來認識 Foxpass 的創辦人兼執行長 Aren!
Aren 曾是熱愛旅行、穿梭各國的空中飛人,後來成為顧家男人,並擁有豐富的高階工程管理經歷,曾擔任 Bebo 營運副總裁、Third Ave Labs CTO,以及 Oodle 工程總監。
歡迎加入我們與 Aren 的對談,一起聽他分享對網路安全性、創業,以及關於 Foxpass 您應該知道的一切洞見:
Aren 專訪
要不要先請您簡單介紹一下自己的背景?
我是 Foxpass 的創辦人 Aren。我做這件事已經大約 4 年了。
在此之前,我曾擔任 Pinterest 的技術營運與 IT 負責人;再之前,我任職於 Beebo、Oodle 和 Danger(如果還記得那支手機的話,就是他們打造了 T-Mobile Sidekick)。
在那之前,我在 Stanford 取得了電腦科學的碩士和學士學位。
那你是怎麼開始接觸程式設計的?
我媽媽把她辦公室的一台 Apple IIC 帶回家,那是早期的可攜式電腦之一,而我發現自己每到週末就會一直試著使用它,盡可能多學習關於它的一切。
我最後學了一點 Applesoft BASIC,然後就能寫出一些相當簡單的程式了。
當我們拿到下一台電腦時,我找了一本關於 C 的書,學會它是怎麼運作的,之後就一路這樣發展下去。
哇。所以,你是自學,同時也有上學嗎?
是啊。沒錯。
我在入學前學的大部分程式設計,都是靠自學;後來在 Stanford,我取得了電腦科學學位,也在那裡完成了所有 CS 課程。
就你做過的應用程式而言,你最不喜歡的是哪一個?你有沒有做過某個 side project,卻連自己當初為什麼要做都不記得了?
我想我對程式設計的記憶,至少都是學校專案。
我為了好玩做的那些作品都很棒,就算最後沒有成功,至少我有學到一些東西,或是有機會做實驗。
學校用的那些真的比較辛苦,因為有時間壓力,而且內容全都是新的。你其實不太確定它們到底該做什麼,或應該長什麼樣子,所以我最不喜歡的一些程式設計時刻,絕對是學生時期那些待在電腦教室熬夜、對著鍵盤猛撞腦袋的夜晚。
跟我說說您曾任職的任何一家公司裡,曾經發生過一件您看了就覺得完全是一場災難的事件。您有過那樣的時刻嗎?
我想不到有哪一次[持續了]10 小時,但在某些糟糕的情況即將發生時,確實也有過讓人驚恐的時刻。
我覺得自己算是相當幸運,因為那些延長的事件最後只造成兩、三或四個小時的效能受影響或停機。
但總會有一些時候,以為自己已經把一切都規劃好了,卻又冒出其他狀況。
大概就是墨菲定律吧。我在每家公司都用過他們。
您是如何踏入伺服器與網路安全領域的?
這幾乎是我從 Oodle 之後每一個職位都必須學會的事情。
不是當時沒有這個職位的人選,就是那個人已經離開公司,因此需要有人處理。
尤其是在 Pinterest,這也是許多新創公司常見的情況,當時幾乎清一色都是應用程式開發人員,而在開始讓大量新進人員入職之前,安全性其實沒那麼受重視。
這時候,存取控制和身分變得非常重要,因為需要讓這些新加入的人員完成導入。
您會希望他們能立刻進入伺服器,好讓他們盡快開始發揮生產力。在新人到職時,這對提升士氣很有幫助。但同時,也必須留意哪些人可以做哪些事。
無論是在到職還是離職的情況下,都需要能夠快速回應。
您常看到工程團隊犯下哪種重大的安全錯誤?
我認為,最大的安全錯誤就是分享認證。真的很簡單。
「嘿,團隊裡來了幾位新工程師。 以下說明如何登入伺服器,不論是使用所有人共用的使用者名稱和密碼,或是在伺服器建立時所設定的私密金鑰與他們分享。」
那些是我看到最嚴重、也最糟糕的錯誤。
從那裡開始,也許每個人都有各自的 SSH 金鑰,但他們共用同一個使用者。這不算太糟,但仍然不是最佳做法。
假設每個人都在做這些事—請描述結果。可能會出什麼問題?
我認為最糟的情況是:根本沒有保護公司。
如果有人離職或被資遣,而且心懷不滿,若沒有立即輪替所有共用認證,那個人就可能登入您的伺服器、刪除所有資料,並造成許多問題。
那是最糟的情況,但公司的職責就是保護自己。
這就是為什麼公司只需要思考這些情況,以及該如何保護自己。那顯然是最糟的情況;雖然很少發生,但一旦發生,後果就是災難性的。
你會怎麼向全世界介紹 Foxpass?你最喜歡在 Foxpass 中打造出的哪個功能?
基本上,我們希望讓每個人都能在您的基礎架構中的所有項目裡,擁有自己的名稱與密碼,或自己的認證。白板上不再寫共享的無線網路密碼。不再需要為 Linux 伺服器共用使用者名稱或 SSH 金鑰。每個人都有自己的認證。
現在每個人都有自己的認證資料後,就可以開始轉換到存取控制:
「此人只能存取這些伺服器,這份清單和那邊的 Bob 是分開的。他只能存取另一組不同的伺服器,而且在那些伺服器上,他的可用功能也受到限制。」
不需要把整個基礎架構一刀切地全盤處理。甚至不需要對某一台伺服器或某一組伺服器採取全有或全無的做法。每個人都擁有專屬於自己的精細存取權限。
此外,還可以授予暫時存取權限。
您可授予某人在一組機器上的權限,並設定結束日期(例如日期與時間)或結束事件。
例如,我喜歡舉的例子是:當輪到值班週時,您就會在所有需要的地方擁有類似權限的權限。但當值班時段結束後,這些權限就會失效。
如果向值班的人提出請求,其實很容易就能再次取得,但在再次輪到值班或主動提出申請之前,就不會再擁有它們。這樣一來,即使筆記型電腦遭竊,公司也不必擔心金鑰存放在那台筆記型電腦上。
他們對所有項目都擁有完整權限,而我們還有更多服務範圍需要涵蓋,以確保不會出現任何漏洞。
您是因為在 Pinterest 看到了某個問題,才開始創立 Foxpass。如果能回到過去,您會想對 Foxpass 做哪些不同的決定嗎?或者,作為創辦人,您在早期犯過哪些錯誤?
當然,錯誤一大堆。我的背景是工程,不是創業。所以當我回頭看時,我希望當初能做得不一樣的地方,都圍繞在讓業務成長得更快。
我認為,我們在為所有早期客戶提供非常優質的體驗這方面做得很好,但回頭看來,我們原本或許還能做一些事,更早找到更多像這些早期客戶一樣的客戶。
客戶曾對您說過最喜歡的隨機一句話是什麼?
我想我收到最棒的回饋,大概會是這樣:「哇,我一直在找這個,找超久了。」
這些時刻讓我知道,我已經找到了想要銷售的對象,而且我們打造的產品正是他們在找的,就像它也正是我過去幾份工作中一直在尋找的東西一樣。
平常喜歡做什麼娛樂呢?
我以前很喜歡旅行。現在有兩個孩子,又要忙創業,要做到這點很難。
現在,你會在公園看到我陪著那些孩子;或是趁他們在睡午覺時,我就會著手整理我的房子,這也是我的一大熱情所在。
你去過最酷的地方是哪裡?
我最喜歡去過的地方是…
嗯,2009 年我環遊了世界一圈。雖然只有短短三個月,但我看見了世界上一些令我難以置信的地方。
亞洲大部分地區都很棒。東南亞、印度——都是非常美麗、美麗的國家,也有非常美麗的人民。那大概是那趟旅程中我最喜歡的部分。
那些地方真的很難到達,所以我很高興自己有較長的時間可以去看看。
有非常多人正在創業,打造出真正很棒的產品。有些人一開始在建置時,可能並未將安全性納入考量。如果要給那些新創公司的創辦人一些建議,您覺得會是什麼?
「比起以為需要的時候,更早開始重視安全。」
首先,務必要確認您提供的是市場願意買單的產品。
如果沒有任何客戶,就沒有任何東西需要保護。但只要一開始獲得成效,就該開始思考整體安全態勢。
我認為現在的客戶越來越精明,也會比以前更早提出這些問題。
「您的存取控制策略是什麼?」是否有最小權限原則?」
提早想好這些事,等他們開始問這些問題時,就不用手忙腳亂。
升級安全防護
準備好保護網路安全,讓企業維持安全無虞了嗎?按這裡深入了解 Foxpass 如何協助避免代價高昂的安全錯誤!
