锤黑客,不脏手:Z世代网络安全工程师的开挂人生

2022-03-11 19:05:27 浏览数 (1)

浅友们好~我是史中,我的日常生活是开撩五湖四海的科技大牛,我会尝试各种姿势,把他们的无边脑洞和温情故事讲给你听。

锤黑客,不脏手:

Z世代网络安全工程师的开挂人生

文 |史中

(一)扑倒那个 Boy

“我踏马受够你了!”

一个妹子尖利的喊声划破了旧金山格伦公园图书馆的宁静。

群众惊呆了,纷纷抬头。显然,眼前情侣吵架的戏码要比手头的科幻小说更燃。

就在邻桌,一位挂着胡茬的阳光大男孩乌布利希也抑制不住八卦的心,把视线从眼前的电脑屏幕移开。

说时迟那时快,不知从哪里窜出一哥们,一把把他的电脑夺走,跑得比兔子还快。

乌布利希大喊:“肿么个意思?”弹射起来想要夺回电脑。不料,同桌的六个“读者”一拥而上,闪电般锁住他的喉咙,反剪双手,把他扑倒在地。

乌布利希舌头都快被勒出来了:I 。。。can't breathe。。。

刚刚吵架的那对“情侣”秒级和好,也冲过来,给乌布利希戴上手铐,簇拥着他走出图书馆。

图书管理员听到这边稀里哗啦,赶过来处理,被这帮人呵止。十来个人一齐脱下便装外套,露出了 FBI 的制服,对围观群众说:Surprise!

群众呆麻了。。。

乌布利希没来得及砸碎的电脑上,登录着一个管理员界面——Dread Pirate Roberts(可怕海盗罗伯茨)。

这是当时FBI拍的图片,后来被作为呈堂证供。

铁证如山,他就是被称为“暗黑界亚马逊”的“丝绸之路”创始人。

过去几年,无数毒品、枪支、假钞甚至买凶杀人的交易,都与“丝绸之路”网站和这个看上去人畜无害的23岁年轻人有关。

乌布利希

暗网、极客、药品、暴力、自由主义,围绕乌布利希的这些讨论都直击灵魂,但那些中哥今天都不聊。

咱们聊一个剑走偏锋的细节。

先给你来个灵魂拷问:

乌布利希是坏人,这没错。那给他提供了 Wi-Fi 的图书馆是帮凶还是受害者?

我觉得大部分浅友都会说:图书馆招谁惹谁了,肯定是受害者啊!

再来第二个灵魂拷问:

既然是受害者,那乌布利希利用图书馆的网络做坏事的时候,图书馆有多大概率发现?

你可能会说:什么嘛,图书馆是借书看书的地方,每天那么多人都蹭 Wi-Fi,变态杀人狂脸上又不写字,这也太难为人了!

再来第三个灵魂拷问:

假设乌布利希在谷歌上班,他每天利用公司的网络做杀人越货的坏事,公司有多大概率发现并且制止他?

你可能会犹豫:谷歌公司就不一样了吧。。。他们肯定有很多大数据、网络安全系统神马的,估计早晚会发现。乌布利希脑子正常的话,应该不会这么干吧。。。

你看,不知不觉中,你已经替大家总结出了一个真相:

组织规模越大,越有能力发现网络中的威胁;反之,组织规模越小,面对威胁越束手无策。

背后的原因,就是个简单的经济账:

大组织可以投资很多安全系统,什么防火墙、入侵检测、大数据威胁情报、高级威胁检测,能上的都上,平摊到每个人头上成本也能承受; 但小组织里,总共就两个半人,根本负担不起全套安全系统

就像一个大小区,安防系统可以有很多,大家共享;但如果你独自住在郊外,自己建立一套安防系统就很贵了。

所以,哇咖喱贡,乌布利希才不是因为穷才去图书馆蹭网(说实在的,如果不是他的比特币被充公,身家妥妥可以进“服不服排行榜”)。

他了解图书馆这样的“小网络节点”,根本没办法配备专业的网络安全审计产品,是妥妥的弱鸡,更利于他的隐匿。

你看他多有钱。

但厉害的中哥不想把讨论停止于此。

这个真相背后隐藏了一个深层的问题——“安全权利”的不平等

(二)小节点活该被搞吗?

其实,咱们身边的“小节点”特别多。

比如刚提到的图书馆、网吧这样的单体公共场所;还有麦当劳、星巴克这样的连锁店;还有大公司的分支机构,比如乌龟快递在每个县市的集散点,酸梨手机在各个地区的直营店等等。。。

我搜索了一下“麦当劳”,你感受一下小节点的密度。

真被锤的话,这样的小节点网络比妙脆角还脆。

关键是,这种攻击最终会落在你我这样真实的人头上。

咱们分两种情况讨论:

第一种情况,假设你只是在麦当劳里蹭网的群众。

一来,黑客可以通过拿下 Wi-Fi,进而偷窥你上网的一举一动;

二来,黑客也可以向你发送攻击程序,拿下你的电脑权限。你就成了黑客的“傀儡”,以后你无论去哪,他都可以利用你的身份做坏事。

第二种情况,假设你是一个分公司的打工人。

一来,黑客干掉办公网,你电脑里面的工作数据(还有浏览器记录)都被看光光;

二来,就算你的电脑本身没存什么机密,黑客也可能利用你的设备身份连接总部,把公司核心机密都给下载发出去;

三来,你的电脑还可能被黑客植入“挖矿程序”。每天你的风扇嗷嗷叫,黑客却躺着收钱。更严重的还可能给你植入勒索病毒, 交钱才能解锁电脑。。。

你发现了没,同样是打工人,作为分支机构的员工,就天然更容易被黑客搞,也更容易成背锅侠,被老板骂,这不公平啊。。。

到后来,分支机构多的公司,只有两种选择:

第一、给每个小节点都武装到牙齿,不计成本;

就像下图,狮子比节点还大↓↓↓

第二、干脆不让小节点员工直连总部,以防他们被黑客攻陷连累母体。

就像下图↓↓↓

当然,大部分公司选择的是第二种。

讲到这,灵魂拷问终于来了:

小节点和小节点里的人,难道天生低人一等,永远要在“可能被黑客入侵”和“不方便”之间做二选一吗?

“No!安得广厦千万间,大庇天下寒士俱欢颜!”

老林把桌子锤得砰砰响。

他这么激动,原因很简单。

第一,作为技术控,他坚信:节点不论大小,都应该平等地享受人类顶尖安全技术的保护。

第二,他本人在深信服公司负责一个产品,就专门解决这个“安全权力不平等”问题,必须站台带货啊!

我们做的这个东西,就叫:SASE

为了发清楚这个音,他说得咬牙切齿,恨不得喷一脸。。。

我听了半天,才听明白,这玩意儿的读音其实是“Sasy”(就是把“仨四姨”连起来读)。

SASE 到底是怎么做到“大庇天下寒士”的呢?

老林喝了口咖啡,开始给我科普。

老林

(三)“爱奇艺”模式

“你买不买得起周杰伦的所有歌的版权?”他问。

“那买不起。”我说。

“你买不买得起网易云音乐的会员?”他问。

“买得起。”我说。

“你买不买得起综艺节目的版权?”他问。

“买不起。”我说。

“你买不买得起爱奇艺的会员?”他问。

“买得起。”我说。

“解释完毕。”他说。

我揪住他:“你给我好好说明白!”

很简单,人们需要的是安全能力,不一定是安全产品本身,对不对? 所以,我们把深信服的各种网络安全产品都放在云端。无论你的网络有多小,哪怕节点里只有一台办公电脑,只要“开个会员”,我们的安全产品就和你连通,在“云上”保护你啦。 这样是双赢的: 对客户来说,不用给每个小网络都买一堆很贵的安全产品,还省去了部署所需的人力,省钱;对我们来说,还可以错峰把一台设备的安全能力分配给好多人共享,也能省钱。 你说,这个不就跟网易云音乐、爱奇艺开会员是一个道理吗?

他一口气说完,挑挑眉毛。

我大概明白了,SASE 就是把购买安全能力变成订阅安全能力

原来是大院门口才能摆两个石狮子当保安,现在我家小,买石狮子太浪费,就订阅一个“云上石狮子”帮我看家。如果需要,我就一直订阅,如果哪天我搬家了,也可以随时停。

没有一生一世的厮守,有需要就在一起,没需要就说再见,标准的“渣男渣女”模式

想想居然有点小兴奋呢。

“云上石狮子”就像这样。

说到这,估计又会有人吐槽:这不就跟小时候去录像厅租碟一个意思吗?也没啥先进的,这么多年怎么就没人搞这种模式呢?

客官有所不知,和“歌曲、视频”不一样,把“企业级安全产品”做成订阅制服务,最难的不是模式创新,而是要克服好多难以想象的技术难题。。。。

先举个例子你尝一下:

原来的安全产品是这样工作的:一个网络里的电脑A,想要对电脑C说句话,它的这句话要先说给网络安全产品B听,B分析完没问题,才会放行给C。

此时,A电脑、B设备、C电脑可能就在一栋大楼里,信号传输的速度根本不用考虑,稳定性一般也没问题。

现在换成 SASE。

A要说一句话,就得先经过网络传到云端的B设备,B审阅后再传回来给C。虽然信号传输逻辑没区别,但传输距离可是天壤之别。

A电脑和C电脑都在北京,B设备在深圳的云机房里。两个电脑说句话,信号还得绕深圳一趟,来回的延迟谁受得了?

这咋办?

老林告诉我,不仅是深信服,整个业内解决这个“距离难题”都在用一个最笨的方法:追着客户跑,就近建立服务站。

1、比如,北京,上海、深圳、成都各建一个机房,里面的云计算上都跑着网络安全的系统。 2、华东的客户就自动连到上海机房,华南的客户就交给深圳服务,以此类推。 这就像电动车充电站一样,站点越多越密,我开到充电站的距离就越近,体验也更好。

用行话讲,这些节点就叫“PoP 节点”(Point of Presence)

这不,这两年为了支持 SASE 这类订阅产品发展,深信服已经在全国建立了20多个 PoP 节点了。

所有的PoP节点组成了一张网(示意图,不代表PoP节点的真实数量和位置)

讲到这里,中哥才松口气——铺垫了这么多,终于把 SASE 的大致原理科普清楚了。

现在,我可以理直气壮地告诉你 SASE 的全称了。

SASE 的全称叫做“Secure Access Service Edge”安全访问服务边缘。它的意思是:每个电脑都可以通过一个边缘引流器连接到最近的 PoP 节点,然后就可以享受节点提供的安全保护。

不仅如此,人们还能借助这张网络(这是软件定义网络)快速地在各个分支之间传递信息。

所以,你可以认为 SASE 有两个属性:1)安全,2)网络。

合起来,就是“一张自带安全 Buff 的网络”。

我画张图,你感受一下↓↓↓

任何地方的电脑,都能接入 SASE,安全地相互传递信息。

以后的年轻人,肯定不会满头大汗地在实体服务器上配置安全产品了,只要订购云上的安全能力就够了。 你不可能让年轻人白天鼓捣服务器,晚上回家爱奇艺,这太分裂了。

老林摊摊手。

不明觉厉的感觉萦绕在我身边,我还看不太懂,但大受震撼。

不过我很快发现,老林之所以今天能喝着咖啡在我对面吹牛,是因为经过努力,深信服的 SASE 已经走上正轨,可以开门见客了。

就在前两年,呵呵,SASE 的情况可谓“惨不忍睹”。

(四)价值百万的“石狮子”

一听要讲到“血泪史”,另一位同学马上不困了。

他就是深信服 SASE 的运营负责人华哥。

华哥

提到华哥,同事们都津津乐道他价值一百万的“高光时刻”

那是2018年春天,他和团队站在深信服年会的领奖台上,手里握着一年一度的“百万创新大奖”。

这个奖非常牛X,它大概等于所有同事集体认证:你们是过去一年全公司最靓的崽。(当然,得奖人也可以不在乎浮华的荣誉,但这100w奖金可是实实在在的。)

这群人之所以能拿到这个奖,就是因为在2017年开发出了 SASE 产品。(只不过当时 SASE 还叫其他的名字,为了防止混乱我就统一叫 SASE 了。)

这是当时领奖的照片。

做出一个“云上石狮子”就能拿100w?是个啥道理呢?

说到这,还得补充一个背景。

2018年的深信服,跟2021年的画风完全不同。

那时候,他们的明星产品几乎都是纯纯的“物理石狮子”,也就是放在公司网络内部使用的安全产品。这种产品的形态就是把一套系统塞进一个服务器里,被大伙儿开玩笑称为“盒子”。

这是深信服的“全网行为管理产品”

但如果你是深信服,你就笑不出来了。。。天天被说卖盒子,一点儿想象空间都没有,深信服不喜欢这个定位,也不认同这个定位。

他们一直在饥渴地探索新的方向。

所以,SASE 这种“云上石狮子” 一出来,订阅制、轻量级、小清新,一看就是Z世代的工程师喜欢的安全产品嘛,瞬间成为全村人的希望。

但是,华哥他们的奖杯还没捂热乎,情况就开始变得很微妙。。。

不要忘了,既然深信服自己又卖“物理石狮子”,又卖“云上石狮子”,这两个可是相互替代的关系。多卖一个云上石狮子,就少卖一个云下石狮子,也不知,是云上石狮子抢了云下石狮子,还是。。。总之,两个狮子有自己先打起来的可能。。。

这个局面,就像是一家汽车厂又造燃油车又造电动车。燃油车卖得好好的,也不能全部停产,一刀切改成电动车啊。。。

步子大了容易扯蛋。

所以,当时深信服采取了折中策略,先选择一种“石狮子”,也就是“全网行为管理”这个最成熟的安全产品做成 SASE,其他品类的石狮子先不许上云。

而且话说回来,超越时代太多的东西,市场也多半不会认可。

为什么说是超越时代呢?我给你比较一下。

传统的方式是:我买了设备,设备就是我的,想用多少年就用多少年,哪怕退役了,坏了之后的“尸体”也是我的。这多踏实。

订阅的方式是:我订阅的时候能用,不订阅就没了,两手空空。虽然算下来和可能更划算,但摸不着“盒子”,采购部门心里也不踏实啊。

回忆一下你自己的经历就知道了。

过去你买一张CD,到死都能听,还能收藏传给儿子,现在网易云音乐不续费就听不了了。你想想,从买 CD 到愿意每个月十几块钱订阅“云音乐”,你花了多少时间改变思维方式?

那两年,一边是深信服自己不敢贸然进入深水区,一边是大小公司对 SASE 也没啥感觉,作为试水,“云上石狮子”的销量确实有点羞涩。

那 SASE 到底要不要扩大产品线,敲锣打鼓搞起来呢?

深信服的老板们也很纠结,他们必须找准时机打响发令枪。同志们冲得太早,很容易成烈士;冲得太晚,大招就烂在肚子里,市场又被别人抢走了。

华哥他们只能相信组织,一边打磨产品,一边等啊等。

2019年,就在华哥他们都快挺不住的时候,发令枪终于扣响。

那一年,国际上最有前瞻性的咨询机构 Gartner 提出了 SASE 概念。

行业一般认为,有了 Gartner 的站台,起码说明全世界很多公司都真金白银看好这个方向,是个非常强烈的信号。

SASE 被 Gartner 看做颠覆性技术。

同志们可算等到了这一天,如中华田园人一般冲了出去,把各种石狮子(安全产品)搬上云。

然而,刚冲出去,他们发现,自己被大坑小坑包围了。。。

(五)养大一头“云上石狮子”不容易

考你一个问题:如果让你把一套安全系统从“盒里”搬到“云上”,你会怎么办?

最粗暴的方式就是三步走:

第一步:在云上开一个虚拟机; 第二部:把安全系统塞进去; 第三步:接通网络,开始运行。

没错,一开始 SASE 团队就是这么做的。这也是 SASE 的第一代架构。

但讲真,这样的操作非常之不优雅。

我问你一个问题。 假如A公司有20个小分支机构,10个在北京,10个在拉萨,他们订阅了 SASE。这20个分支的网络,一台虚拟机的计算力就足够保护了,所以,我们在云端给A公司开了一台虚拟机提供服务。 请问,我的虚拟机应该开在北京还是西藏?

老林给我出题。

“靠近哪边都不行,因为另一头的访问速度就会慢啊。。。那你们为啥不能大方一点儿,在北京和西藏各开一台呢?”我说。

“不是我们抠门不想开两台机器,而是如果开两台机器,就涉及到它们之间的信息互通问题。 比如管理员修改了安全配置,要在北京西藏两地的虚拟机上同步生效。 而且A公司北京的同事拿着电脑出差去拉萨,为这台电脑服务的虚拟机也要从北京那台自动迁移成拉萨那台。 这背后其实是“自动调度”的技术能力。

他说。

要实现这种调度,也有一个简单的方法,就是在虚拟机层上加一个调度层。相当于有一个“狮子王”,他会根据不同用户的情况,实时指挥这些云上石狮子的工作。

在用户看来,SASE 连上就能用;但深信服自己知道,是“狮子王”在背后吐血调度。

其实,老林2020年加入深信服之后,就主导了这个带调度层的“第二代架构”。

“但这还不是最理想的状态。”老林说,“我们的第三代架构正在研发中。”

第三代架构又是啥样呢?

“那会是纯纯的云原生架构。”他说。

他刚说到这,我就明白了。浅友们对“云原生”应该也不陌生,这一年很多公司的系统都在云原生演进。

云原生最核心的技术就是“容器”。

所谓容器,就像一个玻璃瓶子,任何系统都能装进玻璃瓶子里。容器很轻巧,可以被随意挪动,启动一个容器要不了一秒,关掉一个容器也是一眨眼的事情。

把石狮子装进容器,那可就厉害了。

你可以像孙悟空吹毫毛一样,一秒钟变出好多个“微型石狮子”。

假如中哥所在的公司总部在哈尔滨,老板派中哥去海南发展业务。我到了海南,只要打开电脑,一瞬间就连接到海南的 PoP 节点,什么防火墙、流量审计系统都已经准备好,化着淡妆为我服务了。

不过说句实话,架构并不等于一切。

如果把 SASE 比作一辆车,架构只是底盘,车好不好开还要看加速性能、内饰、车机系统等等更多上层的技术设计。

好的 SASE 和好车的标准差不多,就三条:快、稳、爽

说到这,我迫不及待给你介绍一个又快又稳又爽的男人, SASE 的技术负责人,辰哥。

辰哥

(六)怎样才能“快、稳、爽”

先说“快”。

我们先回忆一下 SASE 的工作原理:网络里每时每刻产生的关键信息,都要拉到云端“安检”一遍。

这里面能挤出时间的,主要有两个环节。

第一个,就是节省传输路上的时间。

这个主要靠多建 PoP 点来解决,这里面的技术就是:使劲砸钱。

第二个,就是加快“云上石狮子”对数据的处理速度。

辰哥告诉我,虽然这也能用砸钱实现,但技术发挥作用的空间也很大。

之前也说过,SASE 是一个统称,其中包含很多种安全系统,病毒检测、入侵检测、数据审计等等,一个流量从网络中传上来,理论上要像机场安检一样在各个系统中依次“串行”。

先查健康码,再看有没有机票,再看身上有没有危险物品等等,任何一步出问题都不行。。。

如果把这些检查都像糖葫芦一样串起来,可想而知就会浪费时间。

假设每一步都需要30毫秒左右,如果叠加个四五步,再加上个来回传输的时间,总共就要到200多毫秒。

随便动一下,都要延迟200毫秒,这是人无法接受的。

所以,辰哥带着大伙儿搞了一组黑科技,可以让流量并行通过各个系统,相当于一边看健康码,一边查验机票,一边检查身份证,一边过安检。

这么一来,就省下了很多时间,把全链路压缩在几十毫秒之内。

再说“稳”。

刚才也说过,安全系统都是装在一个个容器里运行的。这也就意味着,一台云端的“物理服务器”上可能跑着多个安全系统的“容器实例”。

那么,一台服务器里跑多少个容器实例才合适呢?

答案是,看你的水平。

不是有个故事说:一个男的同时和10个女朋友聊天,都能聊得火热不断篇儿。还振振有词:怎么啦?我又不是聊不过来。

这个渣男的脑海里就运行了10个实例,简直是云计算技术的典范。

辰哥他们的任务就是把系统变成最渣的渣男,最好同时稳定运行几十上百个实例。这样,才能把硬件的潜力全逼出来,达到效率最优。

常见的容器都是“标准款”的,深信服过去的各个安全产品也是“标准款”的。把这两种标准款的东西塞在一起,就很难做到极致。

于是技术宅就要对“容器”和里面的“实例”都做针对性地优化。

这里面,不仅要 SASE 团队玩命改代码,更主要的是让原本负责这个安全产品的研发团队改代码。

这两年,凡是上 SASE 的安全产品,比如“全网行为管理”、“零信任”,它们的同学都已经被 SASE 这帮人给折腾怕了,一看到老林他们就“几欲先走”。

最后说“爽”。

爽,其实是一个非常主观的感受。

辰哥隆重介绍了一个有趣的事情:他们做了一套“数字体验管理系统”Digital Experience Management System)。

这是个啥呢,举个例子你就懂了。

你们公司用腾讯会议开会,这些视频流量也要经过 SASE 安检一遍才能放行。

这一天,你们开会的时候突然很卡,请问,究竟是腾讯会议网速的问题,还是 SASE 网速的问题?

这个问题的答案极其重要。。。

深信服就要在产品界面上,给用户提供清晰的数据:现在腾讯会议的延迟是多少,而 SASE 各个环节的延迟又是多少。

这样一来,用户心里也有底,深信服改进自己的产品也有据可循。

但问题就是,获取这些“体验数据”其实挺难的。

就像神经系统一样,为了知道系统哪里不舒服,你要在各个关键的地方布置“监测点”。 原本线下版本的产品里不需要,也没有这部分功能。所以我们需要在 SASE 版本里从头开始,一点点加上去。

辰哥说。

就这样,这群技术宅拉扯着“云上石狮子”一点点长大。

在老林看来,虽然现在 SASE 还算是少年辛巴,但有朝一日它一定能长成比所有“狮子”更厉害的“狮子王”。

这不是老父亲毫无来由的希冀,而是有客观依据的:

如果你把安全系统装进服务器,那它的水平一定会受到服务器自身计算力的限制。 但如果你把它搬到云上,虽然看起来还是同样的系统,但由于算力不再是局限,我们能把更复杂的算法装进去,也能把更多的全量数据拿来计算。 继续演进下去,云端的安全产品能力一定会在某一天超过服务器里的安全产品。我坚信这一点。

老林说得很坚决。

不过,凡是老司机都明白一个道理:技术的跨代领先,只是成功的重要因素之一。

就在这群技术人搞定一个个困难的时候,大家心里都清楚,房间里还有一头大象。

(七)和“大象”一起跳舞

房间里的大象,就是深信服过去20年如建造金字塔一般艰难搭建起来的“销售渠道体系”

看过《有一种温度叫深信服》那篇文章的浅友都知道,从世纪初开始,深信服众将星散在全国各地,一家一家拜访渠道商,一点点证明自己真心实意地支持渠道商。

这才有了如今如毛细血管一般的全国销售网络。

但 SASE 的诞生,让一个问题变得难以绕过。

SASE 要不要通过经销商渠道销售?(换句话说,让经销商来销售,是不是对双方都有利的选择?)

你可能会咂咂嘴:好东西,为啥不让卖呢?

嗯,这个问题背后的逻辑,绝对没有看上去那么简单。

它可以拆解成两个更具体的问题:

第一,对于深信服来说,如果卖实体安全产品,那么上门安装调试、后续维保,都需要散布全国的经销商来做。

但 SASE 这种订阅模式,用户只要开通账号就能用,调试、维保的过程都由深信服总部来做。那经销商的地面部队作用是不是就降低了呢?

第二,对于经销商来说,假设原本卖一台设备能赚3w块,3w块直接落袋为安。

现在变成卖订阅,每年1w块,续费三年才赚3w,那我还得每年盯着客户续费,万一客户闹脾气不续费了呢?这么多不确定性,我为啥不继续卖设备,而是要卖 SASE?

种种迹象表明,这事儿让深信服上上下下纠结了很久。

作为一家千亿市值的上市公司,一旦选错了,可能就是“送命题”。

2020年,深信服终于交了卷,卷子上写着一个激进的答案——让经销商体系全面承担起销售订阅服务的任务,而且当线下产品和线上订阅产品冲突时,优先销售订阅产品。

这就是所谓的“XaaS 优先”(XaaS 可以理解为订阅制,也就是“订阅优先”)。

再小的家,也需要石狮子。

其实如今回望,不用多高深的水平,就能理解“XaaS 优先”是没错的。

有两个重要的理由:

1、虽然 SASE 的诞生之初有照顾“小节点”的考虑,但是后来事实证明,大节点也可以用 SASE 来保证,SASE 比传统硬件的保护范围只多不少,用途上是更广泛的。 2、SASE 放在云端,摆脱了计算力的限制,假以时日,会拉开和线下设备能力的差距,防住线下设备防不住的高级进攻。能力上是更先进的。(老林之前提到了这一点)

放眼当时,市面上大家都在预测深信服会改革,但改革得这么一步到胃,还是超乎了很多人想象。

2021年春天,在海南举办的合作伙伴大会上,深信服的创始人何朝曦跟全体渠道商旗帜鲜明、毫无余地地表明了这个态度,台下一下子就炸了。。。

有的年轻经销商大受鼓舞,跃跃欲试;但有更多经销商卖了好多年“盒子”,突然一听要卖“订阅卡”,觉得简直是胡闹。

老林回忆,当时他也被好多经销商围起来,问这问那。

他给大家解释:

SASE 能不能有未来,关键看有多少客户续费。客户续不续费,关键看产品好不好。 如果大家觉得深信服的云上产品真的能解决问题,而且比过去的盒子解决得更好更快,那有什么理由不续费呢? 如果大家都续费,那对于你们经销商来说,卖一次,就等于卖了一辈子。以后每次续费你们都能拿到属于自己的利润分成,这不是躺赚么?

大家一听,反正也是这么个道理。

当然,老林不可能睡服所有人,但历史的转折兀自排山倒海。

后续几个月,从深信服的后台数据可以看出来很多有趣的事实:

越是思路年轻的经销商,转型越快,销售的 SASE 产品就越多,而偏传统的固守过去销售思路的经销商,销量增长就逊色很多。

而从客户来说,越是年轻新潮的公司,就越接受 SASE 的模式,不仅因为 SASE 可以对他们的小节点提供保护,也因为这种模式更轻更友好。

SASE 成为了网络安全界“年轻人的通行证”。

在年轻人的加持下,SASE 的销量把华哥给惊呆了。

2021年初定销售任务的时候,华哥“被逼”拿了一个很高的目标,心里无比忐忑。结果,刚过8月,全年的指标就已经完成了。给他都整不会了。。。(我猜这也是老林他们找我聊天分享喜悦的重要原因。。。)

看到这么多客户,SASE 这群人一边开心,一边是压力陡增。

因为他们意识到,身上肩负的是无数客户的生命线。

华哥记得很清楚,就在几个月前,他们刚刚经历了一次“小风波”

一家外企客户,选择把中国的分支业务交给 SASE 来保护。本来一切都很顺利,但突然有一天,SASE 后台流量突然陡增,导致了二十分钟响应中断的情况。

本来我们的预想是,如果 SASE 临时出问题,客户可通过高可用机制“逃生”。也就是临时不通过SASE,在无安全保护状态下让工作继续开展。 其他企业都采用了“逃生”设计,但这家企业并没有,把 SASE 作为连接网络的唯一通路。 所以 SASE 一抖动,后面的办公网就都停摆了。

华哥解释。

虽然紧急排查搞定了问题,但当天晚上,从渠道主管到区域主管到华哥他们,还是排着队给客户登门道歉。。。

在这件事上,华哥他们的态度很科学:

他们的结论不是“客户用的姿势不好”,而是反过来感叹“已经有一些企业把生命都交给了 SASE”。

云上订阅服务是新生事物,但已经渐渐扛起了网络安全的“大梁”,从此不能有丝毫马虎。

SASE 团队马上启动技术升级,把成本不低的“高可用技术”融进其中。

高可用的技术大概是酱:

云上系统的故障率虽然可以无限降低,但理论上永远不可能等于零。只不过再出现 PoP 节点故障,负载就会自动紧急切换到备份系统上,让客户不受影响。

就像下图。

创业不易,凡此种种不胜枚举。

在我看来,SASE 是一种网络安全的新交付范式,所以本期的科普侧重于范式相关的技术,没有具体到攻防层面的技术点。

而“范式”本身,(在我看来)恰恰是对每个人更有意义的问题。

这个问题的思考出发点就是老林说的那句:“你不可能让年轻人白天鼓捣服务器,晚上回家爱奇艺。”

我们总要把网络安全这件事儿交给孩子们。

在网络安全这片大陆上,我们应该奉献给年轻人一个怎样的世界?

(八)向年轻人鞠躬致意

虽然技术就是技术,但技术绝对带有文化烙印。

真正决定技术被如何使用的,是人们脑海里对“这个世界究竟应该如何运作”这个话题所共享的想象。

从机械时代走来的人们,相信更可靠的机械主义安全。那个时代的人,哪怕是最朋克的人,做出的东西也都带有蒸汽朋克的遗风。

比如,用一堆服务器砌成 IDC 机房,晨昏三检查,早晚两汇报;

比如,办公室门外的打卡机和等级森严的格子间。

当然,把实体的网络安全服务器串联在一起,这本身也是机械时代的安全感。

但到了赛博时代,物质的丰富,导致人们对环境的改造更加容易,于是一切结构都变得“短效”。

人们的兴趣爱好一天一变,人们的需要也一天一变。

表现在我们的生活中,就是无数潮牌兴起和衰落,无数流量明星的闪耀和覆灭,无数话题涌起又跌碎,无数新朋友的到来和老朋友散失在人海。

这种生活方式,影响了人类的契约方式。

这也是“订阅”兴起的底层逻辑。

订阅早在“消费级市场”从小众逐渐成为大众。

于是有趣的现象已经发生:

当年轻人都在用手机美颜自拍时,你手里的单反就会贬值; 当年轻人都在玩盲盒时,你手里的茅台陈酿就不香了; 当年轻人都在新能源汽车上唱K时,你的奔驰引擎声听起来也不那么丝滑了。

“企业级市场”,这个看似一点不性感,万年稳定的广阔大陆,也正在承受着订阅的冲击。

所以,真正有趣的现象是:

人的悲喜并不相通,1910年,当新潮的年轻绅士开上“T 型车”的时候,坐在马车里的大叔们只会觉得他们吵闹。

因为数据显示,当时汽车的销量,不及马车的一个零头。

数据当然能说明问题,但数据没有说明的,才是真的问题。

苹果手机是2007年研发出来的。而你知道吗?那也是诺基亚股票涨得最疯的一年。

老林说。

虽然 SASE 的销量相比深信服其他传统产品来说还只是个零头,但我从老林的表情中,可以看到一个尚未到来但确定无疑的画面。

老林给我讲了一个细节。

深信服标准安全产品的后台界面上,会显示设备的网络性能,CPU占用率等等参数;

但是在同样产品的 SASE 版本上,用户看到的后台就只显示哪些数据有泄露风险、哪些人员有风险、网络例行检测评分如何等等这类业务信息。

这就是系统界面截图。

CPU 这些底层性能难道不再重要了吗?

当然重要,但有更专业的人替你关心,不再需要你自己关心了。

也许几年后,所有的网络安全工程师的工作都变成了这样:

工程师坐在懒人沙发中,拿起手机用网易云放一首歌,然后调出 SASE 这个“云上石狮子”对网络例行检查,如果有问题就召唤“空中火力”对图谋不轨的黑客一顿爆锤。

工程师的全部智慧都用来“和人工智能协作”,制定出最适合自己公司的安全防护策略,然后交给系统去执行。

六点半到了,工程师准时下班,所有的网络安全策略被云端的 MSS 工程师团队继续贯彻。(有关 MSS,可以参考《云上钢铁侠》

这才是一个分工更加细密的赛博时代该有的样子。

深信服向云化和服务化的转变,在我看来,当然是公司自身利益的需要。但从历史的角度看,他们是在向“年轻”本身谦卑地鞠躬致意,更是向“适者生存”而非“强者生存”的达尔文主义的致意。

由此,作为走向新时代的尝试,SASE 值得被祝福。

毕竟,贪恋过去的人终究会随旧时光一起老去。在Z世代的眼中,那些没能走到未来的人,至多只是历史课本里的一行油墨。

把服务器卖给年轻人

你就输了

再自我介绍一下吧。我叫史中,是一个倾心故事的科技记者。我的日常是和各路大神聊天。

0 人点赞