惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

V
Vulnerabilities – Threatpost
T
The Blog of Author Tim Ferriss
S
SegmentFault 最新的问题
D
DataBreaches.Net
博客园_首页
罗磊的独立博客
B
Blog
T
Threat Research - Cisco Blogs
C
Cisco Blogs
GbyAI
GbyAI
Engineering at Meta
Engineering at Meta
WordPress大学
WordPress大学
G
GRAHAM CLULEY
H
Help Net Security
酷 壳 – CoolShell
酷 壳 – CoolShell
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
爱范儿
爱范儿
SecWiki News
SecWiki News
T
Threatpost
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
Schneier on Security
Schneier on Security
T
The Exploit Database - CXSecurity.com
Google Online Security Blog
Google Online Security Blog
T
Tor Project blog
小众软件
小众软件
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
Y
Y Combinator Blog
H
Hacker News: Front Page
V
V2EX
Security Latest
Security Latest
Cloudbric
Cloudbric
Simon Willison's Weblog
Simon Willison's Weblog
Attack and Defense Labs
Attack and Defense Labs
D
Darknet – Hacking Tools, Hacker News & Cyber Security
P
Proofpoint News Feed
博客园 - 三生石上(FineUI控件)
NISL@THU
NISL@THU
S
Secure Thoughts
Blog — PlanetScale
Blog — PlanetScale
博客园 - 司徒正美
V2EX - 技术
V2EX - 技术
Vercel News
Vercel News
P
Palo Alto Networks Blog
IT之家
IT之家
MyScale Blog
MyScale Blog
有赞技术团队
有赞技术团队
Application and Cybersecurity Blog
Application and Cybersecurity Blog
D
Docker
Google DeepMind News
Google DeepMind News
Webroot Blog
Webroot Blog

美团技术团队

美团 · 技术团队 美团 · 技术团队 美团 · 技术团队 美团 · 技术团队 美团 · 技术团队 美团 · 技术团队 美团发布基于 N-gram 全新模型:嵌入扩展新范式,实现轻量化 MoE 高效进化 2025美团技术年货,「马」上到来 多维创新打造强泛化智能体模型,LongCat-Flash-Thinking-2601技术报告发布 美团 EvoCUA 刷新开源 SOTA,会用电脑还会持续进化的智能体! 美团 LongCat-Flash-Thinking-2601 发布,工具调用能力登顶开源 SOTA! KuiTest:基于大模型通识的 UI 交互遍历测试 AAAI 2026 | 美团技术团队学术论文精选 2025 | 美团技术团队热门技术文章汇总 美团 LongCat-Video-Avatar 正式发布,实现开源 SOTA 级拟真表现 大模型剪枝新范式:先浓缩,再剪枝——DenoiseRotator技术解读 LongCat 上线 AI 生图!精准高效,AI 创作不设限 美团发布 LongCat-Image 图像生成模型,编辑能力登顶开源 SOTA AI Coding与单元测试的协同进化:从验证到驱动 R-HORIZON:探索长程推理边界,复旦NLP&美团LongCat联合提出LRMs能力评测新框架 美团 LongCat 发布 AMO-Bench:突破 AIME 评测饱和困境,重新定义 LLM 数学上限 美团 LongCat Interaction 团队发布大模型交互系统技术报告 WOWService 美团 LongCat 团队发布全模态一站式评测基准 UNO-Bench 美团开源LongCat-Audio-Codec,高效语音编解码器助力实时交互落地 NeurIPS 2025 | 美团技术团队论文精选 LongCat-Flash-Omni正式发布并开源:开启全模态实时交互时代 美团 LongCat 团队发布 VitaBench:基于复杂生活场景的交互式 Agent 评测基准 LongCat-Video 视频生成模型正式发布,探索世界模型的第一步 ICCV 2025 | 美团论文精选及多模态推理竞赛冠军方法分享 从0到1建设美团数据库容量评估系统 可验证过程奖励在提升大模型推理效率中的探索与实践 LongCat-Flash-Thinking 正式发布,更强、更专业,保持极速! 开源 | InfiniteTalk:无限长虚拟人视频生成的新范式 美团正式发布并开源 LongCat-Flash-Chat,动态计算开启高效 AI 时代 美团 M17 团队开源 Meeseeks 评测集:揭秘大模型的“听话”能力 可信实验白皮书系列08:开放式分析引擎 | 附PDF合集 美团智能头盔研发实践系列02:软件功能篇 美团智能头盔研发实践系列01:硬件设计篇 ACL 2025 | 美团技术团队论文精选 美团开源OIBench与CoreCodeBench:揭示大模型编程能力的真实水平 可信实验白皮书系列07:高阶实验工具 开源 | MeiGen-MultiTalk:基于单张照片实现多人互动演绎 可信实验白皮书系列06:观察性研究 JDK高版本特性总结与ZGC实践 可信实验白皮书系列05:准实验 可信实验白皮书系列04:随机轮转实验 可信实验白皮书系列03:随机对照实验 可信实验白皮书系列02:AB实验基础 可信实验白皮书系列01:从0到1的方法论与实践指南 MTGR:美团外卖生成式推荐Scaling Law落地实践 OR算法+ML模型混合推理框架架构演进 ICLR&CVPR 2025美团技术团队论文精选 行为正则化与顺序策略优化结合的离线多智能体学习算法 预测技术在美团弹性伸缩场景的探索与应用 美团技术年货 | 600+页电子书,算法、工程、测试、数据、安全系列大合集 鸿蒙应用签名实操及机制探究 2024 | 美团技术团队热门技术文章汇总 AutoConsis:UI内容一致性智能检测 CIKM 2024 | 美团技术团队精选论文解读 大前端:如何突破动态化容器的天花板? KDD 2024 OAG-Challenge Cup赛道三项冠军技术方案解读 新一代实验分析引擎:驱动履约平台的数据决策 大众点评技术部包揽KDD 2024 OAG-Challenge Cup赛道全部3项冠军 ACL 2024 | 美团技术团队精选论文解读 KDD 2024 | 美团技术团队精选论文解读 基本功 | 一文讲清多线程和多线程同步 小程序可测性能力建设与实践 SIGIR 2024 | 美团技术团队精选论文解读 Spark向量化计算在美团生产环境的实践 CVPR 2024 | 美团技术团队精选论文解读 基于多模态信息抽取的菜品知识图谱构建 DDD在大众点评交易系统演进中的应用 美团外卖基于GPU的向量检索系统实践 美团大规模KV存储挑战与架构实践 基于接口数据变异的App健壮性测试实践 美团技术年货 | 600+页电子书,前端、后端、算法、测试、运维系列大合集 美团RASP大规模研发部署实践总结 2023 | 美团技术团队热门技术文章汇总 美团到店终端从标准化到数字化的演进之路 AIOps在美团的探索与实践——事件管理篇 美团技术博客十周年,感谢一路相伴 基于UI交互意图理解的异常检测方法 如何利用「深度上下文兴趣网络」提升点击率? 基于模式挖掘的可靠性治理探索 代码变更风险可视化系统建设与实践 美团多场景建模的探索与实践 MJDK 如何实现压缩速率的 5 倍提升? 如何提供一个可信的AB测试解决方案 KDD 2023 | 美团技术团队精选论文解读 美团前端研发框架Rome实践和演进趋势 斩获CVPR 2023竞赛2项冠军|美团街景理解中视觉分割技术的探索与应用 MySQL自治平台建设的内核原理及实践(下) CVPR 2023 | 美团技术团队精选论文解读 超大规模数据库集群保稳系列之三:美团数据库容灾体系建设实践 超大规模数据库集群保稳系列之二:数据库攻防演练建设实践 Robust 2.0:支持Android R8的升级版热修复框架 超大规模数据库集群保稳系列之一:高可用系统 一次「找回」TraceId的问题分析与过程思考 基于AI+数据驱动的慢查询索引推荐 SOTA!目标检测开源框架YOLOv6 3.0版本来啦
初探下一代网络隔离与访问控制
赵彦 · 2018-01-26 · via 美团技术团队

概述

安全域隔离是企业安全里最常见而且最基础的话题之一,目前主要的实现方式是网络隔离(特别重要的也会在物理上实现隔离)。对于很小的公司而言,云上开个VPC就实现了办公网和生产网的基础隔离,但对于有自建的IDC、网络基础设施甚至自己构建云基础设施的大型公司而言,网络隔离是一项基础而复杂的安全建设。基础在这里的意思并非没有技术含量,而是强调其在安全体系里处于一个根基的位置,根基做不好,上层建设都不牢靠。

隔离的目标是为了抑制风险传播的最大范围,使受害范围限定在某个安全域内,类似于船坞的隔离模式,一个仓进水不会沉船。从攻击的角度看,网络隔离可以阻拦攻击者单点得手后的横向扩散,防御者视角更具体的思路可以参考《互联网企业安全高级指南》一书有关纵深防御的章节。

网络隔离通常分为(1)IDC隔离以及(2)办公网隔离,除此之外,还有(3)办公网跟IDC之间的访问控制。受限于安全策略的敏感性,本文不会披露过于详细的策略或实现方案。

IDC隔离

以下先从IDC隔离说起,安全做的没有特点的公司通常是这么分的:办公网内部没有任何隔离,生产网内部也没有任何隔离。

甚至有些市值好几百亿美元的公司也这么分。这样分的结果是对运维比较便利,但从安全来说相当于什么也没做。比较普遍的做法如下图所示(某电商公司的例子):

首先会在IDC整体上区分公有云和私有云,其次在私有云内部区分生产和测试环境,然后是办公网跟IDC的隔离。当然这个粒度是比较粗的,实际在每个安全域内部还有更细的划分,安全域之间设置运维和数据通道,数据在安全域之间流转时需要脱敏和审计。再来看另一个大型互联网公司安全域的例子:

里面更细粒度的定义了OA-IDC之间的通道,即图中标示为内部运营网的部分,例如通常运维的堡垒机就属于内部运营网,思路还是把运维通道,数据通道,测试环境都放在了内部运营网,可以理解为整体上就是OA-测试(内部运营通道)-生产,3大安全域。

除了国内主要的互联网公司,再看一个国际电商和云计算巨头的例子:

办公网包含测试环境,通过发布系统与生产环境隔离,生产环境中除了密钥管理等强制合规性需求外,基本没有做太多隔离,推测是为了网络资源的弹性考虑,staging可以理解为是CI末端的一个预发布环境,在全球范围内会跟云计算一样区分Region(北美、亚太……Region之间几乎不互通),AZ(Availability Zone,可用区,可以理解为是同一个IDC内有用相同的灾备等级)的隔离概念。

基本上上述例子可以代表全球范围内绝大部分互联网和云计算公司的安全域隔离方法论了。于是,我们吸收各家的优点,整理出一个相对通用的安全域划分示例,如下图所示:

在大多数公司,如果安全工作做得认真到位,没有太激进或者技术引领之类的需求基本上也算OK了。只不过网络隔离这件事天生跟弹性计算是对立的,隔离的越细致,对于快速扩容、服务编排、资源回收都是不利的。在海量IDC运维环境下,会给追求全自动化资源管理的理念引入障碍。

另一方面,虽然明确定义了很多诸如生产测试分离之类的规则,但在实际的日常使用中往往会有很多问题。互联网公司的研发不是传统的瀑布模型,也不一定都有专职的且供应量足够的测试人员,尤其对于扩展中的业务很多流程和规则往往处于模糊地带,测试环境也未必能满足所有的测试需求,例如全链路压测等,这些问题带来的挑战是安全隔离对业务需求产生阻碍,但是业务又不能中断,所以会有很多变相操作,例如直接去生产环境测试,从而跳过了安全预设的场景和规则,最后使得隔离看起来有点虚幻。

笔者细数了一下网络隔离诞生于上个世纪,是自网络安全开始就有的概念,产生于一个互联网并不发达也没有海量IDC的时代,所以这种模式可能有点局部(并非全部和绝对)过时了。直到发现Google的模式,阐述了一种全新的思路:不使用基于网络的隔离,而是用应用级别的隔离来实现访问控制,如下图所示:

我们从几个层面详细分析这一方案。

首先Google这个规模的IDC管理的理念是必须通过自动化管理实现,人肉是不可能的,当然人肉审批ACL策略也是不可能的。集群全部通过自动化管理的前提是高度的弹性计算能力:所有机器的安装初始化,上线,应用实例部署,到自动擦除数据下线,回收资源都是自动化的,所以过度的隔离也会抑制生产能力。以前这些自动化工作都通过sshd服务来,且需要root权限,Google认为这是一个巨大的安全隐患,所以重新设计了一个admin服务运行于所有的VM、容器实例,这个admin服务本质上是一个RPC服务,支持认证、ACL驱动和审计,并且只需要完成工作的最小权限。相当于原来通过SSH管道执行的命令变成了通过admin服务的一堆RPC调用指令,每个参数都可审计。这是Google这套机制的背景之一。

第二点,这套机制能work的前提是:Google的IDC内网只有RPC协议,没有像其他公司一样的mysql,ssh,rpc,http等各种协议,所以只对RPC服务做访问控制就相当于给所有的攻击面做访问控制,但是对于有着各种复杂协议的普适性IDC内网场景来说,这一点前提是不ready,不能说没有用,但显然其他协议仍然有攻击面,仍然可用于内网渗透和横向拓展。这也是Google自研技术栈比较深导致的跟大多数公司基础设施不太一样的地方,所以看官可能也察觉到这不是一个放之四海皆准的方案。

第三点,这套机制的工作原理,可以参考图中右半部分。服务调用通过RPC鉴权:譬如某类型的前台服务A只能访问某个类型的后台服务B,也可以衍生出业务X的前台服务A只能访问业务X的后台服务B,而不能访问业务Y的后台服务B。测试跟生产分离,也只需要将测试和生产定义成不同的业务大类。从攻击者的立场来看,假如你搞定了内网的一台机器,你拿出扫描器去扫其他机器,虽然路由可达,但是因为不具有对应的RPC权限,所以没有对其他应用的访问token,相当于被隔离。

不过可惜的是,前置条件IDC内网收敛为一种RPC协议这一条绝大多数公司都不符合,所以这种形式的可落地改进方案还有待讨论,但是笔者认为这代表了未来的方向,对于超大规模IDC自适应的安全隔离无法通过简单的划分安全域和手工ACL审批来实现。

办公网隔离

笔者在《互联网企业安全高级指南》中描述过一种OA网络的划分方法,如下图所示:

首先把IT应用(假如在内网的话)跟桌面用户划开,桌面用户根据职能部门划动态VLAN,这种一种传统的安全域方式。策略收敛比较到位的话也能起到不错的效果。

Google的BeyondCorp( https://cloud.google.com/beyondcorp/ )不走寻常路,本质上是办公应用云化和移动化后的产物。

图示的是BeyondCorp这套机制,通过识别当前设备状态,使用动态的访问控制策略决定当前设备能访问哪些OA应用。这套机制跟传统的OA安全域最本质的区别是:

  • Bird传统的访问控制策略都是基于IP/MAC的。
  • BeyondCorp模型是基于设备/账号的。
  • 传统的模型访问控制是静态的,后者则是动态的。
  • 传统的模型是ACL,BeyondCorp则有点风控的意味。

对于企业来说,如果移动办公程度非常高,那么应用云端化和SSO这些都是现成的,只需要梳理资产,改造gateway支持风控引擎就可以实现BeyondCorp。而对很多非高度移动化的公司而言,如果传统的安全域划分、网络监控、终端安全管理都做的非常到位的情况下,强制改造成BeyondCorp的成本是非常高的,笔者倾向于认为ROI可能不足以支撑安全团队的绩效。

OA和IDC之间

有几个必要的通道:

  1. SSH远程访问通道,通过跳板机,全程审计,权限回收。
  2. 数据安全环境:数据开发,BI报表等,一切需要接触数据仓库的开发运营人员的工作集散地,通常这里会有一些类似虚拟化桌面的审计。
  3. 数据传输通道:因为各种原因debug、测试需要上传/回传数据,只能在指定的传输通道进行,必须符合脱敏跟审计的要求。
  4. 代码发布渠道:通常大型互联网公司都有自己的一套发布系统,甚至还有跟R&D同学本机磁盘映射的方案,所以这个通道的安全都在发布系统上做。
  5. 基础设施管理通道:运维通道的特殊版本,可能会集成一些运维管理工具或自动化平台,需要能够触达全部的IDC资源。

总结

对于大部分企业来说传统的安全域划分方法仍然够用,至少几年内没有太大的问题,但对于IDC规模超大的企业来说,弹性计算和安全会成为对立面,如果需要走Google的模式需要高度的集群管理自动化,较高的服务治理水平,高度统一的技术栈和极度收敛的内网协议。

如果OA网络需要BeyondCorp模式,需要办公云化和移动化程度比较高。退一步回到一家公司整体的安全建设上,如果其他地方还有很多短板,在网络隔离上追求极致不是一个正确的策略,相较而言应该将资源(对于较大的安全团队而言也包括自研的资源)都投入到优先级更高的地方,譬如基础设施的攻击缓解能力。

站在一个高P的视角,追求技术的领先是一件本分的事情,而对于安全负责人来说,风险管理和ROI永远是安全工作的核心,也因此在2017年底这个时间点看对于绝大多数公司来说Google模式是没有复制的必要的,不幸的是笔者所在的公司恰好具备了这方面的基础条件,所以安全团队俨然一副在路上的架势。)

作者简介

赵彦,现任美团集团安全部高级总监,负责集团旗下全线业务的信息安全与隐私保护。加盟美团前,曾任华为云安全首席架构师,奇虎360企业安全技术总监、久游网安全总监、绿盟科技安全专家等职务。白帽子时代是Ph4nt0m Security Team的核心成员,互联网安全领域第一代资深从业者。

关于美团安全

美团安全部的大多数核心人员,拥有多年互联网以及安全领域实践经验,很多同学参与过大型互联网公司的安全体系建设,其中也不乏全球化安全运营人才,具备百万级IDC规模攻防对抗的经验。安全部也不乏CVE“挖掘圣手”,有受邀在Black Hat等国际顶级会议发言的讲者,当然还有很多漂亮的运营妹子。

目前,美团安全部涉及的技术包括渗透测试、Web防护、二进制安全、内核安全、分布式开发、大数据分析、安全算法等等,同时还有全球合规与隐私保护等策略制定。我们正在建设一套百万级IDC规模、数十万终端接入的移动办公网络自适应安全体系,这套体系构建于零信任架构之上,横跨多种云基础设施,包括网络层、虚拟化/容器层、Server 软件层(内核态/用户态)、语言虚拟机层(JVM/JS V8)、Web应用层、数据访问层等,并能够基于“大数据+机器学习”技术构建全自动的安全事件感知系统,努力打造成业界最前沿的内置式安全架构和纵深防御体系。

随着美团的高速发展,业务复杂度不断提升,安全部门面临更多的机遇和挑战。我们希望将更多代表业界最佳实践的安全项目落地,同时为更多的安全从业者提供一个广阔的发展平台,并提供更多在安全新兴领域不断探索的机会。

招聘信息

美团安全部正在招募Web&二进制攻防、后台&系统开发、机器学习&算法等各路小伙伴。如果你想加入我们,欢迎简历请发至邮箱zhaoyan17@meituan.com

具体职位信息可参考这里:https://mp.weixin.qq.com/s/ynEq5LqQ2uBcEaHCu7Tsiw

美团安全应急响应中心MTSRC主页:security.meituan.com