浅友们好~我是史中,我的日常生活是开撩五湖四海的科技大牛,我会尝试各种姿势,把他们的无边脑洞和温情故事讲给你听。
锤黑客,不脏手:
Z世代网络安全工程师的开挂人生
文 |史中
(一)扑倒那个 Boy
“我踏马受够你了!”
一个妹子尖利的喊声划破了旧金山格伦公园图书馆的宁静。
群众惊呆了,纷纷抬头。显然,眼前情侣吵架的戏码要比手头的科幻小说更燃。
就在邻桌,一位挂着胡茬的阳光大男孩乌布利希也抑制不住八卦的心,把视线从眼前的电脑屏幕移开。
说时迟那时快,不知从哪里窜出一哥们,一把把他的电脑夺走,跑得比兔子还快。
乌布利希大喊:“肿么个意思?”弹射起来想要夺回电脑。不料,同桌的六个“读者”一拥而上,闪电般锁住他的喉咙,反剪双手,把他扑倒在地。
乌布利希舌头都快被勒出来了:I 。。。can't breathe。。。
刚刚吵架的那对“情侣”秒级和好,也冲过来,给乌布利希戴上手铐,簇拥着他走出图书馆。
图书管理员听到这边稀里哗啦,赶过来处理,被这帮人呵止。十来个人一齐脱下便装外套,露出了 FBI 的制服,对围观群众说:Surprise!
群众呆麻了。。。
乌布利希没来得及砸碎的电脑上,登录着一个管理员界面——Dread Pirate Roberts(可怕海盗罗伯茨)。
这是当时FBI拍的图片,后来被作为呈堂证供。
铁证如山,他就是被称为“暗黑界亚马逊”的“丝绸之路”创始人。
过去几年,无数毒品、枪支、假钞甚至买凶杀人的交易,都与“丝绸之路”网站和这个看上去人畜无害的23岁年轻人有关。
乌布利希
暗网、极客、药品、暴力、自由主义,围绕乌布利希的这些讨论都直击灵魂,但那些中哥今天都不聊。
咱们聊一个剑走偏锋的细节。
先给你来个灵魂拷问:
乌布利希是坏人,这没错。那给他提供了 Wi-Fi 的图书馆是帮凶还是受害者?
我觉得大部分浅友都会说:图书馆招谁惹谁了,肯定是受害者啊!
再来第二个灵魂拷问:
既然是受害者,那乌布利希利用图书馆的网络做坏事的时候,图书馆有多大概率发现?
你可能会说:什么嘛,图书馆是借书看书的地方,每天那么多人都蹭 Wi-Fi,变态杀人狂脸上又不写字,这也太难为人了!
再来第三个灵魂拷问:
假设乌布利希在谷歌上班,他每天利用公司的网络做杀人越货的坏事,公司有多大概率发现并且制止他?
你可能会犹豫:谷歌公司就不一样了吧。。。他们肯定有很多大数据、网络安全系统神马的,估计早晚会发现。乌布利希脑子正常的话,应该不会这么干吧。。。
你看,不知不觉中,你已经替大家总结出了一个真相:
组织规模越大,越有能力发现网络中的威胁;反之,组织规模越小,面对威胁越束手无策。
背后的原因,就是个简单的经济账:
大组织可以投资很多安全系统,什么防火墙、入侵检测、大数据威胁情报、高级威胁检测,能上的都上,平摊到每个人头上成本也能承受; 但小组织里,总共就两个半人,根本负担不起全套安全系统。
就像一个大小区,安防系统可以有很多,大家共享;但如果你独自住在郊外,自己建立一套安防系统就很贵了。
所以,哇咖喱贡,乌布利希才不是因为穷才去图书馆蹭网(说实在的,如果不是他的比特币被充公,身家妥妥可以进“服不服排行榜”)。
他了解图书馆这样的“小网络节点”,根本没办法配备专业的网络安全审计产品,是妥妥的弱鸡,更利于他的隐匿。
你看他多有钱。
但厉害的中哥不想把讨论停止于此。
这个真相背后隐藏了一个深层的问题——“安全权利”的不平等。
(二)小节点活该被搞吗?
其实,咱们身边的“小节点”特别多。
比如刚提到的图书馆、网吧这样的单体公共场所;还有麦当劳、星巴克这样的连锁店;还有大公司的分支机构,比如乌龟快递在每个县市的集散点,酸梨手机在各个地区的直营店等等。。。
我搜索了一下“麦当劳”,你感受一下小节点的密度。
真被锤的话,这样的小节点网络比妙脆角还脆。
关键是,这种攻击最终会落在你我这样真实的人头上。
咱们分两种情况讨论:
第一种情况,假设你只是在麦当劳里蹭网的群众。
一来,黑客可以通过拿下 Wi-Fi,进而偷窥你上网的一举一动;
二来,黑客也可以向你发送攻击程序,拿下你的电脑权限。你就成了黑客的“傀儡”,以后你无论去哪,他都可以利用你的身份做坏事。
第二种情况,假设你是一个分公司的打工人。
一来,黑客干掉办公网,你电脑里面的工作数据(还有浏览器记录)都被看光光;
二来,就算你的电脑本身没存什么机密,黑客也可能利用你的设备身份连接总部,把公司核心机密都给下载发出去;
三来,你的电脑还可能被黑客植入“挖矿程序”。每天你的风扇嗷嗷叫,黑客却躺着收钱。更严重的还可能给你植入勒索病毒, 交钱才能解锁电脑。。。
你发现了没,同样是打工人,作为分支机构的员工,就天然更容易被黑客搞,也更容易成背锅侠,被老板骂,这不公平啊。。。
到后来,分支机构多的公司,只有两种选择:
第一、给每个小节点都武装到牙齿,不计成本;
就像下图,狮子比节点还大↓↓↓
第二、干脆不让小节点员工直连总部,以防他们被黑客攻陷连累母体。
就像下图↓↓↓
当然,大部分公司选择的是第二种。
讲到这,灵魂拷问终于来了:
小节点和小节点里的人,难道天生低人一等,永远要在“可能被黑客入侵”和“不方便”之间做二选一吗?
“No!安得广厦千万间,大庇天下寒士俱欢颜!”
老林把桌子锤得砰砰响。
他这么激动,原因很简单。
第一,作为技术控,他坚信:节点不论大小,都应该平等地享受人类顶尖安全技术的保护。
第二,他本人在深信服公司负责一个产品,就专门解决这个“安全权力不平等”问题,必须站台带货啊!
我们做的这个东西,就叫:SASE。
为了发清楚这个音,他说得咬牙切齿,恨不得喷一脸。。。
我听了半天,才听明白,这玩意儿的读音其实是“Sasy”(就是把“仨四姨”连起来读)。
SASE 到底是怎么做到“大庇天下寒士”的呢?
老林喝了口咖啡,开始给我科普。
老林
(三)“爱奇艺”模式
“你买不买得起周杰伦的所有歌的版权?”他问。
“那买不起。”我说。
“你买不买得起网易云音乐的会员?”他问。
“买得起。”我说。
“你买不买得起综艺节目的版权?”他问。
“买不起。”我说。
“你买不买得起爱奇艺的会员?”他问。
“买得起。”我说。
“解释完毕。”他说。
我揪住他:“你给我好好说明白!”
很简单,人们需要的是安全能力,不一定是安全产品本身,对不对? 所以,我们把深信服的各种网络安全产品都放在云端。无论你的网络有多小,哪怕节点里只有一台办公电脑,只要“开个会员”,我们的安全产品就和你连通,在“云上”保护你啦。 这样是双赢的: 对客户来说,不用给每个小网络都买一堆很贵的安全产品,还省去了部署所需的人力,省钱;对我们来说,还可以错峰把一台设备的安全能力分配给好多人共享,也能省钱。 你说,这个不就跟网易云音乐、爱奇艺开会员是一个道理吗?
他一口气说完,挑挑眉毛。
我大概明白了,SASE 就是把购买安全能力变成订阅安全能力。
原来是大院门口才能摆两个石狮子当保安,现在我家小,买石狮子太浪费,就订阅一个“云上石狮子”帮我看家。如果需要,我就一直订阅,如果哪天我搬家了,也可以随时停。
没有一生一世的厮守,有需要就在一起,没需要就说再见,标准的“渣男渣女”模式。
想想居然有点小兴奋呢。
“云上石狮子”就像这样。
说到这,估计又会有人吐槽:这不就跟小时候去录像厅租碟一个意思吗?也没啥先进的,这么多年怎么就没人搞这种模式呢?
客官有所不知,和“歌曲、视频”不一样,把“企业级安全产品”做成订阅制服务,最难的不是模式创新,而是要克服好多难以想象的技术难题。。。。
先举个例子你尝一下:
原来的安全产品是这样工作的:一个网络里的电脑A,想要对电脑C说句话,它的这句话要先说给网络安全产品B听,B分析完没问题,才会放行给C。
此时,A电脑、B设备、C电脑可能就在一栋大楼里,信号传输的速度根本不用考虑,稳定性一般也没问题。
现在换成 SASE。
A要说一句话,就得先经过网络传到云端的B设备,B审阅后再传回来给C。虽然信号传输逻辑没区别,但传输距离可是天壤之别。
A电脑和C电脑都在北京,B设备在深圳的云机房里。两个电脑说句话,信号还得绕深圳一趟,来回的延迟谁受得了?
这咋办?
老林告诉我,不仅是深信服,整个业内解决这个“距离难题”都在用一个最笨的方法:追着客户跑,就近建立服务站。
1、比如,北京,上海、深圳、成都各建一个机房,里面的云计算上都跑着网络安全的系统。 2、华东的客户就自动连到上海机房,华南的客户就交给深圳服务,以此类推。 这就像电动车充电站一样,站点越多越密,我开到充电站的距离就越近,体验也更好。
用行话讲,这些节点就叫“PoP 节点”(Point of Presence)。
这不,这两年为了支持 SASE 这类订阅产品发展,深信服已经在全国建立了20多个 PoP 节点了。
所有的PoP节点组成了一张网(示意图,不代表PoP节点的真实数量和位置)
讲到这里,中哥才松口气——铺垫了这么多,终于把 SASE 的大致原理科普清楚了。
现在,我可以理直气壮地告诉你 SASE 的全称了。
SASE 的全称叫做“Secure Access Service Edge”安全访问服务边缘。它的意思是:每个电脑都可以通过一个边缘引流器连接到最近的 PoP 节点,然后就可以享受节点提供的安全保护。
不仅如此,人们还能借助这张网络(这是软件定义网络)快速地在各个分支之间传递信息。
所以,你可以认为 SASE 有两个属性:1)安全,2)网络。
合起来,就是“一张自带安全 Buff 的网络”。
我画张图,你感受一下↓↓↓
任何地方的电脑,都能接入 SASE,安全地相互传递信息。
以后的年轻人,肯定不会满头大汗地在实体服务器上配置安全产品了,只要订购云上的安全能力就够了。 你不可能让年轻人白天鼓捣服务器,晚上回家爱奇艺,这太分裂了。
老林摊摊手。
不明觉厉的感觉萦绕在我身边,我还看不太懂,但大受震撼。
不过我很快发现,老林之所以今天能喝着咖啡在我对面吹牛,是因为经过努力,深信服的 SASE 已经走上正轨,可以开门见客了。
就在前两年,呵呵,SASE 的情况可谓“惨不忍睹”。
(四)价值百万的“石狮子”
一听要讲到“血泪史”,另一位同学马上不困了。
他就是深信服 SASE 的运营负责人华哥。
华哥
提到华哥,同事们都津津乐道他价值一百万的“高光时刻”。
那是2018年春天,他和团队站在深信服年会的领奖台上,手里握着一年一度的“百万创新大奖”。
这个奖非常牛X,它大概等于所有同事集体认证:你们是过去一年全公司最靓的崽。(当然,得奖人也可以不在乎浮华的荣誉,但这100w奖金可是实实在在的。)
这群人之所以能拿到这个奖,就是因为在2017年开发出了 SASE 产品。(只不过当时 SASE 还叫其他的名字,为了防止混乱我就统一叫 SASE 了。)
这是当时领奖的照片。
做出一个“云上石狮子”就能拿100w?是个啥道理呢?
说到这,还得补充一个背景。
2018年的深信服,跟2021年的画风完全不同。
那时候,他们的明星产品几乎都是纯纯的“物理石狮子”,也就是放在公司网络内部使用的安全产品。这种产品的形态就是把一套系统塞进一个服务器里,被大伙儿开玩笑称为“盒子”。
这是深信服的“全网行为管理产品”
但如果你是深信服,你就笑不出来了。。。天天被说卖盒子,一点儿想象空间都没有,深信服不喜欢这个定位,也不认同这个定位。
他们一直在饥渴地探索新的方向。
所以,SASE 这种“云上石狮子” 一出来,订阅制、轻量级、小清新,一看就是Z世代的工程师喜欢的安全产品嘛,瞬间成为全村人的希望。
但是,华哥他们的奖杯还没捂热乎,情况就开始变得很微妙。。。
不要忘了,既然深信服自己又卖“物理石狮子”,又卖“云上石狮子”,这两个可是相互替代的关系。多卖一个云上石狮子,就少卖一个云下石狮子,也不知,是云上石狮子抢了云下石狮子,还是。。。总之,两个狮子有自己先打起来的可能。。。
这个局面,就像是一家汽车厂又造燃油车又造电动车。燃油车卖得好好的,也不能全部停产,一刀切改成电动车啊。。。
步子大了容易扯蛋。
所以,当时深信服采取了折中策略,先选择一种“石狮子”,也就是“全网行为管理”这个最成熟的安全产品做成 SASE,其他品类的石狮子先不许上云。
而且话说回来,超越时代太多的东西,市场也多半不会认可。
为什么说是超越时代呢?我给你比较一下。
传统的方式是:我买了设备,设备就是我的,想用多少年就用多少年,哪怕退役了,坏了之后的“尸体”也是我的。这多踏实。
订阅的方式是:我订阅的时候能用,不订阅就没了,两手空空。虽然算下来和可能更划算,但摸不着“盒子”,采购部门心里也不踏实啊。
回忆一下你自己的经历就知道了。
过去你买一张CD,到死都能听,还能收藏传给儿子,现在网易云音乐不续费就听不了了。你想想,从买 CD 到愿意每个月十几块钱订阅“云音乐”,你花了多少时间改变思维方式?
那两年,一边是深信服自己不敢贸然进入深水区,一边是大小公司对 SASE 也没啥感觉,作为试水,“云上石狮子”的销量确实有点羞涩。
那 SASE 到底要不要扩大产品线,敲锣打鼓搞起来呢?
深信服的老板们也很纠结,他们必须找准时机打响发令枪。同志们冲得太早,很容易成烈士;冲得太晚,大招就烂在肚子里,市场又被别人抢走了。
华哥他们只能相信组织,一边打磨产品,一边等啊等。
2019年,就在华哥他们都快挺不住的时候,发令枪终于扣响。
那一年,国际上最有前瞻性的咨询机构 Gartner 提出了 SASE 概念。
行业一般认为,有了 Gartner 的站台,起码说明全世界很多公司都真金白银看好这个方向,是个非常强烈的信号。
SASE 被 Gartner 看做颠覆性技术。
同志们可算等到了这一天,如中华田园人一般冲了出去,把各种石狮子(安全产品)搬上云。
然而,刚冲出去,他们发现,自己被大坑小坑包围了。。。
(五)养大一头“云上石狮子”不容易
考你一个问题:如果让你把一套安全系统从“盒里”搬到“云上”,你会怎么办?
最粗暴的方式就是三步走:
第一步:在云上开一个虚拟机; 第二部:把安全系统塞进去; 第三步:接通网络,开始运行。
没错,一开始 SASE 团队就是这么做的。这也是 SASE 的第一代架构。
但讲真,这样的操作非常之不优雅。
我问你一个问题。 假如A公司有20个小分支机构,10个在北京,10个在拉萨,他们订阅了 SASE。这20个分支的网络,一台虚拟机的计算力就足够保护了,所以,我们在云端给A公司开了一台虚拟机提供服务。 请问,我的虚拟机应该开在北京还是西藏?
老林给我出题。
“靠近哪边都不行,因为另一头的访问速度就会慢啊。。。那你们为啥不能大方一点儿,在北京和西藏各开一台呢?”我说。
“不是我们抠门不想开两台机器,而是如果开两台机器,就涉及到它们之间的信息互通问题。 比如管理员修改了安全配置,要在北京西藏两地的虚拟机上同步生效。 而且A公司北京的同事拿着电脑出差去拉萨,为这台电脑服务的虚拟机也要从北京那台自动迁移成拉萨那台。 这背后其实是“自动调度”的技术能力。
他说。
要实现这种调度,也有一个简单的方法,就是在虚拟机层上加一个调度层。相当于有一个“狮子王”,他会根据不同用户的情况,实时指挥这些云上石狮子的工作。
在用户看来,SASE 连上就能用;但深信服自己知道,是“狮子王”在背后吐血调度。
其实,老林2020年加入深信服之后,就主导了这个带调度层的“第二代架构”。
“但这还不是最理想的状态。”老林说,“我们的第三代架构正在研发中。”
第三代架构又是啥样呢?
“那会是纯纯的云原生架构。”他说。
他刚说到这,我就明白了。浅友们对“云原生”应该也不陌生,这一年很多公司的系统都在云原生演进。
云原生最核心的技术就是“容器”。
所谓容器,就像一个玻璃瓶子,任何系统都能装进玻璃瓶子里。容器很轻巧,可以被随意挪动,启动一个容器要不了一秒,关掉一个容器也是一眨眼的事情。
把石狮子装进容器,那可就厉害了。
你可以像孙悟空吹毫毛一样,一秒钟变出好多个“微型石狮子”。
假如中哥所在的公司总部在哈尔滨,老板派中哥去海南发展业务。我到了海南,只要打开电脑,一瞬间就连接到海南的 PoP 节点,什么防火墙、流量审计系统都已经准备好,化着淡妆为我服务了。
不过说句实话,架构并不等于一切。
如果把 SASE 比作一辆车,架构只是底盘,车好不好开还要看加速性能、内饰、车机系统等等更多上层的技术设计。
好的 SASE 和好车的标准差不多,就三条:快、稳、爽。
说到这,我迫不及待给你介绍一个又快又稳又爽的男人, SASE 的技术负责人,辰哥。
辰哥
(六)怎样才能“快、稳、爽”
先说“快”。
我们先回忆一下 SASE 的工作原理:网络里每时每刻产生的关键信息,都要拉到云端“安检”一遍。
这里面能挤出时间的,主要有两个环节。
第一个,就是节省传输路上的时间。
这个主要靠多建 PoP 点来解决,这里面的技术就是:使劲砸钱。
第二个,就是加快“云上石狮子”对数据的处理速度。
辰哥告诉我,虽然这也能用砸钱实现,但技术发挥作用的空间也很大。
之前也说过,SASE 是一个统称,其中包含很多种安全系统,病毒检测、入侵检测、数据审计等等,一个流量从网络中传上来,理论上要像机场安检一样在各个系统中依次“串行”。
先查健康码,再看有没有机票,再看身上有没有危险物品等等,任何一步出问题都不行。。。
如果把这些检查都像糖葫芦一样串起来,可想而知就会浪费时间。
假设每一步都需要30毫秒左右,如果叠加个四五步,再加上个来回传输的时间,总共就要到200多毫秒。
随便动一下,都要延迟200毫秒,这是人无法接受的。
所以,辰哥带着大伙儿搞了一组黑科技,可以让流量并行通过各个系统,相当于一边看健康码,一边查验机票,一边检查身份证,一边过安检。
这么一来,就省下了很多时间,把全链路压缩在几十毫秒之内。
再说“稳”。
刚才也说过,安全系统都是装在一个个容器里运行的。这也就意味着,一台云端的“物理服务器”上可能跑着多个安全系统的“容器实例”。
那么,一台服务器里跑多少个容器实例才合适呢?
答案是,看你的水平。
不是有个故事说:一个男的同时和10个女朋友聊天,都能聊得火热不断篇儿。还振振有词:怎么啦?我又不是聊不过来。
这个渣男的脑海里就运行了10个实例,简直是云计算技术的典范。
辰哥他们的任务就是把系统变成最渣的渣男,最好同时稳定运行几十上百个实例。这样,才能把硬件的潜力全逼出来,达到效率最优。
常见的容器都是“标准款”的,深信服过去的各个安全产品也是“标准款”的。把这两种标准款的东西塞在一起,就很难做到极致。
于是技术宅就要对“容器”和里面的“实例”都做针对性地优化。
这里面,不仅要 SASE 团队玩命改代码,更主要的是让原本负责这个安全产品的研发团队改代码。
这两年,凡是上 SASE 的安全产品,比如“全网行为管理”、“零信任”,它们的同学都已经被 SASE 这帮人给折腾怕了,一看到老林他们就“几欲先走”。
最后说“爽”。
爽,其实是一个非常主观的感受。
辰哥隆重介绍了一个有趣的事情:他们做了一套“数字体验管理系统”(Digital Experience Management System)。
这是个啥呢,举个例子你就懂了。
你们公司用腾讯会议开会,这些视频流量也要经过 SASE 安检一遍才能放行。
这一天,你们开会的时候突然很卡,请问,究竟是腾讯会议网速的问题,还是 SASE 网速的问题?
这个问题的答案极其重要。。。
深信服就要在产品界面上,给用户提供清晰的数据:现在腾讯会议的延迟是多少,而 SASE 各个环节的延迟又是多少。
这样一来,用户心里也有底,深信服改进自己的产品也有据可循。
但问题就是,获取这些“体验数据”其实挺难的。
就像神经系统一样,为了知道系统哪里不舒服,你要在各个关键的地方布置“监测点”。 原本线下版本的产品里不需要,也没有这部分功能。所以我们需要在 SASE 版本里从头开始,一点点加上去。
辰哥说。
就这样,这群技术宅拉扯着“云上石狮子”一点点长大。
在老林看来,虽然现在 SASE 还算是少年辛巴,但有朝一日它一定能长成比所有“狮子”更厉害的“狮子王”。
这不是老父亲毫无来由的希冀,而是有客观依据的:
如果你把安全系统装进服务器,那它的水平一定会受到服务器自身计算力的限制。 但如果你把它搬到云上,虽然看起来还是同样的系统,但由于算力不再是局限,我们能把更复杂的算法装进去,也能把更多的全量数据拿来计算。 继续演进下去,云端的安全产品能力一定会在某一天超过服务器里的安全产品。我坚信这一点。
老林说得很坚决。
不过,凡是老司机都明白一个道理:技术的跨代领先,只是成功的重要因素之一。
就在这群技术人搞定一个个困难的时候,大家心里都清楚,房间里还有一头大象。
(七)和“大象”一起跳舞
房间里的大象,就是深信服过去20年如建造金字塔一般艰难搭建起来的“销售渠道体系”。
看过《有一种温度叫深信服》那篇文章的浅友都知道,从世纪初开始,深信服众将星散在全国各地,一家一家拜访渠道商,一点点证明自己真心实意地支持渠道商。
这才有了如今如毛细血管一般的全国销售网络。
但 SASE 的诞生,让一个问题变得难以绕过。
SASE 要不要通过经销商渠道销售?(换句话说,让经销商来销售,是不是对双方都有利的选择?)
你可能会咂咂嘴:好东西,为啥不让卖呢?
嗯,这个问题背后的逻辑,绝对没有看上去那么简单。
它可以拆解成两个更具体的问题:
第一,对于深信服来说,如果卖实体安全产品,那么上门安装调试、后续维保,都需要散布全国的经销商来做。
但 SASE 这种订阅模式,用户只要开通账号就能用,调试、维保的过程都由深信服总部来做。那经销商的地面部队作用是不是就降低了呢?
第二,对于经销商来说,假设原本卖一台设备能赚3w块,3w块直接落袋为安。
现在变成卖订阅,每年1w块,续费三年才赚3w,那我还得每年盯着客户续费,万一客户闹脾气不续费了呢?这么多不确定性,我为啥不继续卖设备,而是要卖 SASE?
种种迹象表明,这事儿让深信服上上下下纠结了很久。
作为一家千亿市值的上市公司,一旦选错了,可能就是“送命题”。
2020年,深信服终于交了卷,卷子上写着一个激进的答案——让经销商体系全面承担起销售订阅服务的任务,而且当线下产品和线上订阅产品冲突时,优先销售订阅产品。
这就是所谓的“XaaS 优先”(XaaS 可以理解为订阅制,也就是“订阅优先”)。
再小的家,也需要石狮子。
其实如今回望,不用多高深的水平,就能理解“XaaS 优先”是没错的。
有两个重要的理由:
1、虽然 SASE 的诞生之初有照顾“小节点”的考虑,但是后来事实证明,大节点也可以用 SASE 来保证,SASE 比传统硬件的保护范围只多不少,用途上是更广泛的。 2、SASE 放在云端,摆脱了计算力的限制,假以时日,会拉开和线下设备能力的差距,防住线下设备防不住的高级进攻。能力上是更先进的。(老林之前提到了这一点)
放眼当时,市面上大家都在预测深信服会改革,但改革得这么一步到胃,还是超乎了很多人想象。
2021年春天,在海南举办的合作伙伴大会上,深信服的创始人何朝曦跟全体渠道商旗帜鲜明、毫无余地地表明了这个态度,台下一下子就炸了。。。
有的年轻经销商大受鼓舞,跃跃欲试;但有更多经销商卖了好多年“盒子”,突然一听要卖“订阅卡”,觉得简直是胡闹。
老林回忆,当时他也被好多经销商围起来,问这问那。
他给大家解释:
SASE 能不能有未来,关键看有多少客户续费。客户续不续费,关键看产品好不好。 如果大家觉得深信服的云上产品真的能解决问题,而且比过去的盒子解决得更好更快,那有什么理由不续费呢? 如果大家都续费,那对于你们经销商来说,卖一次,就等于卖了一辈子。以后每次续费你们都能拿到属于自己的利润分成,这不是躺赚么?
大家一听,反正也是这么个道理。
当然,老林不可能睡服所有人,但历史的转折兀自排山倒海。
后续几个月,从深信服的后台数据可以看出来很多有趣的事实:
越是思路年轻的经销商,转型越快,销售的 SASE 产品就越多,而偏传统的固守过去销售思路的经销商,销量增长就逊色很多。
而从客户来说,越是年轻新潮的公司,就越接受 SASE 的模式,不仅因为 SASE 可以对他们的小节点提供保护,也因为这种模式更轻更友好。
SASE 成为了网络安全界“年轻人的通行证”。
在年轻人的加持下,SASE 的销量把华哥给惊呆了。
2021年初定销售任务的时候,华哥“被逼”拿了一个很高的目标,心里无比忐忑。结果,刚过8月,全年的指标就已经完成了。给他都整不会了。。。(我猜这也是老林他们找我聊天分享喜悦的重要原因。。。)
看到这么多客户,SASE 这群人一边开心,一边是压力陡增。
因为他们意识到,身上肩负的是无数客户的生命线。
华哥记得很清楚,就在几个月前,他们刚刚经历了一次“小风波”。
一家外企客户,选择把中国的分支业务交给 SASE 来保护。本来一切都很顺利,但突然有一天,SASE 后台流量突然陡增,导致了二十分钟响应中断的情况。
本来我们的预想是,如果 SASE 临时出问题,客户可通过高可用机制“逃生”。也就是临时不通过SASE,在无安全保护状态下让工作继续开展。 其他企业都采用了“逃生”设计,但这家企业并没有,把 SASE 作为连接网络的唯一通路。 所以 SASE 一抖动,后面的办公网就都停摆了。
华哥解释。
虽然紧急排查搞定了问题,但当天晚上,从渠道主管到区域主管到华哥他们,还是排着队给客户登门道歉。。。
在这件事上,华哥他们的态度很科学:
他们的结论不是“客户用的姿势不好”,而是反过来感叹“已经有一些企业把生命都交给了 SASE”。
云上订阅服务是新生事物,但已经渐渐扛起了网络安全的“大梁”,从此不能有丝毫马虎。
SASE 团队马上启动技术升级,把成本不低的“高可用技术”融进其中。
高可用的技术大概是酱:
云上系统的故障率虽然可以无限降低,但理论上永远不可能等于零。只不过再出现 PoP 节点故障,负载就会自动紧急切换到备份系统上,让客户不受影响。
就像下图。
创业不易,凡此种种不胜枚举。
在我看来,SASE 是一种网络安全的新交付范式,所以本期的科普侧重于范式相关的技术,没有具体到攻防层面的技术点。
而“范式”本身,(在我看来)恰恰是对每个人更有意义的问题。
这个问题的思考出发点就是老林说的那句:“你不可能让年轻人白天鼓捣服务器,晚上回家爱奇艺。”
我们总要把网络安全这件事儿交给孩子们。
在网络安全这片大陆上,我们应该奉献给年轻人一个怎样的世界?
(八)向年轻人鞠躬致意
虽然技术就是技术,但技术绝对带有文化烙印。
真正决定技术被如何使用的,是人们脑海里对“这个世界究竟应该如何运作”这个话题所共享的想象。
从机械时代走来的人们,相信更可靠的机械主义安全。那个时代的人,哪怕是最朋克的人,做出的东西也都带有蒸汽朋克的遗风。
比如,用一堆服务器砌成 IDC 机房,晨昏三检查,早晚两汇报;
比如,办公室门外的打卡机和等级森严的格子间。
当然,把实体的网络安全服务器串联在一起,这本身也是机械时代的安全感。
但到了赛博时代,物质的丰富,导致人们对环境的改造更加容易,于是一切结构都变得“短效”。
人们的兴趣爱好一天一变,人们的需要也一天一变。
表现在我们的生活中,就是无数潮牌兴起和衰落,无数流量明星的闪耀和覆灭,无数话题涌起又跌碎,无数新朋友的到来和老朋友散失在人海。
这种生活方式,影响了人类的契约方式。
这也是“订阅”兴起的底层逻辑。
订阅早在“消费级市场”从小众逐渐成为大众。
于是有趣的现象已经发生:
当年轻人都在用手机美颜自拍时,你手里的单反就会贬值; 当年轻人都在玩盲盒时,你手里的茅台陈酿就不香了; 当年轻人都在新能源汽车上唱K时,你的奔驰引擎声听起来也不那么丝滑了。
“企业级市场”,这个看似一点不性感,万年稳定的广阔大陆,也正在承受着订阅的冲击。
所以,真正有趣的现象是:
人的悲喜并不相通,1910年,当新潮的年轻绅士开上“T 型车”的时候,坐在马车里的大叔们只会觉得他们吵闹。
因为数据显示,当时汽车的销量,不及马车的一个零头。
数据当然能说明问题,但数据没有说明的,才是真的问题。
苹果手机是2007年研发出来的。而你知道吗?那也是诺基亚股票涨得最疯的一年。
老林说。
虽然 SASE 的销量相比深信服其他传统产品来说还只是个零头,但我从老林的表情中,可以看到一个尚未到来但确定无疑的画面。
老林给我讲了一个细节。
深信服标准安全产品的后台界面上,会显示设备的网络性能,CPU占用率等等参数;
但是在同样产品的 SASE 版本上,用户看到的后台就只显示哪些数据有泄露风险、哪些人员有风险、网络例行检测评分如何等等这类业务信息。
这就是系统界面截图。
CPU 这些底层性能难道不再重要了吗?
当然重要,但有更专业的人替你关心,不再需要你自己关心了。
也许几年后,所有的网络安全工程师的工作都变成了这样:
工程师坐在懒人沙发中,拿起手机用网易云放一首歌,然后调出 SASE 这个“云上石狮子”对网络例行检查,如果有问题就召唤“空中火力”对图谋不轨的黑客一顿爆锤。
工程师的全部智慧都用来“和人工智能协作”,制定出最适合自己公司的安全防护策略,然后交给系统去执行。
六点半到了,工程师准时下班,所有的网络安全策略被云端的 MSS 工程师团队继续贯彻。(有关 MSS,可以参考《云上钢铁侠》)
这才是一个分工更加细密的赛博时代该有的样子。
深信服向云化和服务化的转变,在我看来,当然是公司自身利益的需要。但从历史的角度看,他们是在向“年轻”本身谦卑地鞠躬致意,更是向“适者生存”而非“强者生存”的达尔文主义的致意。
由此,作为走向新时代的尝试,SASE 值得被祝福。
毕竟,贪恋过去的人终究会随旧时光一起老去。在Z世代的眼中,那些没能走到未来的人,至多只是历史课本里的一行油墨。
把服务器卖给年轻人
你就输了
再自我介绍一下吧。我叫史中,是一个倾心故事的科技记者。我的日常是和各路大神聊天。