Bảo mật Roblox: Cách tổ chức bảo mật của chúng tôi thúc đẩy sự đổi mới, niềm tin và quy mô

Tại Roblox, bảo mật không chỉ đơn thuần là bảo vệ; đó là việc tạo điều kiện cho sự đổi mới trên quy mô mà ít công ty nào đạt được. Triết lý đó đã dẫn dắt hành trình của chúng tôi từ một đội ngũ bảo mật nhỏ trở thành một tổ chức chiến lược, góp phần vận hành một trong những nền tảng năng động nhất thế giới.

Khi tôi gia nhập Roblox cách đây 2,5 năm, đội ngũ An ninh Thông tin chỉ có 28 người. Chúng tôi có tiềm năng to lớn, nhưng vẫn đang chứng minh rằng an ninh có thể là đối tác, chứ không phải là rào cản. Tôi nhớ lại lần tham gia cuộc họp đánh giá sau sự cố đầu tiên. Cuộc thảo luận không xoay quanh một lỗi kỹ thuật cụ thể, mà là về sự cản trở. Chúng tôi lắng nghe khi đội ngũ kỹ thuật trình bày quy trình làm việc của họ, và mọi thứ trở nên rõ ràng. Sự cố không xảy ra do sự sơ suất; nó xảy ra vì một lỗ hổng trong hệ thống. Một điểm trong quy trình mà chuyên môn về an ninh bị thiếu hụt. Đó là lúc tôi nhận ra vai trò của chúng tôi không chỉ là ngăn chặn sự cố; mà là trao quyền cho các đội ngũ bằng cách tích hợp an ninh vào quy trình làm việc của họ, để họ có thể phát triển táo bạo và triển khai với sự tự tin.

Khoảnh khắc đó đánh dấu một bước ngoặt. Chúng tôi biết rằng chúng tôi phải phát triển từ các biện pháp kiểm soát phản ứng sang bảo mật chiến lược, chủ động, được tích hợp vào cách Roblox xây dựng và mở rộng quy mô. Ngày nay, tổ chức InfoSec của chúng tôi không chỉ bảo vệ hệ thống: chúng tôi tạo ra nền tảng giúp các nhà phát triển của chúng tôi tiến nhanh đồng thời giành được và duy trì lòng tin của người dùng trên quy mô toàn cầu.

Xây dựng uy tín và đà phát triển: 2,5 năm đầu tiên

Trọng tâm ban đầu của chúng tôi là xây dựng niềm tin bằng cách luôn hiện diện, giải quyết các vấn đề quan trọng và tích hợp bảo mật vào chu kỳ phát triển. Một trong những nỗ lực có tác động lớn nhất mà tôi dẫn dắt là việc chuyển đổi Hệ thống Tường lửa Ứng dụng Web (WAF). Chúng tôi đã phát triển nó từ một công cụ cơ bản thành một lớp bảo vệ vững chắc cho tất cả các dịch vụ tiếp xúc với bên ngoài. Thông qua tự động hóa, xác thực môi trường thử nghiệm và triển khai quy tắc thông minh, chúng tôi đã tạo ra một biện pháp kiểm soát vừa hiệu quả vừa không gây cản trở cho các kỹ sư.

Tư duy đó, bảo mật theo mặc định chứ không phải bằng cách gây cản trở, đã trở thành nguyên tắc chỉ đạo khi chúng tôi hoàn thiện mô hình hóa mối đe dọa, xây dựng các quy trình đánh giá có thể mở rộng và giành được vị trí của mình trong ban sản phẩm.

Việc tham gia vào hành trình này đã dạy tôi rằng bảo mật không chỉ là bảo vệ; mà còn là tạo điều kiện cho sự sáng tạo và sự tự tin trên quy mô lớn. Chứng kiến đội ngũ của chúng tôi phát triển từ 28 người lên hơn 100 người, đồng thời tạo ra tác động thông qua sự đổi mới và hợp tác, là một trong những trải nghiệm ý nghĩa nhất trong sự nghiệp của tôi.

Gặp gỡ đội ngũ đứng sau tất cả

Khi tầm nhìn của chúng tôi mở rộng, cơ cấu tổ chức của chúng tôi cũng phát triển theo. Hiện nay, chúng tôi có hơn 100 kỹ sư bảo mật, nhà phân tích và lãnh đạo, được tổ chức thành các trụ cột chuyên biệt phản ánh sứ mệnh ngày càng phát triển của chúng tôi. Tôi tự hào giới thiệu một số đội ngũ chủ chốt đang thúc đẩy sự mở rộng này: 

Phát hiện và Ứng phó (DART)

Chịu trách nhiệm duy trì tính bảo mật, tính toàn vẹn và tính sẵn sàng của các hệ thống và dữ liệu Roblox. DART bao gồm các bộ phận Hoạt động An ninh, Ứng phó Sự cố, Kỹ thuật Phát hiện, Thông tin Tình báo về Mối đe dọa, Tự động hóa, An ninh Tấn công và Pháp y. Đội ngũ này chủ động xác định và ứng phó với các mối đe dọa mới nổi, đồng thời giúp nền tảng của chúng tôi mở rộng quy mô một cách an toàn.

• Thành tựu gần đây: Xây dựng hệ thống tự động hóa dựa trên AI để điều phối việc ứng phó sự cố trên nhiều luồng công việc, giảm thiểu các rào cản vận hành và giúp các đội tập trung vào các nhiệm vụ giải quyết quan trọng.

Bảo mật nền tảng

Bảo vệ mạng, đám mây, IAM sản xuất và cơ sở hạ tầng lai của chúng tôi. Nhóm cung cấp các khả năng có thể mở rộng như các mẫu Kubernetes an toàn theo mặc định, quản lý bí mật và kiểm soát truy cập chi tiết.

• Tác động: Trong năm qua, nhóm đã cung cấp các nền tảng hiệu suất cao, có thể mở rộng để tạo và thu hồi thông tin bí mật theo thời gian thực, ủy quyền chi tiết tự phục vụ, giao diện truy cập sản xuất an toàn và phân đoạn mạng dựa trên eBPF. Những khả năng này đã giúp Roblox mở rộng quy mô nhanh chóng mà không làm tăng rủi ro cho cộng đồng của chúng tôi.

Quản trị, Rủi ro và Tuân thủ (GRC)

Tăng cường bảo mật doanh nghiệp thông qua cách tiếp cận ưu tiên rủi ro, dựa trên dữ liệu đối với các chính sách, quản lý rủi ro nhà cung cấp, đánh giá AI và xác thực kiểm soát. GRC giúp mọi nhà phát triển có thể đưa ra quyết định sáng suốt đồng thời đẩy nhanh quá trình đổi mới an toàn.

• Điểm nổi bật: Đã đẩy nhanh đáng kể quá trình đánh giá an ninh nhà cung cấp thông qua tự động hóa, cắt giảm thời gian xử lý thông thường và cho phép các nhóm làm việc nhanh hơn.

Bảo mật doanh nghiệp

Tập trung vào danh tính doanh nghiệp, bảo vệ điểm cuối, bảo mật SaaS và bảo mật cho lực lượng hỗ trợ bên thứ ba của chúng tôi.

• Tác động: Đưa kiểm tra tình trạng thiết bị vào quy trình xác thực nhân viên, thúc đẩy mức độ tuân thủ cao trong toàn công ty.

Bảo mật ứng dụng

Nằm ở giao điểm giữa kỹ thuật và bảo mật, cho phép phát triển an toàn thông qua các đánh giá, công cụ và tự động hóa CI/CD, bao gồm quét mã an toàn, container được gia cố và tính toàn vẹn của chuỗi cung ứng.

• Đổi mới: Ra mắt quy trình tạo quy tắc WAF dựa trên ML, phân tích các mẫu lưu lượng truy cập cụ thể của Roblox để lọc bỏ nhiễu, phát hiện các cuộc tấn công và yêu cầu bị lỗi, đồng thời tự động tạo các quy tắc danh sách cho phép dành riêng cho ứng dụng và dịch vụ.

Bảo mật toàn cầu

Cung cấp các dịch vụ an ninh vật lý và kỹ thuật số trên toàn thế giới. Trung tâm Hoạt động An ninh Toàn cầu (GSOC) hoạt động 24/7 để quản lý các mối đe dọa, điều phối các sự cố và bảo vệ các sự kiện quy mô lớn.

• Điểm nổi bật: Đã bảo vệ thành công Hội nghị Nhà phát triển Roblox (RDC) 2024, đảm bảo an toàn cho hàng nghìn người tham dự tại nhiều địa điểm.

Kỹ thuật bảo mật

Phát triển các công cụ và cơ sở hạ tầng để tuân thủ các quy định về quyền riêng tư có thể mở rộng. Sử dụng AI để tự động phân loại dữ liệu, tạo mã tuân thủ và giảm thiểu công việc thủ công, hỗ trợ GDPR, CCPA và các nỗ lực quản trị nội bộ.

• Thành tựu gần đây: Triển khai hệ thống tập trung để tự động hóa Đánh giá Tác động đến Quyền riêng tư (PIA), giảm chu kỳ đánh giá và hỗ trợ các đánh giá về quyền riêng tư có thể mở rộng trên các nhóm làm việc nhanh chóng.

Điều gì làm cho bảo mật tại Roblox trở nên độc đáo

Rất ít công ty hoạt động ở quy mô như Roblox, với hàng chục triệu người dùng hoạt động hàng ngày trên một nền tảng toàn cầu được hỗ trợ bởi cơ sở hạ tầng kết hợp giữa tại chỗ và đám mây, nhịp độ sản phẩm nhanh chóng và hệ sinh thái nhà phát triển sôi động.

Đối mặt với sự phức tạp này, mô hình bảo mật truyền thống sẽ thất bại. Đó là lý do tại sao niềm tin cốt lõi của chúng tôi khác biệt: bảo mật không chỉ nên bảo vệ, mà còn phải thúc đẩy. Chúng tôi đạt được điều này thông qua văn hóa hỗ trợ, trao quyền cho mọi kỹ sư trở thành nhân tố nhân lực. Thay vì quy trình "một kích cỡ phù hợp với tất cả", mô hình hoạt động của chúng tôi linh hoạt và dựa trên sự hợp tác. Chúng tôi giúp các đội ngũ hành động nhanh chóng bằng cách cung cấp các rào cản tự động và công cụ tự phục vụ cho quá trình phát triển hàng ngày, đồng thời dành sự hợp tác sâu sắc và trực tiếp của chúng tôi cho các tính năng phức tạp và rủi ro cao nhất. Cách tiếp cận toàn diện này trở nên chủ động, khi chúng tôi nỗ lực hòa mình vào các chu kỳ lập kế hoạch và phát triển ý tưởng trên toàn công ty để giúp các đội ngũ xây dựng bảo mật ngay từ đầu.

Sự cân bằng giữa tự động hóa và hợp tác này mang lại cho các kỹ sư của chúng tôi quyền chủ động không chỉ để nêu lên các lo ngại mà còn để thúc đẩy các cải tiến, từ đó thúc đẩy sự trao quyền ở mọi cấp độ.

Với mục tiêu đạt 1 tỷ người dùng hoạt động hàng ngày, công việc của chúng tôi bao gồm bảo vệ các tương tác thời gian thực, bảo mật nội dung do người dùng tạo ra, và hỗ trợ các đổi mới trong mô phỏng 3D, Trí tuệ Nhân tạo (AI) và nền kinh tế số. Những thách thức này đòi hỏi chúng tôi phải liên tục sáng tạo các phương pháp mới, từ hệ thống đánh giá bảo mật có khả năng mở rộng và phát hiện mối đe dọa dựa trên Học máy (ML) đến tự động hóa quyền riêng tư và các rào cản an toàn ưu tiên nhà phát triển.

Chúng tôi không chỉ theo kịp xu hướng; chúng tôi đang xây dựng tương lai. Đó là điều khiến bảo mật tại Roblox trở nên khác biệt.

Hãy cùng chúng tôi xây dựng

Chúng tôi đã xây dựng một nền tảng vững chắc, nhưng những thách thức thú vị nhất vẫn còn ở phía trước. Từ việc mở rộng quy mô AI có trách nhiệm đến việc nâng cao bảo vệ danh tính và các công cụ bảo mật ưu tiên nhà phát triển, chúng tôi tập trung vào việc định hình hình ảnh của bảo mật hiện đại trên quy mô toàn cầu.

Nếu bạn muốn giải quyết những vấn đề thực tế, dẫn dắt với tác động thực sự và góp phần định hình tương lai của internet, chúng tôi mời bạn gia nhập cùng chúng tôi. 

Hãy cùng nhau xây dựng tương lai của an ninh mạng.