云计算的安全之道 中国互联网无线化峰会——暨阿里云开发者大会于今日在美丽的杭州隆重召开。
本次大会由阿里巴巴集团、阿里云计算主办,云集全球 互联网企业领袖、行业观察家与活动家、知名投资人、云计算技术达 人等各路精英,共同探讨互联网无线化的新未来。
在下午的云计算开 发者专场中阿里云吴翰清为大家带来了主题为“云计算的安全之道” 的精彩演讲。
阿里云吴翰清演讲实录
大家好!我叫吴翰清,非常高兴今天来到这里跟大家谈一谈我们关于 云计算安全方面的看法。
我们的题目是云计算的安全之道,首先介绍 一下我们团队,我们团队在阿里有了 6 年,之前一直做传统的互联网 安全,主要也就是在阿里集团旗下的安全,包括像淘宝网、支付宝、 阿里巴巴、中国雅虎,这些年经验做下来,在这里可以稍微吹牛,大 家可以看一下饼状图,我们的外部黑洞相对来说比较低。
我们这样一个底蕴的团队,最近在做什么?阿里云公司从第一天开 始,就把安全放在最重要的位置,安全对于云计算来说是最重要的, 所以我们在这边竭尽所能把云计算做好。
云计算到底是什么?今天有很多关于云计算的定义, 我在这里也不去 想去纠结到底什么是云计算, 讲讲云计算表现形式?主要是四个落实实处的东西, 第一是云应用; 第二是虚拟化技术; 第三是 APP Engine; 第四是分布式计算。
云计算安全面临一些挑战, 因为我们之前一直是在做传统互联网网站 的安全,到今天出现云计算,是不是会不太一样?我们经过研究发现 还真有点不太一样。
主要从两个方面来看,第一是云的规模很大,大 规模导致复杂的上升,我们知道一个城市里面小偷、骗子最多的地方 是火车站,因为火车站人流最大,导致问题会非常复杂,这是复杂度 上升的一个方面。
在云里面设计里面有弹性,应该是没有上线,我们 去使用这样一个设备,会达到什么效果?比如你可能会买一堆设备。
我们在做云预测时候也会遇到一些挑战, 我们需要考虑一些分布式安全的解决方案。
第二云是一个巨大的共享环境,比如公交车上,大家上上下下都会使 用这样的设施,对于云来说,大家都会往里面输入业务,互相之间会干扰,一个系统会被攻击,可能就会影响使用。
这两个挑战在传统互联网安全网站中,可能都是没有这么复杂。
具体到云计算需要解决的问题, 我们怎么看呢?我们从用户的角度来看, 需要四个方面: 网络环境安全, 比如网站会被攻击, 网站打不开,
用户数据可能会被丢失;运行环境安全,是不是会做一些坏的事情; 应用程序安全,用户的网站出现漏洞,谁来买单;业务逻辑安全,包括一些的东西,国家也来看,可能这个网站需要关掉。
如果 用户网站被黑了,可能传统 IDC 是不复责任了,但是在我们会在想, 云计算为用户更多带来什么?我们团队做安全的是, 用户真正要去什 么,我们会去做。
首先说的是云的 DDOS 的保护,我们平均每天要遭受到 5 次攻击, 就是今天的 Q3,我们最大的 DDOS 的攻击是 16 次,意味着 5 分钟 之内攻击者上传了 100 部蓝光电影到我们网站上,这个流量非常可 怕。
而我们的处理数据在 15 分钟内解决,我们做的核心就是日志分析系统,综合通过一些智能分析,是不是一次攻击产生?我们会把攻击的流量导入到清洗设备中进行清洗。
对于 DDOS 清洗设备来说, 不会对用户数据进行厮杀。
在网络安全方面, 我们还担心什么?我们最担心中间人攻击, 伪造 IP 地址,经常搞网络,或者写程序的人,ARP 是攻击之一。
我们做的什么?在我们云的环境里面,在数主机绑定了云服务器的 IP 地址, 在云服务器上无法伪造地址,所以 ARP 也跑不起来。
除了网络环境 安全之外,最重要一点就是云的安全,这是云计算里面核心,也最有技术环境的一部分,就是 Cloud Engine,让用户上传脚本搭建一个网 站。
Sandbox 设计原则:用户代码与系统之间需要隔离,用户代码与用户代码之间需要隔离,第一点是为第二点服务的。
具体怎么做?就是从这张小图来做,对文件系统、内存、网络访问、进程间通信,从这些方面符合安全检测的标准, 或者修改系统的 ARP 来完成 Sandbox 的原则。
前面两点是讲云计算本身要怎么做,在云上面的用户,如果自己出现第一是服务器 问题怎么办?我们会对云服务器推出健康检查的服务, 后门检测,第二周期性弱点扫描,我们现在的扫描是不计成本,现在 的扫描占用的带宽就有 15T, 这个 15T 也是需要向运营商去购买带宽 资源,但是这一点我们现在愿意免费给大家。
在云的环境里面, 我们根据 6 年前的经验, 很多爬虫会把互联网扫死, 我们知道一个网站能承受的业务能力多少?所以我们会扫描 Apps, 为用户服务。
这个健康检查,就像我们的健康体验一样,会周期性报告用户的网站弱点在什么地方。
光有健康检查还是不够的, 当问题发生了怎么办?我们是安全预 测和报警的服务。
目前我们网页木马监控, 10W 站长的选择, 78Per Day。
同时这个平台搭建以后,可以对入侵检测与报警,还有 业务异常行为报警,怎么理解?比如一些批量注册的行为。
最后我们想做的事情是,是在座其他云服务商没有做的,我们会为用
户安全 SDK,在每本密码学相关文章里面,都会提到这样一个 原则,用户如果自己没有去理解原则,可能会存在一些缺陷。
我们会 根据历年来总结的一些经验,我们会为用户防火墙 API、应用安我们今天拥有电子商务最大的数据库, Google 全 API、 业务安全 API。
也要我们数据库,但是跟不跟他们合作我们还在考虑中。
还有云验证码,让用户直接在云服务器环境里面构建一个安全的系统。
所以以上这些安全的方案最后总结出来就是我们想要做的事情, 也就是我们想要打造的品牌,就是云盾,也是我们在云安全领域想要做的事情,看法总结为我们不光能保护自己,我们还能保护用户,我们的目标就是做到业内最好。
第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:baiyl
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。
抢沙发
