界同仁往往對之充滿恐懼,敬而遠之。特別是當新技術與業務係統進行結合時,更是如此。我更偏向於擁抱新技術。攻防對抗過程中,決定成敗的往往隻是一兩個信息不對等的細節。誰能先用上新技術,先把新技術應用於實戰,誰才能搶占先機,掌握攻防對抗過程中的主動權。
我個人和我所在的企業都是阿裏雲的用戶,特別是雲盾係列的安全產品和服務。雲計算概念初起時,大家最關注的莫過於安全問題。近年來,隨著各大雲平台廠商的不斷建設和探索,越來越多的用戶對雲平台的安全性開始充滿信心。
中小企業通常很少有能力對自身的雲上資源做全麵管理,更不要提複雜的安全問題。作為雲平台服務商,提供一些基礎的安全產品或服務還是很有必要的。以下是我個人極力推薦並在使用的雲盾旗下產品:
WAF(Web應用防火牆)產品。有數據顯示:互聯網上絕大多數網絡攻擊是針對Web網站的攻擊。雲平台提供了統一WAF防護策略和技術,能夠幫助中小企業迅速補足應用安全短板,大幅提升綜合安全防護能力。再加上雲平台自身巨大的數據流量基礎,平台能夠及時獲取最新的攻擊源、攻擊技術等情報信息,雲上WAF總能以最快的速度更新規則攔截最新的攻擊模式。
另外,“態勢感知”也是我在雲平台上經常使用的安全服務。“態勢感知”能夠協助客戶在大規模雲計算環境中,對那些能夠引發網絡安全態勢發生變化的要素進行全麵、快速和準確地捕獲和分析。是專業安全分析人員、安全技術團隊快速識別風險,開展威脅響應的得力助手。
“君子善假於物”,用好雲平台上的安全產品和服務能夠為企業帶來良好的安全效益。要做到“善假於物”,前提是“格物致知”——充分了解雲平台上每個安全產品的原理、特性和使用場景,才能最大限度發揮其優勢,將雲上安全提升到更高的水平。關於雲平台上的安全產品和服務,我個人有一些使用上的心得,希望今後能有機會和大家一起分享。
MVP創造價值
事實上我並沒有主動去做過任何貢獻,相反隻是站在一家基於雲平台開展業務的企業的安全負責人的角度,對我們最核心的基礎設施合作夥伴提出了大量的產品或服務上的苛刻要求。在這裏,我要感謝阿裏雲團隊對我們的信賴、容忍、幫助和支持。阿裏雲團隊一直以來高度重視我們反饋的各種需求和Bug,總能在第一時間站在用戶角度為我們解決問題。這也是為什麼我們能夠與阿裏雲團隊越來越深入合作的重要原因。
作為MVP,我個人希望能夠在第一時間了解阿裏雲在技術架構、產品設計和服務實現上的技術路線規劃,也期盼成為新產品、技術的早期使用人員。MVP應該是主動向其他用戶傳達雲平台產品新特性的媒介,更要敢於成為新技術的第一個吃螃蟹的人。MVP還應在社區中主動扮演積極分享的角色,將優秀的產品、技術和理念布道或傳遞給用戶;同時,幫助用戶向平台反饋問題和需求。
最後,我希望所有的阿裏雲MVP成員之間能夠增加交流和溝通,我們可以相互學習,並與雲平台的所有使用者共同成長。
今後,我也會以阿裏雲MVP 的身份為大家分享更多的基於雲平台的企業信息安全技術實踐
我是傅奎,我在阿裏雲MVP等你
最後更新:2017-06-22 12:31:50