大厂Data+Agent 秘籍:腾讯/阿里/字节解析如何提升数据分析智能。 了解详情
写点什么

云安全用户之痛

  • 2014-10-16
  • 本文字数:1424 字

    阅读完需:约 5 分钟

10 月 16 日在杭州举办的第四届阿里开发者大会上,阿里巴巴集团安全部资深专家魏兴国(花名云舒),做了云安全用户之痛的专题演讲,重点就阿里云当前在用户使用过程中遇到的问题和解决方案进行阐述。

魏兴国 (云舒)首先就云计算安全同传统 IDC 安全进行了比较,认为传统 IDC 主要存在以下安全问题:

  • ARP 欺骗攻击
  • DDos 攻击
  • 密码破解攻击
  • WEB 入侵攻击

就目前有关数据显示,当前 IDC 中有 35% 服务器被入侵过。当出现安全问题时,通常传统的 IDC 缺少完整的应对方案,拔网线通常称为了简单有效的应对方式。

之后又讲到当前云计算环境中,同样在安全方面存在非常恶劣的网络环境。在国外一家报表中,在 2014 第一季度中,国外的主流云计算供应商中,都有很大比例被入侵过的云主机,中间存在很多用户完全不知情的云主机被非法入侵利用。

阿里云遇到的攻击也非常非常的多。就 DDos 攻击来说,每周大概有 2000 起攻击,每次攻击流量也是非常的大;密码破解类的攻击每周大概有几亿次。

为了保护云平台,保护云平台的用户,阿里 5 年来,完成了云盾的整个安全体系建设: 网络安全、平台安全、系统安全、应用安全和数据安全。

最新完成的虚拟专有云,能够提供基于二层隔离,提供分布式的防火机制,提供给用户更私密的空间,结合 VPN 能够为用户构建更加安全的网络架构;另外恶意主机检测和恶意流量过滤通过侦测恶意的数据流量和主机变化,可以帮助用户提供更加纯净的环境。

魏兴国 (云舒)表示,阿里提供的平台是安全的,但是用户还是有很多安全方面的问题,甚至有一些是平台的安全机制带来的。随后展示了阿里当前收集的用户安全痛点:

  • 恶意主机:32%
  • DDos 攻击: 29%
  • WAF 使用: 17%
  • 端口管理: 11%
  • 主机防护: 8%
  • 漏洞检测: 3%

魏兴国表示,在阿里云过去的经验中,由于阿里提供的多层防护,在特殊规则的情况下发生过流量误清洗这样的事件;还有由于客户端主机被入侵而被安全机制屏蔽影响使用,客户也感到很委屈;这些都是目前造成用户体验和感受不好的地方。

稍后就阿里针对当前的安全问题,逐一进行针对性方案推进。首先讲解了 DDos 问题和解决方案:

DDos 防御当前的不足,通常是由于业务复杂性带来的不稳定,例如:

  • 促销活动误启动清洗
  • 误杀某些移动网关和 NAT 出口
  • 特殊条件下 CC 攻击的漏判
  • 运营商的自保策略导致的不可用
  • 突发巨量流量造成的网络抖动

此外还列举了用户在 DDos 上的一些困惑:

  • 启动阈值、清洗阈值的意义?
  • QPS、BPS、PPS、新建连接、并发连接的意义?
  • 为什么不能设置黑名单、白名单?
  • 怎么查找攻击者的 IP 地址?怎么报案?

针对这些问题,魏兴国表明阿里云即将在 DDos 方面进行如下改进:

  • 已完成: 硬件分光,CC 防御策略调优
  • 10 月 30 日: 优化计算启动阈值清洗阈值算法
  • 11 月底: 自动计算,适配清洗策略
  • 12 月底: 用户可以自己定义黑白名单

稍后,列举了在 WAF 产品应用中用户当前的痛点以及业界存在的问题,表明阿里云即将推出纯透明接入的 WAF 产品,简化用户的配置,解决用户的痛点:

  • 2015 年 1 月: 用户一键开启
  • 2015 年 1 月: 不影响搜索引擎收录效果
  • 2015 年 3 月: 服务器可以看到访问者的真实源 IP 地址,避免应用程序的修改

同时,还表明了未来主机安全防护计划:

  • 2015 年 1 月: 自动修复更多的安全漏洞
  • 2015 年 1 月: 增强恶意文件的查杀能力
  • 2015 年 3 月: 提供主机防火墙功能,提供用户自定义端口的访问控制能力

最后,魏兴国 (云舒)展示了阿里云盾的开发计划;同时推介大家关注“阿里云安全”的微博,阿里集团的安全部门会经常发布一些安全威胁公告和安全专题资料。

2014-10-16 20:482829

评论

发布
暂无评论
发现更多内容

行业分析| AR远程协助-企业的好帮手

anyRTC开发者

音视频 远程协助 远程医疗 远程培训

前端开发SpringBoot之接口文档的生成

@零度

前端开发 springboot

Linux之find命令

入门小站

Linux

25年,初心未改。

澳鹏Appen

人工智能 机器学习 训练数据 数据训练

Token机制相对于Cookie机制的优势

郑州埃文科技

数据库 IP Token API

智算未来 | 2021新一代人工智能院士高峰论坛智算网络分论坛成功举办

OpenI启智社区

恒源云(GPUSHARE)_有关【图像平滑】的论文小记

恒源云

深度学习 CV 图像处理

大数据埋点如何实现、验证和管理

融云 RongCloud

融云荣获“2021 数字化服务创新成长企业”奖

融云 RongCloud

华为与湖北三所高校共建首批鲲鹏&昇腾产教融合育人基地

科技热闻

遥遥无期

Tiger

28天写作

58 K8S之集群日志系统

穿过生命散发芬芳

k8s 28天写作 12月日更

☕【权限设计系列】「认证授权专题」史上最全的权限认证服务的权限模型大全

码界西柚

架构设计 12月日更 权限设计 功能设计

有没有好用的低代码平台,支持本地私有化部署的?

优秀

低代码 私有化部署

多因子认证是什么意思?与双因子认证有什么区别?

行云管家

身份认证 双因子认证 账户安全

确保关键基础设施精确授时与同步的弹性、冗余和安全性

科技热闻

基于DataX的数据同步(上)-DataX介绍以及安装

恒生LIGHT云社区

MySQL 数据库 数据同步 DataX

Jira Software 年度总结:12个重要功能大放送!

Atlassian

DevOps 敏捷 Atlassian Jira ITSM

2022年之前,你不得不了解的一些 DevOps 趋势

飞算JavaAI开发助手

物联网之智慧农业应用分析&大数据之数据挖掘技术的应用

亚马逊云科技 (Amazon Web Services)

人工智能 云计算 大数据 物联网

Orillusion | 第一个WebGPU中文社区

Orillusion

WebGL 渲染 元宇宙 Metaverse webgpu

【架构师训练营】模块三作业

樰巳-堕~Horry

架构实战营 「架构实战营」

艾瑞发布《2021 年全球互联网通信云行业研究报告》,融云持续领跑市场

融云 RongCloud

在线JSON转Mongoose工具

入门小站

工具

白帽近距离|TimeLine Sec安全团队威猛先生

火线安全

泉州有几家正规等保测评公司?在哪里?叫什么名字?

行云管家

网络安全 等保 等级保护 等保测评

直播连麦的人工智能回声消除技术探索

融云 RongCloud

百度APP视频播放中的解码优化

百度开发者中心

视频 解码技术

带你熟悉鸿蒙轻内核Kconfig使用指南

华为云开发者联盟

Python 鸿蒙 LiteOS-M Kconfig kconfiglib

深入Java线程池:从设计思想到源码解读

Ayue、

线程池

应用落地 智创未来 | 2021新一代人工智能院士高峰论坛昇腾人工智能应用专场成功举办

OpenI启智社区

人工智能 昇腾

云安全用户之痛_语言 & 开发_孙玉新_InfoQ精选文章