一、緣起：堡壘機(jī)從哪里來(lái)？——無(wú)風(fēng)不起浪，從需求中來(lái)

2005年，中國(guó)，我在某互聯(lián)網(wǎng)公司的安全部門，面臨3個(gè)問(wèn)題。

1. 運(yùn)維部門的需求：

那時(shí)候，數(shù)據(jù)中心的運(yùn)維管理人員的技術(shù)水平還處于 “社會(huì)主義初級(jí)階段“，經(jīng)常會(huì)出現(xiàn)一些低級(jí)的誤操作，導(dǎo)致網(wǎng)站突然無(wú)法正常訪問(wèn)，解決問(wèn)題基本靠在人堆里吼一聲 “誰(shuí)TM干的”。痛苦在于，誤操作而導(dǎo)致的運(yùn)維事故極大的降低了網(wǎng)站的可用性，而可用性（俗稱幾個(gè)9）又是運(yùn)維部門永恒不變的關(guān)鍵考核指標(biāo)。運(yùn)維部門深知，誤操作問(wèn)題的出現(xiàn)是無(wú)法杜絕的。那么，何時(shí)出現(xiàn)？看風(fēng)險(xiǎn)概率。而風(fēng)險(xiǎn)概率=運(yùn)維部門人數(shù) * 服務(wù)器規(guī)模 * 業(yè)務(wù)復(fù)雜度。由于不能保證沒(méi)有誤操作，所以只能在出現(xiàn)誤操作事故后，快速定位問(wèn)題，快速恢復(fù)網(wǎng)站可用，也算是 “曲線救國(guó)”。運(yùn)維部門由此產(chǎn)生了一個(gè)需求：有沒(méi)有一種技術(shù)手段在出現(xiàn)誤操作后，第一時(shí)間知道是誰(shuí)做的，怎么做的？

2. 安全部門的需求：

我們發(fā)現(xiàn)，“壞人” 在連續(xù)跳轉(zhuǎn)登錄多臺(tái)服務(wù)器的過(guò)程中，會(huì)隱匿他最初的身份。那么，有沒(méi)有一種技術(shù)手段能解決：不管 “他” 連續(xù)跳轉(zhuǎn)多少次，身份如何變化，都能知道他就是最初的那個(gè) “他” 呢？

3. 風(fēng)控部門的需求：

當(dāng)時(shí)公司準(zhǔn)備去美國(guó)納斯達(dá)克上市，面臨薩班斯 (SOX) 法案的合規(guī)要求，審計(jì)事務(wù)所普華永道有一份針對(duì)數(shù)據(jù)中心的問(wèn)題檢查列表，雖然我們都應(yīng)答滿足，但卻缺少一種有效的技術(shù)手段去應(yīng)對(duì)賬號(hào)、密碼、操作等方面的審計(jì)要求。

三個(gè)部門尚未被解決的3個(gè)問(wèn)題，對(duì)我來(lái)說(shuō)是個(gè)巨大挑戰(zhàn)，因?yàn)檫€年輕，因?yàn)闊o(wú)知者無(wú)畏，又因?yàn)闊o(wú)理由自信，我踏上了求解之路。   

當(dāng)時(shí)存在三個(gè)層面5種技術(shù)解決辦法：

1) 系統(tǒng)層面：在服務(wù)器上解決，國(guó)外運(yùn)維廠商的最愛(ài)

實(shí)現(xiàn)：每臺(tái)服務(wù)器上安裝 Agent + 獨(dú)立的 Agent Server

優(yōu)點(diǎn)：可以文本解析并且實(shí)現(xiàn)指令控制，國(guó)外大廠都有這樣的產(chǎn)品

缺點(diǎn)：

• 買不起：當(dāng)時(shí)1個(gè) Agent 要1萬(wàn)元人民幣

• 怕麻煩：不同操作系統(tǒng)需要不同Agent適配，幾千臺(tái)服務(wù)器N多個(gè) Linux 操作系統(tǒng)，同時(shí)升級(jí)很困難

• 搞不定：系統(tǒng)管理員堅(jiān)決反對(duì)安裝 Agent，擔(dān)心會(huì)影響系統(tǒng)穩(wěn)定性

2) 系統(tǒng)層面：在服務(wù)器的系統(tǒng)日志里實(shí)現(xiàn)，系統(tǒng)管理員的最愛(ài)

實(shí)現(xiàn)：過(guò)濾 + 收集日志里的信息

優(yōu)點(diǎn)：實(shí)現(xiàn)簡(jiǎn)單

缺點(diǎn)：

• 看不懂：日志根本就不是給普通人看的，是給系統(tǒng)開發(fā)人員看的

• 看不到：如果一個(gè)用戶連續(xù)三次跳轉(zhuǎn)和改變身份，日志無(wú)法關(guān)聯(lián)

• 看不真：用戶登錄系統(tǒng)后很容易篡改系統(tǒng)日志

3) 系統(tǒng)層面：服務(wù)器上解決，修改登錄腳本，系統(tǒng)管理員的最愛(ài)

實(shí)現(xiàn)：修改登錄過(guò)程中的 profile 文件

優(yōu)點(diǎn)：實(shí)現(xiàn)簡(jiǎn)單，系統(tǒng)管理員就可以搞定

缺點(diǎn)：

• 修改過(guò)的腳本文件很容易被用戶改回去

• 升級(jí)維護(hù)腳本很麻煩

• 沒(méi)法關(guān)聯(lián)分析用戶在多臺(tái)設(shè)備跳轉(zhuǎn)的日志

4) 終端層面：在終端上解決，終端管理廠商的最愛(ài)

實(shí)現(xiàn)：在桌面 PC/筆記本上安裝 Agent

優(yōu)點(diǎn)：可以錄屏

缺點(diǎn)：

• 終端更多時(shí)候是為了日常辦公，很難在終端上區(qū)分出哪些是運(yùn)維操作

• 操作數(shù)據(jù)沒(méi)辦法文本化，簡(jiǎn)單的錄屏對(duì)查找問(wèn)題來(lái)說(shuō)價(jià)值不大

5) 網(wǎng)絡(luò)層面：在網(wǎng)絡(luò)中解決，網(wǎng)絡(luò)安全廠商的最愛(ài)

實(shí)現(xiàn)：在交換機(jī)上通過(guò)流量鏡像實(shí)現(xiàn)流量捕獲 + 協(xié)議解析

優(yōu)點(diǎn)：可以文本提取不加密協(xié)議 (telnet/ftp等) 的輸入輸出內(nèi)容

缺點(diǎn)：

• 大流量的情況下流量捕獲會(huì)丟包，丟包意味著無(wú)法完整解析
  

• 加密傳輸是大趨勢(shì)（比如SSH、Https），加密后的協(xié)議難解析

• 協(xié)議會(huì)持續(xù)升級(jí)，不停去解析協(xié)議是一場(chǎng)永無(wú)止境的噩夢(mèng)

每種技術(shù)解法都有邊界和優(yōu)缺點(diǎn)，上述5個(gè)技術(shù)方案都沒(méi)能徹底解決問(wèn)題，這讓我陷入沉思：

問(wèn)題牛X到了無(wú)解么？  ——不可能

已知的技術(shù)解法太爛？  ——有可能

等著我發(fā)明新解法么？  ——可能是

雖說(shuō)人類一思考，上帝就發(fā)笑，但依然阻止不了我的思考，我堅(jiān)信一定有一種將時(shí)間、空間、技術(shù)三者匹配的最優(yōu)解（此處省略痛苦摸索的過(guò)程約20000字），最終的技術(shù)解法如下：

二、性空：堡壘機(jī)到哪里去？ ——從需求中來(lái)，到需求中去

獨(dú)樂(lè)樂(lè)，不如眾樂(lè)樂(lè)。能夠?yàn)楦嘤脩艚鉀Q從未被解決過(guò)的問(wèn)題，不是一件很開心的事么？我離職去創(chuàng)業(yè)了。

客戶做安全項(xiàng)目的3個(gè)驅(qū)動(dòng)力，按照重要程度依次排序：

1. 來(lái)自行業(yè)標(biāo)準(zhǔn)合規(guī)性驅(qū)動(dòng)——那時(shí)候，等級(jí)保護(hù)條例還未發(fā)布；

2. 來(lái)自行業(yè)內(nèi)安全事件驅(qū)動(dòng)——那時(shí)候，也沒(méi)出過(guò)轟動(dòng)的大事件；

3. 來(lái)自用戶自身的需求驅(qū)動(dòng)——沒(méi)有選擇，只剩下這個(gè)了！

在那個(gè)年代，只能找高端大氣要求高的大客戶，因?yàn)橐话愕目蛻舾揪蜎](méi)有需求。

堡壘機(jī)的發(fā)展史完全就是高端客戶的需求推動(dòng)史，高端客戶的特點(diǎn)就是有錢，愛(ài)思考，愛(ài)提需求，而且是源源不斷地提：

和誰(shuí)在一起，真的很重要。我們就像海綿一樣，從各個(gè)行業(yè)頂尖客戶中吸取獨(dú)特的思路，融入到產(chǎn)品中去：

全國(guó)性股份制銀行客戶讓我們學(xué)會(huì)了如何提高風(fēng)險(xiǎn)管控；

頭部互聯(lián)網(wǎng)客戶讓我們學(xué)會(huì)了什么才是領(lǐng)先的技術(shù)；

世界五百?gòu)?qiáng)客戶讓我們學(xué)會(huì)了如何做好項(xiàng)目管理；

……

黑夜給了我黑色的眼睛，我卻用它尋找光明；

客戶給了我難搞的問(wèn)題，我卻用它尋找謎底。

高端客戶打磨了我們高端的能力，和他們?cè)谝黄?，根本不缺高質(zhì)量的需求和高標(biāo)準(zhǔn)的要求，一路相伴，如履薄冰。

三、無(wú)我：堡壘機(jī)是什么？——近朱者赤，始終和運(yùn)維在一起

人類并不偏愛(ài)風(fēng)險(xiǎn)，運(yùn)維也是如此，運(yùn)維偏愛(ài)效率，但是風(fēng)險(xiǎn)始終如影隨形，好比硬幣的正反面，風(fēng)險(xiǎn)和效率需要一個(gè)完美的平衡，堡壘機(jī)就是平衡效率的風(fēng)險(xiǎn)工具。

安全永遠(yuǎn)是業(yè)務(wù)的一個(gè)屬性，國(guó)家安全是國(guó)家業(yè)務(wù)的屬性，網(wǎng)絡(luò)安全是網(wǎng)絡(luò)業(yè)務(wù)的屬性，運(yùn)維安全是運(yùn)維業(yè)務(wù)的屬性，而對(duì)運(yùn)維這個(gè)業(yè)務(wù)的深刻理解決定了堡壘機(jī)是什么。

什么是運(yùn)維？簡(jiǎn)潔的理解，運(yùn)維= 運(yùn)行 + 維護(hù)：

運(yùn)行（發(fā)現(xiàn)問(wèn)題）：通過(guò)監(jiān)控這種手段發(fā)現(xiàn)問(wèn)題，實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)中心各層（應(yīng)用、中間件、數(shù)據(jù)庫(kù)、操作系統(tǒng)、硬件、機(jī)房）的當(dāng)前運(yùn)行狀態(tài)是不是正常穩(wěn)定，核心訴求是快速定位問(wèn)題，并且能夠自動(dòng)找到是什么原因引起的，俗稱“根因分析”，這也是當(dāng)下各種智能運(yùn)維（AIOps）產(chǎn)品要解決的核心問(wèn)題；

維護(hù)（解決問(wèn)題）： 監(jiān)控并不解決問(wèn)題，解決問(wèn)題是通過(guò)“操作”這個(gè)動(dòng)作，把不正常的狀態(tài)恢復(fù)到正常狀態(tài)，在解決問(wèn)題的過(guò)程中往往會(huì)帶來(lái)新問(wèn)題，運(yùn)行沒(méi)有風(fēng)險(xiǎn)，維護(hù)才有風(fēng)險(xiǎn)，運(yùn)維人員的高權(quán)限導(dǎo)致各種誤操作、違規(guī)操作風(fēng)險(xiǎn)都是在這里出現(xiàn)，這就是2005年，堡壘機(jī)開始的地方。

世上本沒(méi)有運(yùn)維安全，直到堡壘機(jī)的出現(xiàn)，它開啟了運(yùn)維安全這個(gè)全新領(lǐng)域。

曾有某客戶這樣評(píng)價(jià)堡壘機(jī)：

此話聽得我淚流滿面，作為產(chǎn)品的設(shè)計(jì)者，還有什么比得到客戶的肯定更讓人感動(dòng)的呢？

2005年，我的預(yù)言是：

一、未來(lái)，中國(guó)所有的數(shù)據(jù)中心里都會(huì)用到堡壘機(jī)；

二、但是，不一定都是用齊治的。

今天這個(gè)預(yù)言已經(jīng)實(shí)現(xiàn)，看到有這么多的廠商在不遺余力地用各種方法推廣自家的堡壘機(jī)產(chǎn)品，作為堡壘機(jī)的發(fā)明者，我很欣慰。競(jìng)爭(zhēng)讓產(chǎn)品充滿活力和想象力，如果這些競(jìng)爭(zhēng)能從無(wú)序到有序，從低質(zhì)到高質(zhì)，那就更好了。

子在川上曰，逝者如斯夫。

這十多年，我從未關(guān)注過(guò)所謂的對(duì)手，是因?yàn)槲覀兪沁@個(gè)領(lǐng)域的創(chuàng)造者和領(lǐng)跑者。追隨者喜歡東張西望和左顧右盼，領(lǐng)跑者從不回頭看看身后會(huì)有多少跟隨者，而是堅(jiān)定地把目光聚焦于前方。

如今，客戶的聲音依稀在耳邊回響：

俱往矣，數(shù)風(fēng)流人物，還看今朝。

聚焦下一個(gè)十年里，數(shù)據(jù)中心客戶面臨著更大的問(wèn)題，尋找時(shí)代的技術(shù)最優(yōu)解，是今天我們的挑戰(zhàn)。創(chuàng)造出下一個(gè)通用性的解決方案，讓更多客戶使用，解決未被滿足的需求，依然是齊治不變的追求！