Open mylamour opened 6 years ago
到BTCC也快一个月了,入职以来的第一件事就是负责安全架构的设计和整个体系的架构。很忙,东西基本也有出来个眉目了。干了不少事,也没时间记录,抽空码一点吧。当然,此处特别感谢安全小飞侠师傅最初给的一些建议。思路吻合,非常不错。整理了一下,我在整个过程中需要面临的问题。
那么又如何结合云平台如何实现,云上安全体系的构建是否完全等同于传统构建思路。根据常规的安全运维方案对比AWS实现来做,如何结合AWS自身的一些产品建立起监控报警体系,是否需要拥抱新技术。例如在云上无法收集到EC2服务器间的内部流量请求,依旧需要采用ELK的方式去收集日志并进行分析。同时还有的就是,和ELK对比,是不是可以采用Grafa替代Kibana, 采用Graylog更好一些。采用Splunk进行日志分析呢(Splunk真是好,就是目前买不起企业版的)?如果拥抱新技术的话,k8s是一个不错的选择,当然需要一定的学习成本,但依旧是最好的选择,按照Server Mesh的理念去做。无疑来说监控监测等方面会更加的方便。
这边主要采用得就是EC2,RDS,ELB,EBS,S3. 基本原则就是记录一切log,定期打快照,以备不测,由于快照是增量的,也不会增加过多的收费。
其实还有要改进的地方,例如采用kms控制s3/rds数据流加密。对EBS卷加密都还没有做。暂时不是很需要。
即便如此,出在应用层的问题还是不少的。开张没两天就有人来勒索5个BTC,后来又来要10个BTC。当然也有一些安全研究员提交漏洞。自己也挖了几个简单的XSS和CSRF的漏洞。但是总归精力有限,职责有限。联系的知道创宇的测试服务也就要开展了。
拥抱新技术或者说学习新技术的过程中总是充满乐趣(踩坑)DevOps。目前已经可以采用Terraform进行了自动化多区域部署不同币种的钱包同步节点,并采用S3进行增量更新。来确保区块同步时尽量不丢块,这样对于交易所来说检测交易对是否成交从而确认交易是否到账起到了很大的作用。
k8s把资源对象化,就像Terraform把基础架构代码化(IAC)一样,为SRE提供了极大的方便,我是刚接触使用k8s,不多做评价,感觉极好,尤其是在自动化扩容和磁盘共享上有天然优势,监控也是。等后期更加深入再做介绍。
保持思考,如果自己的观点正确,请保持自己的立场
安全无小事
到BTCC也快一个月了,入职以来的第一件事就是负责安全架构的设计和整个体系的架构。很忙,东西基本也有出来个眉目了。干了不少事,也没时间记录,抽空码一点吧。当然,此处特别感谢安全小飞侠师傅最初给的一些建议。思路吻合,非常不错。整理了一下,我在整个过程中需要面临的问题。
那么又如何结合云平台如何实现,云上安全体系的构建是否完全等同于传统构建思路。根据常规的安全运维方案对比AWS实现来做,如何结合AWS自身的一些产品建立起监控报警体系,是否需要拥抱新技术。例如在云上无法收集到EC2服务器间的内部流量请求,依旧需要采用ELK的方式去收集日志并进行分析。同时还有的就是,和ELK对比,是不是可以采用Grafa替代Kibana, 采用Graylog更好一些。采用Splunk进行日志分析呢(Splunk真是好,就是目前买不起企业版的)?如果拥抱新技术的话,k8s是一个不错的选择,当然需要一定的学习成本,但依旧是最好的选择,按照Server Mesh的理念去做。无疑来说监控监测等方面会更加的方便。
AWS安全
这边主要采用得就是EC2,RDS,ELB,EBS,S3. 基本原则就是记录一切log,定期打快照,以备不测,由于快照是增量的,也不会增加过多的收费。
其实还有要改进的地方,例如采用kms控制s3/rds数据流加密。对EBS卷加密都还没有做。暂时不是很需要。
Other
即便如此,出在应用层的问题还是不少的。开张没两天就有人来勒索5个BTC,后来又来要10个BTC。当然也有一些安全研究员提交漏洞。自己也挖了几个简单的XSS和CSRF的漏洞。但是总归精力有限,职责有限。联系的知道创宇的测试服务也就要开展了。
拥抱新技术或者说学习新技术的过程中总是充满乐趣(踩坑)DevOps。目前已经可以采用Terraform进行了自动化多区域部署不同币种的钱包同步节点,并采用S3进行增量更新。来确保区块同步时尽量不丢块,这样对于交易所来说检测交易对是否成交从而确认交易是否到账起到了很大的作用。
k8s把资源对象化,就像Terraform把基础架构代码化(IAC)一样,为SRE提供了极大的方便,我是刚接触使用k8s,不多做评价,感觉极好,尤其是在自动化扩容和磁盘共享上有天然优势,监控也是。等后期更加深入再做介绍。
保持思考,如果自己的观点正确,请保持自己的立场
Resources