滴滴那个事把我吓出一身冷汗。不是看热闹,是立刻关掉新闻,打开自己SaaS的后台,把过去三个月的操作日志从头到尾翻了一遍。手指头都是冰的。我的系统里,任何一个租户手里都握着给他们的用户发短信、发推送的通道。万一,我是说万一,有个傻逼或者坏逼,用我的通道去群发诈骗信息,甚至更糟的东西,我怎么办?公司瞬间就没了。不是夸张,是物理意义上的消失。
以前做安全,想的是防黑客、防注入、防爬虫。现在发现,最大的漏洞可能是你合法签约的客户。他们付了钱,你给了他们一把刀,刀柄朝着他们,刀尖对着你自己的喉咙。这个认知让我在凌晨两点的办公室里坐立难安。不能再等了,必须立刻给系统装上物理刹车,不是软件层面的限制,是能从根上掐断的“熔断开关”。
我管它叫“Kill Switch”。原理不复杂,但执行必须残酷。在现有的租户隔离(Tenant Isolation)层之上,再加一层全局监控。监控两样东西:一是内容,用正则配了一套极其敏感的高危词库,不是“发票”那种,是真正能让你进去的词,一旦在待发送内容里命中,触发;二是行为,单个租户的API调用频率如果出现异常陡增,比如一分钟内请求发送量是过去日均的100倍,触发。触发之后,不是弹个警告,不是限制频率,是直接熔断。
熔断的代码我写得手有点抖。它要干几件事:首先,立即异步通知所有在线管理员,最高优先级。然后,将这个租户数据库连接池里所有活跃连接强制关闭,在应用层标记该租户状态为“已熔断”,所有后续请求,包括登录,在负载均衡器那一层就直接返回403。最后,也是最狠的一步,调用一个独立的、权限极高的守护进程,去MySQL里执行一条命令:`REVOKE ALL PRIVILEGES ON `tenant_xxx`.* FROM ‘app_user’@‘%’;` 这就等于从数据库用户权限层面,物理断开了这个租户库的所有读写可能。同时,强审计日志会以不可篡改的方式记录下整个事件的所有上下文:谁、什么时候、因为什么关键词或什么频率指标、被谁执行了熔断。
写这段逻辑的时候,我脑子里反复过一句话:宁可错杀,绝不放行。我知道这可能会误伤,比如某个客户正好在做压力测试,或者某个文案不小心包含了歧义词。但这就是底线思维的代价。在功能、体验、甚至客户满意度面前,安全现在是唯一的神。这套机制上线后,它永远不会被希望用到,但它必须像一把悬在头顶的剑,让我自己也能时刻保持敬畏。
这不再是为了让系统跑得更快的优化,这是给狂奔的野马套上缰绳,在悬崖边砌上一堵水泥墙。代码提交前,我反复检查了三遍那个REVOKE命令的语法。敲下回车部署的那一刻,感觉不是轻松,而是更沉重了。你亲手给自己创造的东西装上了可能毁灭它一部分的开关,但这恰恰是为了保住它的全部。2018年的互联网,野路子能让你冲起来,但只有刹车能让你活下去。
