“非常糟糕。创业型云计算公司为了发展业务,并没在安全上投入精力。而且,安全是个很需要资源的行业,例如DDoS防御需要带宽费用——而他们往往选择了放手不管。”阿里云资深安全专家魏兴国这样评价国内的云计算安全现状。
而大公司的优势在于,一方面他们有着较好的带宽能力,另一方面从防护自有业务转向防护云产品也有基础,会随着云业务的成长不断来建设防护体系,提升防护能力。“云盾”就是阿里巴巴集团安全技术研究积累的成果,它结合阿里云计算平台的数据分析能力,提供安全漏洞检测、网页木马检测,以及面向云服务器用户提供的主机入侵检测、防DDoS等安全服务。云盾技术团队的三位技术核心工程师魏兴国、李爽、聂万泉向CSDN记者讲述了云盾背后的故事。
云盾的建立
走入云安全领域,对他们来说是个很自然的过程。2009年初,阿里巴巴集团研究院成立,负责云计算方面的初始研究,这就是阿里云的前身。此时魏兴国从B2B公司抽调过来,负责云计算的安全预研。2009年9月成立阿里云之后,集团研究院就是阿里云的启动人员了。从那时起,五年中他一直专注于云计算安全。他所在的团队主要负责其中DDoS防御、网站入侵防御、网络漏洞扫描及风险控制4个子产品的设计、开发、运营。普通开发者对“风险控制”了解较少,它可以理解成两个部分:一个是规范云主机,禁止非法行为;二是禁止恶意抢注云主机。
李爽目前所在的是“技术保障-性能与容量”团队,主要负责阿里巴巴基础架构方面的规划于成本优化。之前在网络团队中,他是负责人,而其中与云安全最相关的是“网络防攻击团队”。2012年,他们意识到,随着互联网的发展,用户宽带不断提速,黑客可控制的流量也越来越大,就在此时,高性能网络组件研发团队应运而生,“防攻击”作为重要平台开始了建设。2013年的防攻击主要在自有业务方面,2014年则开始全面面向云安全。
云用户对网络的需求也逐渐增多,李爽提出VPC方案,一方面用于解决用户私有网络的需求,另外一方面从安全角度实现用户的网络隔离。
聂万泉介绍说,云盾目前是阿里云的安全品牌,包含一系列子产品。它大量使用了阿里云的服务,包括ECS、ODPS、CDN、SLB等,许多服务都工作在云上,“我们是阿里云的云计算客户,阿里云又是云盾的安全客户。”
预想之中与预料之外
云盾并非完全沿着他们最初设想的路线发展。起先,云盾的目的单纯是为了保护用户数据不被黑客窃取,保护云服务器不被黑客入侵。但随着业务越来越壮大,云盾的领域也逐渐扩大,例如前文提到的风险控制。因为他们发现,许多有不轨意图的人,意识到从外部入侵困难,就直接抢注免费试用的云主机,或者直接花钱购买云主机,进行非法勾当。这就要求云盾的技术人员在更广阔的领域思考,扩展云盾的边沿。
云盾刚上线得到了良好的反馈,因为从无到有,用户突然间就拥有了一道屏障,解决了他们棘手的安全问题。从技术角度,在三位工程师看来,云盾的发展过程有三个里程碑。
商业到自研:原来云盾使用了商业设备抵御DDoS攻击,而从2012年开始全面转向自研防攻击平台。
满足到优雅:防攻击平台最初只为达到基本的防护能力,在防御过程中存在误伤。新的防攻击平台在性能极大提升的基础上,误伤率大大降低,他们称其为“优雅防护”,不打搅用户。
虚拟网络隔离:在关注DDoS防护的同时,从用户的网络角度出发,设计了VPC的体系,对不同用户网络进行隔离,也可以让同一用户的不同网络,根据需求设计访问控制,提供更灵活的网络方案。
全面的防护体系技术
从技术上看,云盾依靠“数据”形成体系。如图1所示,HIPS发现WAF遗漏并反馈;恶意行为检测发现WAF和HIPS两者的遗漏并反馈;WAF和HIPS报警,恶意行为监测系统重点关注指定机器的最近行为。多种产品形成合力,最终组成云盾的防御体系。而从底层网络来看,其核心技术有两项,一是高性能网络处理框架,另外一个就是VPC了。
安全领域容不得百密一疏,不久前的iCloud照片泄漏事件就是典型的木桶原理——苹果的各个接口都做了密码尝试次数限制,却唯独忽略了Find My iPhone。结果黑客利用了这一点,尝试猜解密码最终得到了大量的照片和隐私信息。三位专家介绍说,在阿里云,他们有着完善的SDL流程,确保每个接口都使用了一致的安全策略。
而对于云平台的僵尸主机威胁,云盾的风控体系与之应对——首先,免费的试用主机不会被自动程序抢拍,而且控制了抢拍速率。其次,云盾还有完善的网络控制策略,限制了云主机某些特殊报文发送速率。最后,它拥有流量监控、分析系统,能发现网络中的异常流量,捕获僵尸主机行为。
“我们会对网络行为做分析,判断用户的行为是否正常。这是一个矛与盾较量的过程,我们在这个过程中不断优化防护方法和措施,保证用户的安全。云平台像一个大的市场,无法要求每个从业者都遵纪守法,但我们会用好的监测手段发现违法乱纪者,不会手软。”他们这样说道。
李爽谈起发生在自己身边的故事:“有个朋友的公司会经常租用我们的云主机,一方面网络质量较好,他用这些主机做代理,优化用户的访问;另一方面,在网站受攻击时,他将域名切换至云主机,利用云盾防护,正常访问再通过代理方式回到他自己的服务器。”
安全产品提供的只是一种安全感?
远非如此,给用户切实的安全是一切的基础。在此之上,才是让用户知道自己安全,感受安全。用户一定先有安全收益,才能体会安全感。从另一个角度看,用户也希望安全产品能更好地保护自己,毕竟现今的安全形势依然严峻。
谈起云安全的定义,以及与传统安全相比云安全的特点,几位专家解释说。
首先是规模。现有的云业务,每周遭受的DDoS攻击在2000次左右,而Web攻击则在亿级别,攻击次数高过传统安全几个数量级。
其次是领域范围。云安全需要做许多以前不用考虑的事情,例如用户使用云资源发垃圾邮件,做钓鱼欺诈网站等,这些都需要格外关心,并且妥善处理。
最后是技术挑战。云中的用户互不信任,服务商需要防止他们互相攻击,还要防止他们攻击外部,更要提防他们攻击云服务商网络。
他们认为,云安全可以与社会安全类比——他们都具有多样性、规模化的特点。谈到未来,他们说:“用户使用了一段时间之后,对我们有更高的要求,需要我们从发布的60分做到80分、90分,对我们挑战很大,我们还在继续努力”。