云安全用户之痛

  • 孙玉新

2014 年 10 月 16 日

话题:语言 & 开发阿里云

10 月 16 日在杭州举办的第四届阿里开发者大会上,阿里巴巴集团安全部资深专家魏兴国(花名云舒),做了云安全用户之痛的专题演讲,重点就阿里云当前在用户使用过程中遇到的问题和解决方案进行阐述。

魏兴国 (云舒)首先就云计算安全同传统 IDC 安全进行了比较,认为传统 IDC 主要存在以下安全问题:

  • ARP 欺骗攻击
  • DDos 攻击
  • 密码破解攻击
  • WEB 入侵攻击

就目前有关数据显示,当前 IDC 中有 35% 服务器被入侵过。当出现安全问题时,通常传统的 IDC 缺少完整的应对方案,拔网线通常称为了简单有效的应对方式。

之后又讲到当前云计算环境中,同样在安全方面存在非常恶劣的网络环境。在国外一家报表中,在 2014 第一季度中,国外的主流云计算供应商中,都有很大比例被入侵过的云主机,中间存在很多用户完全不知情的云主机被非法入侵利用。

阿里云遇到的攻击也非常非常的多。就 DDos 攻击来说,每周大概有 2000 起攻击,每次攻击流量也是非常的大;密码破解类的攻击每周大概有几亿次。

为了保护云平台,保护云平台的用户,阿里 5 年来,完成了云盾的整个安全体系建设: 网络安全、平台安全、系统安全、应用安全和数据安全。

最新完成的虚拟专有云,能够提供基于二层隔离,提供分布式的防火机制,提供给用户更私密的空间,结合 VPN 能够为用户构建更加安全的网络架构;另外恶意主机检测和恶意流量过滤通过侦测恶意的数据流量和主机变化,可以帮助用户提供更加纯净的环境。

魏兴国 (云舒)表示,阿里提供的平台是安全的,但是用户还是有很多安全方面的问题,甚至有一些是平台的安全机制带来的。随后展示了阿里当前收集的用户安全痛点:

  • 恶意主机:32%
  • DDos 攻击: 29%
  • WAF 使用: 17%
  • 端口管理: 11%
  • 主机防护: 8%
  • 漏洞检测: 3%

魏兴国表示,在阿里云过去的经验中,由于阿里提供的多层防护,在特殊规则的情况下发生过流量误清洗这样的事件;还有由于客户端主机被入侵而被安全机制屏蔽影响使用,客户也感到很委屈;这些都是目前造成用户体验和感受不好的地方。

稍后就阿里针对当前的安全问题,逐一进行针对性方案推进。首先讲解了 DDos 问题和解决方案:

DDos 防御当前的不足,通常是由于业务复杂性带来的不稳定,例如:

  • 促销活动误启动清洗
  • 误杀某些移动网关和 NAT 出口
  • 特殊条件下 CC 攻击的漏判
  • 运营商的自保策略导致的不可用
  • 突发巨量流量造成的网络抖动

此外还列举了用户在 DDos 上的一些困惑:

  • 启动阈值、清洗阈值的意义?
  • QPS、BPS、PPS、新建连接、并发连接的意义?
  • 为什么不能设置黑名单、白名单?
  • 怎么查找攻击者的 IP 地址?怎么报案?

针对这些问题,魏兴国表明阿里云即将在 DDos 方面进行如下改进:

  • 已完成: 硬件分光,CC 防御策略调优
  • 10 月 30 日: 优化计算启动阈值清洗阈值算法
  • 11 月底: 自动计算,适配清洗策略
  • 12 月底: 用户可以自己定义黑白名单

稍后,列举了在 WAF 产品应用中用户当前的痛点以及业界存在的问题,表明阿里云即将推出纯透明接入的 WAF 产品,简化用户的配置,解决用户的痛点:

  • 2015 年 1 月: 用户一键开启
  • 2015 年 1 月: 不影响搜索引擎收录效果
  • 2015 年 3 月: 服务器可以看到访问者的真实源 IP 地址,避免应用程序的修改

同时,还表明了未来主机安全防护计划:

  • 2015 年 1 月: 自动修复更多的安全漏洞
  • 2015 年 1 月: 增强恶意文件的查杀能力
  • 2015 年 3 月: 提供主机防火墙功能,提供用户自定义端口的访问控制能力

最后,魏兴国 (云舒)展示了阿里云盾的开发计划;同时推介大家关注“阿里云安全”的微博,阿里集团的安全部门会经常发布一些安全威胁公告和安全专题资料。

语言 & 开发阿里云