百度运维部资深研发工程师 欧阳君沛 - 《百度超大规模分布式安全系统实践》
2020-02-27 570浏览
- 1.百度 超大规模分布式安全系统实践 --欧阳君沛
- 2.
- 3.
- 4.个人介绍 QQ输 入法 腾讯电 脑管家 腾讯分 布式安 全系统 百度分 布式安 全系统 (Giano)
- 5.大纲 背景介绍 分布式认证协议 单点登陆 域隔离 总结与展望
- 6.初来Baidu的时候 安全 性差 各类运维 无法 业务困难 审计 无法 打通
- 7.初来Baidu的时候 机器管理困难 • 无法追溯责任人和行为 • 信任关系、弱密码、默认密码横行 缺少系统性安全解决方案 • 经常出现线下连线上的严重事故
- 8.从访问控制系统入手,逐步拓宽
- 9.大纲 背景介绍 分布式认证协议 单点登陆 域隔离 总结与展望
- 10.经典认证系统 • 一个经典的C-S认证过程 • 在CA端和Server端分别都有个中心式瓶颈 • Client的latency也很高 CA Server client (2) credential Server
- 11.解决Server瓶颈 – 共享密钥 引入新的问题,共享密钥给非信任第三方 AS Client (2) Server TGS taasd AS TGS Client Server
- 12.解决Server瓶颈 – PKI
- 13.CA瓶颈的解决方案 – agent+client_cache
- 14.进程级认证 • 安全性强于linux账号级认证
- 15.多层次依赖-代理协议
- 16.Prof-carrying authorization Compute Cloud Storage Cloud
- 17.系统的安全性 PKI 防止replay-attack(time & address) 私钥分发机制+分片机制 单机被攻破root,威胁低
- 18.系统的高可用性 无状态协议、平行扩展 中心服务的异地容灾和就近接入 客户端和中心服务分别的负载均衡 服务端和中心服务分别的服务降级能力
- 19.强大的运营能力 客户端热升级 命令下发 数据上报(心跳数据和流水数据) 实时和离线数据分析
- 20.易用性 适配公司container 嵌入各类通讯协议中,使接入成本异常容易 通过swig转成各类语言,满足多语言需求 二进制工具/API皆可完成接入
- 21.扩展
- 22.大纲 背景介绍 分布式认证协议 单点登陆 域隔离 总结与展望
- 23.BILS(百度IDC机器登陆系统) • pin+token强认 证 • 无密码,最安 全! 安全 性 便利 性 • 无限穿梭 • 机器、 container无区 别 审计 • 追溯到人 • 所有操作录像 • 高危搞作告警、 审计 效率 • 分布式认证 • 分布式权限
- 24.BILS Protocol
- 25.BILS Core Modules
- 26.大纲 背景介绍 分布式认证协议 单点登陆 域隔离 总结与展望
- 27.域隔离 • 线上线下环境隔离 • 不同区域、功能的环境隔离 • 登陆隔离 • 进程级别隔离
- 28.Domain as an attribute
- 29.大纲 背景介绍 分布式认证协议 单点登陆 域隔离 总结与展望
- 30.使用数据 • Giano是百度强制接入标准,覆盖?万物理服务器
- 31.大量审计成果,形成闭环
- 32.PKI PCA Proxy Delegate IBAC RBAC G-RBAC ABAC Distributed Algorithms Data Mining Machine Learning Anonym DP FHE MPC IBE ABE 日追 配变转框 决检 志踪 送更储架 策测 权限 认证 密密安虚 过混 文钥全拟 滤淆 计管共隔 算理享离 预警 报表 控制 审计 登录 云安全 隐私保护 (安全)分析计算 (安全)资管 统一账号 记账管理 混部隔离 访问控制 加密解密 。。。 风险评估 入侵检测 。。。 Technology - Products - Services
- 33.
- 34.Group-Role based Access Control Model pdb P_user:'>user:
