阿里雲吳翰清:雲端計算的安全之道
阿里雲吳翰清:雲端計算的安全之道 中國網際網路無線化峰會——圖王下載站暨阿里雲開發者大會於今日在美麗的杭 州隆重召開。
本次大會由阿里巴巴集團、阿里雲端計算主辦,雲集全球 網際網路企業領袖、行業觀察家與活動家、知名投資人、雲端計算技術達 人等各路精英,共同探討網際網路無線化的新未來。
在下午的雲端計算開 發者專場中阿里雲吳翰清為大家帶來了主題為“雲端計算的安全之道” 的精彩演講。
阿里雲吳翰清演講實錄 大家好!我叫吳翰清,非常高興今天來到這裡跟大家談一談我們關於 雲端計算安全方面的看法。
我們的題目是雲端計算的安全之道,首先介紹 一下我們團隊,我們團隊在阿里有了 6 年,之前一直做傳統的網際網路 安全,主要也就是在阿里集團旗下的安全,包括像淘寶網、支付寶、 阿里巴巴、中國雅虎,這些年經驗做下來,在這裡可以稍微吹牛,大 家可以看一下餅狀圖,我們的外部黑洞相對來說比較低。
我們這樣一個底蘊的團隊,最近在做什麼?阿里雲公司從第一天開 始,就把安全放在最重要的位置,安全對於雲端計算來說是最重要的, 所以我們在這邊竭盡所能把雲端計算做好。
阿里雲吳翰清:雲端計算的安全之道
雲端計算到底是什麼?今天有很多關於雲端計算的定義, 我在這裡也不去 想去糾結到底什麼是雲端計算, 講講雲端計算表現形式?主要是四個落實 實處的東西, 第一是雲應用; 第二是虛擬化技術; 第三是 APP Engine; 第四是分散式計算。
雲端計算安全面臨一些挑戰, 因為我們之前一直是在做傳統網際網路網站 的安全,到今天出現雲端計算,是不是會不太一樣?我們經過研究發現 還真有點不太一樣。
主要從兩個方面來看,第一是雲的規模很大,大 規模導致複雜的上升,我們知道一個城市裡面小偷、騙子最多的地方 是火車站,因為火車站人流最大,導致問題會非常複雜,這是複雜度 上升的一個方面。
在雲裡面設計裡面有彈性,應該是沒有上線,我們 去使用這樣一個裝置,會達到什麼效果?比如你可能會買一堆裝置。
我們在做雲預測時候也會遇到一些挑戰, 我們需要考慮一些分散式安 全的解決方案。
第二雲是一個巨大的共享環境,比如公交車上,大家上上下下都會使 用這樣的設施,對於雲來說,大家都會往裡面輸入業務,互相之間會 干擾,一個系統會被攻擊,可能就會影響使用。
這兩個挑戰在傳統互 聯網安全網站中,可能都是沒有這麼複雜。
具體到雲端計算需要解決的問題, 我們怎麼看呢?我們從使用者的角度來 看, 需要四個方面: 網路環境安全, 比如網站會被攻擊, 網站打不開,
使用者資料可能會被丟失;執行環境安全,是不是會做一些壞的事情; 應用程式安全,使用者的網站出現漏洞,誰來買單;業務邏輯安全,包 括一些的東西,國家也來看,可能這個網站需要關掉。
如果 使用者網站被黑了,可能傳統 IDC 是不復責任了,但是在我們會在想, 雲端計算為使用者更多帶來什麼?我們團隊做安全的是, 使用者真正要去什 麼,我們會去做。
首先說的是雲的 DDOS 的保護,我們平均每天要遭受到 5 次攻擊, 就是今天的 Q3,我們最大的 DDOS 的攻擊是 16 次,意味著 5 分鐘 之內攻擊者上傳了 100 部藍光電影到我們網站上,這個流量非常可 怕。
而我們的處理資料在 15 分鐘內解決,我們做的核心就是日誌分 析系統,綜合通過一些智慧分析,是不是一次攻擊產生?我們會把攻 擊的流量匯入到清洗裝置中進行清洗。
對於 DDOS 清洗裝置來說, 不會對使用者資料進行廝殺。
在網路安全方面, 我們還擔心什麼?我們最擔心中間人攻擊, 偽造 IP 地址,經常搞網路,或者寫程式的人,ARP 是攻擊之一。
我們做的 什麼?在我們雲的環境裡面,在數主機綁定了雲伺服器的 IP 地址, 在雲伺服器上無法偽造地址,所以 ARP 也跑不起來。
除了網路環境 安全之外,最重要一點就是雲的安全,這是雲端計算裡面核心,也最有 技術環境的一部分,就是 Cloud Engine,讓使用者上傳指令碼搭建一個網 站。
Sandbox 設計原則:使用者程式碼與系統之間需要隔離,使用者程式碼與
使用者程式碼之間需要隔離,第一點是為第二點服務的。
具體怎麼做?就 是從這張小圖來做,對檔案系統、記憶體、網路訪問、程序間通訊,從 這些方面符合安全檢測的標準, 或者修改系統的 ARP 來完成 Sandbox 的原則。
前面兩點是講雲端計算本身要怎麼做,在雲上面的使用者,如果自己出現 第一是伺服器 問題怎麼辦?我們會對雲伺服器推出健康檢查的服務, 後門檢測,第二週期性弱點掃描,我們現在的掃描是不計成本,現在 的掃描佔用的頻寬就有 15T, 這個 15T 也是需要向運營商去購買頻寬 資源,但是這一點我們現在願意免費給大家。
在雲的環境裡面, 我們根據 6 年前的經驗, 很多爬蟲會把網際網路掃死, 我們知道一個網站能承受的業務能力多少?所以我們會掃描 Apps, 為使用者服務。
這個健康檢查,就像我們的健康體驗一樣,會週期 性報告使用者的網站弱點在什麼地方。
光有健康檢查還是不夠的, 當問題發生了怎麼辦?我們是安全預 測和報警的服務。
目前我們網頁木馬監控, 10W 站長的選擇, 78Per Day。
同時這個平臺搭建以後,可以對入侵檢測與報警,還有 業務異常行為報警,怎麼理解?比如一些批量註冊的行為。
最後我們想做的事情是,是在座其他雲服務商沒有做的,我們會為用
戶安全 SDK,在每本密碼學相關文章裡面,都會提到這樣一個 原則,使用者如果自己沒有去理解原則,可能會存在一些缺陷。
我們會 根據歷年來總結的一些經驗,我們會為使用者防火牆 API、應用安 我們今天擁有電子商務最大的資料庫, Google 全 API、 業務安全 API。
也要我們資料庫,但是跟不跟他們合作我們還在考慮中。
還有云驗證 碼,讓使用者直接在雲伺服器環境裡面構建一個安全的系統。
所以以上這些安全的方案最後總結出來就是我們想要做的事情, 也就 是我們想要打造的品牌,就是雲盾,也是我們在雲安全領域想要做的 事情,看法總結為我們不光能保護自己,我們還能保護使用者,我們的 目標就是做到業內最好。