在很多技术开发人员眼里,一致对运维有一个开玩笑的认知:运维就是网管,是修电脑的、装网线的、背锅的岗位。 什么是运维?运维,这里指IT里的运维,通常属于技术部门,与研发、测试、系统管理同为互联网产品技术支撑的4大部门,这个划分在国内和国外以及大小公司间都会多少有一些不同。运维是一个非常广泛的定义,在不同公司不同环境以及不同的阶段有着不同的职责与定位,如果以operation(运维英文)字面的含义去理解,认为就是敲几行操作命令盯着监控状态的工作,那就很片面了。运维是一个融合多学科(网络、系统、安全、应用架构、存储、大数据、云计算等)的综合性技术岗位。  首先可以肯定的是运维工程师主要是确保平台系统(无论是网站还是软件服务)的安全和稳定运行。具体就是当开发项目正式上线后,产品、编程、测试类的工作就正式结束了,接下来维护和管理的工作就会全部移交给运维工程师。运维工程师的工作核心主要是保障产品上线后的稳定运行,对在此期间出现的各种问题进行快速解决,并在日常工作中不断优化系统架构和部署的合理性,以提升系统服务。由此可见,运维工程师工作的重要性并不亚于任何开发类的工程师。 一个互联网产品的生成一般经历的过程是:产品经理、需求分析、研发部门开发、测试部门测试、运维部门部署发布以及长期的运行维护。运维本质上是对网络、服务器、应用、稳定安全的生命周期各个阶段的运营与维护,在成本、稳定、效率综合达成一致的状态。 对于初创公司,运维部和系统部一般是合二为一的,相关工作由同一批人负责,运维的职责界限可能不是很明显。大型公司对运维工作的要求更高,需要有更精细的分工,因此机房/网络/操作系统相关的底层工作分离出来由专人负责,成为系统管理部,而上层和应用产品相关的工作则由运维负责,成为运维部。 class="ztext-empty-paragraph">
 class="ztext-empty-paragraph">
运维是个很泛的领域,就像你在问“什么是开发”一样,同样的,“运维工程师”也是个很范的职位,运维工程师都的头衔梳理出来运维已达到很多个细分的职位,我们日常听到的使用频率最高的运维头衔: IT运维工程师、Linux运维工程师、运维开发工程师、应用运维工程师。按侧重某项技能或行业的运维头衔:系统运维工程师、数据库运维工程师网络运维工程师、安全运维工程师、桌面运维工程师、CDN运维工程师、IDC运维工程师、存储运维工程师、硬件运维工程师、游戏运维工程师等等。等走上管理岗位的运维头衔:运维主管、运维经理、高级运维经理、运维总监。 而现在我们要说的就是,在当前IT和互联网发展的环境下,一个运维工程师,无论什么公司和工作环境,实际工作内容超过30-50%以上竟然都是安全相关的技术工作。尤其特别是数据中心的高级运维工程师,可能主要80%的工作就是安全运维。 接下来说下运维岗位未来的三大发展方向。 一,大数据、云计算方向 大数据/云计算日益普及的今天,网站规模越来越来大、架构越来越复杂,对专职网站(应用层)运维工程师、网站架构师的要求会越来越急迫,特别是对有经验的大数据/云计算运维工程师需求量巨大,而且是越老越值钱。 二,安全运维方向 为保持信息系统在运行的过程中所发生的一切与安全相关的管理维护工作。安全监控服务、安全检查服务、安全通告及预警服务、安全加固服务、应急响应服务、补丁管理服务、安全评估服务、项目上线评测等服务。 三,运维开发方向 DevOps是开发、技术运营和质量保障三者的交集,集运维与开发于一身的高级运维工程师。 兼顾开发与运维两种能力,从架构、开发、测试、发布、运维、变更整个流程来考量。既要掌握不弱于业务开发的开发技术;又要负责运维能力;上线之前,对自己的服务进行测试和分级变更。 今天我们主要来说说安全运维方向。 伴随着互联网的产生和发展,网络安全问题层出不穷,各式各样安全漏洞的涌现,运维与安全这两个专业日渐交融,人们对运维安全的重视程度越来越高,出现了一个新的交叉领域叫“运维安全”。黑客、白帽子忙于挖掘运维安全漏洞,企业忙于构建运维安全体系,一时间无数漏洞纷至沓来,座座堡垒拔地而起。现实中的业务、运维、安全的关系是互相关联、彼此依赖的。衍生出三个不同与安全相关的子专业:“运维+安全”,“安全+运维”,“业务+运维+安全”。 在互联网公司招聘岗位里,我们经常看到的是运维安全工程师、安全运维工程师,这两个岗位比较好对号入座。而“业务+运维+安全”,通常被包含在安全工程师的岗位中,近年出现的应用运维安全工程师,相比之下更符合“业务+运维+安全”的定位。 运维安全 = 运维 + 安全运维安全研究的是与运维相关的安全问题的发现、分析与阻断:比如操作系统或应用版本漏洞、访问控制漏洞、DDoS攻击等。显然,运维安全立足于运维,从企业架构上讲通常属于运维部门或者基础架构部门,运维安全工程师的专业序列一般属于运维工程师。 安全运维 = 安全 + 运维安全运维研究的是安全系统或者设备的运维:比如防火墙、漏洞扫描器维护,漏洞挖掘与应急响应等。这个也很明显,安全运维属于安全部门旗下,安全运维工程师的专业序列也属于安全工程师。  其实运维安全和安全运维的工作内容都是一样的,只是侧重点不一样。对于大的公司团队里只是编制归属不同。 应用运维安全 = 业务 + 运维 + 安全应用运维安全研究的是业务上的运维与安全,主要包括安全风险评估与安全方案规划设计及其落地。组织架构上该岗位有属于安全部门的,也有属于业务部门的,对应的专业序列有属于安全工程师的,也有属于开发工程师。 通过对比“运维+安全”,“安全+运维”,“业务+运维+安全”三个子专业的不同,我们明确了运维安全的研究领域和岗位职责。 是什么导致运维安全现在这么“风光”?为什么我们重视运维安全?最近这年特别之处在于作为互联网基础设施的几大应用相继被爆漏洞或被攻击。之后,企业对运维安全投入迅速加大,各种运维安全问题也引起广泛关注。直到今天,运维安全已经成为企业安全建设的重中之重。  class="ztext-empty-paragraph">
安全运维的工程师究竟需要具备技能和哪些工作内容呢? 这是网盾公司的招聘启事,大致工作内容如下: 1、负责公司安全设备的日常配置、定期的分析监控报告、设备的故障处理; 2、负责突发安全事件的应急响应、取证和溯源,并持续优化响应流程; 3、参与安全攻防能力建设,规范编写,自动化安全监测平台搭建维护和安全培训工作; 4、参与网络安全体系的规划和网络安全防护管理; 5、关注最新的安全动态和漏洞信息,及时发现公司相关系统的漏洞,并协助相关单位进行修复跟进工作。 而安全运维需要掌握的技能如下参考: 1.对目前现有网络架构有一定的了解,熟悉防火墙,WAF,路由交换,IDS,IPS等等设备以及原理作用,能熟练操作也会让基础更扎实。 2.熟悉OWASP TOP 10 榜单上,常见的应用软件风险,了解产生的原因,以及逻辑,了解常见的处理方式。 3.熟悉常见的各类操作系统的命令(比如需要查询linux日志,以作为被攻击后,能接用日志分析对方进攻思路)熟悉windows各类日志查询及分析。 4.熟悉一套安全\网络响应流程,以便优化本项目\其他安全网络项目。 5.了解红蓝对抗,你需要知道别人怎么进攻,才会知道怎样防御,怎样检查,怎样溯源。 6.具有一定的日志分析基础,可以根据日志分析,找到对方留下的后门或被修改的文件。 7.具有一定的文案能力,需要周期的汇报安全成果。 安全核心是在预防,所以很多时候,这个职位并不是很受别人重视,需要有一定的自驱力,不断去国内外的安全社区学习新的知识,了解新的漏洞,以及可使用的方式或逻辑。 而运维安全,首先是运维。日常工作中与IT、安全和网络部门关系都十分密切,保持与兄弟部门的良好沟通和信息共享非常重要。下面我们探讨一下与他们合作的可能性。与IT部门主要是办公网安全,尤其是网络接入系统,通常是IT维护,但由于历史原因或者技术支持的需求,NAC可能需要运维安全人员提供技术支持,比如前面提到的堡垒机服务。与安全部门运维安全属于安全的一个分支,但是不在安全部门管理之下,但其与安全部门的联系极其密切,可以说无论是业务安全,还是运维安全,都是“站在巨人之上”。 class="ztext-empty-paragraph">
 class="ztext-empty-paragraph">
安全部门提供基础设施如DDoS防御系统,包括目前公有云里的高防服务,WAF这些都很重要,和对外统一接口如SRC等安全部门提供SDL支持,运维与产品部门的联系较安全部门更为密切,很多时候需求先到运维,才到安全,所以通过运维安全一起推动安全培训、安全架构设计与落地、渗透测试等工作也不少见。相对应的,运维安全也能根据运维部门和产品具体情况实现精细化的漏洞运营,同时推动漏洞高效修复。与网络部门很多企业的运维和网络很长一段时间都是放在同一个部门之下,即便拆分出来之后,两者合作也是最多。 对于运维安全而言,在访问控制和DDoS防御上非常需要网络部门支持。访问控制如网络隔离和统一出入口访问控制的落地DDoS防御网络打通、流量采集与包括ip资产信息在内的数据共享本文从运维安全的概念入手,强调了运维安全困境导致了我们的重视,也从安全意识和基础架构建设上剖析了导致该困境的原因,然后就事论事,希望通过运维安全意识培养、运维安全规范以及运维安全技术体系的建设,来保障一套完整的运维安全体系的有效运转,为业务发展保驾护航。  class="ztext-empty-paragraph">
安全运维,是企业管理中躲不开的一个环节,有一套良好的安全运维规范,可以帮助企业降低安全隐患。那么到底应该如何做好安全运维? 安全运维包含两层意思,第一层是维护一个组织的信息完全管理体系,比如使用防火墙维护公司的安全域划分;第二层意思是在运维工作中落实安全管理要求,降低运维工作中的安全风险。 由此可见,第二层的意思立足于第一层,安全运维的前提是企业有明确的信息安全管理体系,信息系统有较合理的安全架构。 安全运维的主要工作模式也分为两种。一种是依靠信息安全管理团队的工作模式,组织建立信息安全管理体系,在信息系统建设时同步建设信息安全技术措施,督促信息系统在建设中同步落实安全管理要求,利用安全产品开展管理与审计监督。另一种是依靠运维人员的工作模式,把安全赋能给运维人员, 运维人员根据安全要求执行规范的运维规程。安全运维需要将两种模式有机结合,不是信息安全团队或者运维人员的单打独斗,才有起到最好的效果。 对于小型企业来说,往往没有专职的安全人员,安全建设通常由网络或基础架构部门兼任,安全运维往往只能依赖运维人员的能力。这种阶段下安全只是一个可有可无的附加值,并不能真正发挥它的作用。 发展到一定规模的中小型企业,招聘了安全专岗,但也往往只有一两个人,这种一个人的安全部模式,安全人员往往因为前期没有做好整体的安全规划而在运维上疲于奔命的救火。公司把信息安全的责任都放在安全人员身上。针对中小型企业,建议聘请安全公司的安服团队进行运维,让安全人员释放双手进行有效的安全规划与建设,才能逐渐走向正规。 对于大型企业,安全部门已逐渐成型,可能会有专人负责管理、制度建设、合规等工作;有专人负责运维工作。在这种模式下,建议参照上一点提到的重点,将运维工作分层分级给不同的人员处理,并将安全技能充分赋能给其他业务部门。如可以把终端杀毒、准入、VPN、防垃圾邮件等工作赋能给桌面运维团队;将堡垒机、服务器EDR等工作赋能给基础架构团队。真正的做到谁主管、谁负责;谁使用、谁负责、谁运营、谁负责。信息安全团队更可以集中精力在安全建设、日志监控、攻防等方面,同时提升了全公司的安全水平。 如何培养安全运维的人才(如何留住安全运维的人才)? 最近几年,专业的安全人才一票难求已经是公认的事实,未来很长一段时间这种趋势也会持续下去。这种情况下,应该如何培养安全运维的人才?私以为,将安全运维的能力分级,引入职业发展的路线,是一个很好的办法。比如从基础的终端安全运维岗开始,到网络安全运维岗,应用风控安全运维等,通过岗位轮动,培养全能的人才,同时也可以令更多其他运维岗学习安全技能,培养公司的后备人才。安全运维经验丰富以后,可以尝试编写脚本的自动化运维,培养开发方面的能力;或是走分析溯源路线。同时,这也是留住安全人才的方法,有一条清晰明确的职业发展路线,避免安全人才反复做低级的运维工作。
|