揭秘:字节跳动是如何做安全和风控的? |
您所在的位置:网站首页 › 字节跳动旗下音乐产品 › 揭秘:字节跳动是如何做安全和风控的? |
但是,大家也大概能猜到 以“字节系”的业务量 没点安全功力护着,是万万不行的 果然,这次产品秀肌肉的操作 揭开了字节“御林军”的神秘面纱 ↓ 这支团队,不光建制完整、分工明确 而且功力深厚、特别能打 接下来,我们就一起揭秘 字节跳动是如何做安全和风控的 跟许多互联网巨头一样 字节跳动的安全团队也经历了 从无到有、从小到大的过程 它的成长史,就是一部 真·打怪升级史 不说别的 看看“字节”的体量和业务规模 坐拥多个深受用户喜爱的产品 其中,抖音的日活已超过6亿 (截至2021年6月数据) 流量越高,用户规模越大 就越容易被黑客、黑产惦记 而且,字节系大部分产品都在“明处” 基于互联网提供在线式公开服务 每天所经受的枪林弹雨可想而知 也正是在这样的实战考验下 字节安全团队逐步发展壮大 对内,他们捍卫自家全线产品安全 防范攻击,打击黑客、黑产 对外,他们以火山引擎为窗口 输出安全能力和服务 普惠各行各业 年前在火山引擎云产品发布会上 公开亮相的,就有4个安全大类 ↓ ❶ 专家与咨询服务字节跳动抽调“御林军”的精锐 组建了「无恒实验室」 专门给自家产品“找茬挑刺” 针对字节系全线产品、系统 挑出安全隐患,然后防患于未然 (挖掘漏洞、杜绝0day、攻防演练) 这种“挑刺儿” 不光针对已上线、发布后的产品 从开发环节,他们就开始介入 确保在开发全生命周期中都是安全的 他们还会研究各种攻防技术 扮演蓝军攻方角色 寻找突破点打进企业核心网络 每天都上演“银枪刺喉”的戏码 当然,有时候还要重拳出击 在产品和服务被攻击时 对黑产和不法分子进行溯源 并协助警方进行打击、抓凶 在各种攻防实战中 他们练就了过硬的本领 并将实战能力聚合对外输出 提供3项服务型安全产品 ↓ 第一个是:红蓝对抗服务 这个经验丰富的内部“黑客”团队 储备着“高精尖”的武器库 形成“海陆空”全方位火力覆盖 (网络漏洞、近源渗透、社工、供应链攻击…) 整体化评估企业当前安全水位 协助企业构建更坚韧的纵深防御体系 第二个是:渗透测试服务 针对服务端/客户端场景进行测试 覆盖代码安全、业务逻辑安全、数据安全、系统环境安全等多个方向 第三个是:安全托管服务 说白了,就是客户把自家的安全责任 委托给字节跳动的安全专家团队 作为安全圈内专业的“外援” 他们通过云端研判和本地驻场服务 帮助客户来“背安全的锅” 让客户体验到“字节级”的安全保障 字节系的全线产品 上线后,都在云端承载 这就需要对云工作负载进行强力保护 (裸机、虚机、容器的安全等等) 说白了,要保障业务系统底座的安全 字节流量之大,一半朵云囤不下 既然能Hold住这么重的云底座 云安全小分队的能力不可小觑 因此,他们也输出了一系列产品 来帮助客户保护各种云上工作负载 ↓ 产品一:主机安全保护平台 这款产品,支持私有化云环境部署 对云主机/云服务提供安全防护 支持资产透视、漏洞扫描、入侵检测、威胁溯源… 产品二:容器安全平台 这个产品主抓云原生安全 支持私有化部署 提供风险深度挖掘 保护容器全生命周期安全 能够很好地与各类复杂多变的云原生环境集成 产品三:云堡垒机 作为云上运维安全的利器 堡垒机自然不可或缺 可实现统一运维入口 登录多因子认证确保访问安全 高危行为自动阻断、溯源审计可视化 产品四:云安全中心 这里可以说是云上安全指挥部 在集成主机安全、容器安全的同时 也把其他安全“散件”,组合起来 形成检测、响应的安全闭环 云安全中心基于大数据和机器学习 将各类告警、日志、情报关联分析 并提供自动化响应编排、预测、态感 实现云上统一安全运营、运维 除了“主机”层面安全 网络与应用安全也是重点防护领域 ↓ 大家从字节系产品顶级的背景流量中 去伪存真,明察秋毫 任何攻击、威胁、违规行为 都逃不过他们的双眼 这些大场面 历练了他们L2-L7全栈防护能力 无论DDoS/CC 还是Web入侵/恶意扫描 他们都能精准识别、精确防护 同时这些网络与应用安全的积累 也形成了标准化产品,对外赋能 ↓ 产品一:NTA 基于全流量安全监测能力的积累 NTA精准识别已知&未知网络威胁 实现网络安全可视化 产品二:云防火墙 作为最通用的网络安全产品 字节跳动云防火墙基于SDN弹性部署 支持云上南北和东西流量防控 构筑更细粒度的安全域 产品三:云WAF 提供网站防护和API防护 通过智能策略+规则的方式 抵御各种Web攻击手段 利用请求限速+自定义访问控制 轻松缓解CC攻击对源站的影响 还有最吸睛的:抗D服务 包括了基础抗D和高防抗D 抗D本质上讲,是一种资源对抗 借助字节海量的防护带宽 多维防护算法和高效清洗系统 为游戏、金融、电商等多行业保驾护航 “字节”非常重视数据与隐私安全 通过建立完善的漏洞管理和运营体系 持续推动产品的“最安全状态” 杜绝数据泄漏风险 同时他们也不断修炼 隐私合规、数据安全、隐私计算功夫 确保用户数据隐私在满足合规要求的前提下实现数据流通 目前,这些源于内部需求的能力 也被提炼出来,形成了两项产品 ↓ 其一是:KMS密钥管理系统 这是一套保护云上数据安全的利器 方便云租户管理密钥 并提供全文加密和敏感数据加密 底层基于硬件密码机,支持国密标准 合规不减速,加密不加价 其二是:云信任中心 该产品通过火山引擎 进行云端交付 通过全方位的透明可信举证 (日志审计、隐私保护、安全运维) 消除广大用户的上云顾虑 . . . 最后,我们来总结下 这4大类、14款产品 涵盖网络、应用、云工作负载、数据、安全运营、攻防对抗、咨询服务等方方面面 一出道,便惊艳了四座 每项产品和服务 都是字节跳动的安全“御林军”们 在修炼内功、拱卫自家安全的实战中 不断聚集“龙珠”,召唤“神龙” 相信,还会有更多“神龙”出现 未来 这些产品以火山引擎为载体 云服务与安全服务互相加持 必然迎来能力大喷发!
|
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |