来认识一下 Foxpass 的创始人兼 CEO Aren!
Aren 曾是一位热爱旅行、辗转多国的空中飞人,如今已成为顾家的父亲,并拥有丰富的高级工程岗位经验,曾担任 Bebo 运营副总裁、Third Ave Labs CTO 以及 Oodle 工程总监。
欢迎参加我们与 Aren 的对话,我们将深入了解他对网络安全、创办公司以及关于 Foxpass 的一切见解:
采访 Aren
我们先从介绍一点您的背景开始,好吗?
我是 Foxpass 的创始人 Aren。我做这件事已经大约 4 年了。
在此之前,我曾担任 Pinterest 的技术运营与 IT 负责人;再之前,我曾在 Beebo、Oodle 和 Danger 任职(如果您还记得那款手机的话,他们就是 T-Mobile Sidekick 的制造商)。
在此之前,我在 Stanford 攻读并获得了计算机科学硕士和学士学位。
那么,您是怎么开始接触编程的?
我妈妈把她办公室的一台 Apple IIC 带回了家。那是早期的便携式电脑之一,我发现自己每到周末都会去摆弄它,尽可能多地了解它。
后来我学了一点 Applesoft BASIC,并从那时起能够编写一些相当简单的程序。
当我们买了下一台电脑时,我拿起一本关于 C 语言的书,学会了它的原理,然后就从那里一路走了下来。
哇。所以,你是自学的,也上过学,对吗?
是的。没错。
我在上学前学的大部分编程知识都是自学的,后来在 Stanford,我拿到了计算机科学学位,并在那里完成了所有计算机科学课程。
说到你做过的应用,最不喜欢的是哪一个?有没有做过某个个人项目,后来连自己都不记得当初为什么要做?
我想我关于编程的记忆,至少都是学校项目。
我出于兴趣做的作品都很棒,即使最后没成功,至少我学到了东西,或者有机会做些尝试。
学校里的那些就比较难,因为时间很紧,而且内容也都是全新的。你并不完全清楚它们到底应该做什么,或者应该是什么样子,所以我最不喜欢的一些编程时刻肯定都发生在学校,比如深夜待在电脑实验室里,对着键盘抓狂。
跟我讲讲您工作过的某家公司里发生过的一件彻底搞砸的事。您有过那样的时刻吗?
我想不出哪个情况[持续了]10个小时,但确实有过一些令人恐惧的时刻,当时相当糟糕的事情差点就要发生了。
我觉得自己挺幸运的,较长时间的故障最终也只是导致两三个或四个小时的性能下降或停机。
但总会有一些时候,明明以为已经把一切都计划周全了,却还是会冒出别的问题。
大概这就是墨菲定律吧。我在每家公司都用过它们。
您是如何进入服务器和网络安全领域的?
这几乎是我从 Oodle 之后担任的每个职位里都不得不学起来的东西。
要么当时没有人担任这个角色,要么那个人已经离开了公司,因此这方面需要有人跟进。
尤其是在 Pinterest,这也是许多新公司常见的情况,团队几乎全是应用开发人员,而且在开始接纳大量新员工之前,安全并没有那么重要。
这时,访问控制和身份就变得非常重要,因为需要为所有这些新成员完成接入。
希望立即让他们接入服务器,�以便他们能尽快投入工作。在入职培训时,这对提升士气很有帮助。但与此同时,也必须谨慎控制谁能执行哪些操作。
无论是入职还是离职场景,都需要能够快速响应。
工程团队中常见的一大安全错误是什么?
我认为最大的安全错误是共享凭证。真的很简单。
“嘿,团队里来了几位新工程师。 以下介绍如何登录服务器:可以使用所有人共用的用户名和密码,或者把服务器创建时在其上设置的私钥分享给他们。”
这些就是我所看到的最大、也是最严重的错误。
从这里开始,也许每个人都有各自独立的 SSH 密钥,但他们共用同一个用户。这不算太糟,但仍然不是最佳做法。
假设每个人都在做所有这些事情——描述一下结果。可能会出什么问题?
我认为最糟糕的情况是:根本没有保护公司。
如果有人离职或被解雇,并且心怀怨气,而您又没有立即轮换所有这些共享凭证,那么这个人就可能登录到您的服务器,删除一切,给您带来很多麻烦。
这是最糟糕的情况,但公司的职责就是保护自己。
这就是为什么公司只需要考虑这些情况,以及如何保护自己。这显然是最糟糕的情况;虽然极少发生,但一旦发生,后果将是灾难性的。
你会如何向全世界介绍 Foxpass?你基于 Foxpass 打造的功能中,最喜欢的是哪一项?
基本上,我们希望为每个人提供各自在您基础设施中所有资源的用户名和密码,或者说各自的凭据。白板上再也不用写共享的无线网络密码了。无需再为 Linux 服务器共享用户名或 SSH 密钥。每个人都有自己的凭据。
现在每个人都有了自己的凭证,接下来就可以过渡到访问控制:
“此�人只能访问这些服务器,这份列表与那边 Bob 的列表是分开的。他只能访问另一组服务器,而且在那些服务器上,他的功能权限也受到限制。”
并不是必须对整个基础设施采取全有或全无的方式。甚至也不必对某台特定服务器或某组服务器采取全有或全无的方式。每个人都拥有专属于自己的精细访问权限。
此外,还可以授予临时访问权限。
您可向某人授予一组机器的权限,并设置结束日期(例如具体日期和时间)或结束事件。
例如,我喜欢举的一个例子是:当轮到值班周时,就会在需要的所有地方拥有临时权限。但在值班结束后,您就会失去这些权限。
如果联系值班人员,通常都能很容易再次拿到这些权限,但在再次值班或主动申请之前,这些权限就不会再保留。这样一来,即使笔记本电脑被盗,公司也不必担心密钥存放在那台笔记本电脑上。
他们对所有内容都拥有完全权限,而我们需要覆盖的服务范围也大得多,以确保不会出现任何漏洞。
你创办 Foxpass,是因为你在 Pinterest 看到了一个问题。如果时光倒流,要重来一次的话,有什么事情会想用不同的方式来做吗?或者说,作为创始人,早期犯过哪些错误?
当然,错误一大堆。我的背景是工程,不是创业。所以现在回头看,我希望自己当时能做得不一样的地方,都在于把业务发展得更快。
我认为,我们在为所有早期客户提供出色体验方面做得非常好,但如果想更早找到更多类似的客户,我们本来可能还有一些事可以做。
客户对您说过的最有趣的一句随机评论是什么?
我觉得,我听到的最棒的评价大概是:“哇,我一直都在找这个。”
这些时刻让我确定,我已经找到了我想销售给的那群人,而且我们打造的产品正是他们一直在寻找的,就像它也正是我在之前的工作中一直在寻找的一样。
你平时喜欢做什么来消遣?
我以前很喜欢旅行。现在有两个孩子,还在创业,要做到这一点就很难了。
现在,你会发现我和孩子们在公园里,或者趁他们午睡时,我会忙着打理我的房子——这是我非常热爱的事情。
你去过最酷的地方是哪里?
我去过最喜欢的旅行地点是……
嗯,2009 年,我进行了一次环球旅行。虽然只有三个月,但我看到了世界上一些让我惊叹不已的地方。
亚洲的大部分地区都很棒。东南亚、印度——这些都是非常美丽的国家,也有非常美丽的人民。那可能是那次旅行中我最喜欢的部分。
那些地方太难到了,所以很高兴我有更充裕的时间去看看。
有很多人正在创办公司,并打造非常出色的产品。有些人在一开始构建时,可能并未将安全性纳入考量。如果要给这些初创公司的创始人一些建议,您觉得会是什么?
“比您觉得需要的时候更早开始重视安全。”
首先,务必要确保您提供的是人们愿意购买的产品。
如果没有客户,也就无从谈起安全防护。但一旦开始取得进展,就该开始考虑自身的安全态势了。
我认为,如今客户越来越精明,也会比以前更早提出这些问题。
“您的访问控制策略是什么?”您有最小特权原则吗?”
提前把这些事情考虑清楚,这样等他们开始问这些问题时,就不用手忙脚乱了。
升级安全防护
准备好保护网络安全,守��护企业业务了吗?点击此处,了解 Foxpass 如何帮助避免代价高昂的安全错误!
