阿里巴巴高级安全专家
云安全和虚拟化数据中心专家
网络规划设计师
以下为阿里云高级安全专家戈健勇关于《企业云上数据安全》主题演讲的全部内容:
大家觉得阿里天生就有电商的基因,但其实在电商基因里面目前我们又传出一个新的萌芽,就是阿里云,实际上阿里现在不仅仅是电商的代表,更多是技术方向的代表,大数据方向的代表,人工智能方向的代表。实际上随着我们电商蓬勃发展,对未来的电商基础架构也发生了很大的变化,电商要为了把自己的数据打通,为了把自己的业务打通,都纷纷往云上在转。随着企业上云过程中,大家会问到第一个问题,我的数据在云上是否是安全的呢?我其实今天给大家带来的分享就是说,阿里云是如何用新的大数据方式来帮大家或者帮电商来构建这样一个铜墙铁壁。
我如果把时间追溯到一百多年前在晚清时期,应该说是在以前银号刚刚出现的时候,大家老百姓的钱愿意把钱存在银号还是存在家里面?在一百年前可能都是一个疑问,但现在大家很容易就会把钱存到银行。整个云计算发展到现在,基本上云计算的信任正在经历着从银号到银行的一个转变。
我们在构建区域化和云计算平台的情况下,我们看到在传统的安全领域或者说在传统硬件这种方式堆砌的架构里面看到一些缺点,比如我们看到在以前的漏洞曝光的平台上,经常能够看到很多知名的企业,其实我们也调研过这些知名企业都采用传统解决方案,但仍然出现业务很多问题,包括数据的泄漏。另外我们也看到随着业务快速上线,特别是互联网业务,因为安全是为业务服务的,业务快速上线过程当中,如果业务没有考虑安全问题,实际上就会背后带来数据安全的隐患,更多为企业未来的生命其实打上了一个很大的疑问。
另外从整个安全攻防的角度或者从黑客的角度,我们发现从黑客发起攻击到最终攻破系统,到受害者检测到威胁事件,到最终处理这样的事件,其实所消耗的时间越来越长,由此我们得出在构建一个基于这种云平台的安全防御体系之上,其实最重要并不是防御,而是检测能力。那也就是说我们在整个云平台上和传统的安全用硬件堆砌架构不一样的地方是我们不仅有右上方一个红军的防御能力,我们更构建了一个云平台的感知能力,同时我们更倡导安全不纯粹是单纯的防御,更重要是有矛和盾红蓝动抗的过程。
实际上在阿里云基于这样一个安全感知平台之下,我们现在在全国有35%的网站已经在阿里云上,我们每天遭受着2000次的DDoS攻击,上半年已经修复47万个漏洞,我想阐述这个数字的背后意味着什么?这意味着阿里云目前拥有在服务器端最强的威胁情报的能够,我们可以在这样海量数据里面提炼什么东西呢?比如说给大家举一个简要的分享,我们基于这个平台可以看到,整个恶意IP分布情况,我们可以发现其实50%的恶意IP是在进行WEB批量扫描,比如说WEBshell会占多少比例,我们从Web应用攻击类型分布是什么。另外我们也谈到黑客最喜欢光顾或者最喜欢用撞库方式攻击是金融类的,跟钱相关的,社区论坛类跟帐号相关,游戏类跟装备,也是跟钱相关的这一类的网站,正处于黑客最强烈攻击,特别是像我们电子商务类的网站,其实背后隐藏的是我们交易和会员的价值。另外通过这个大数据的平台,还可以看到黑客攻击的时长,基本上现在黑客只要在15分钟之内就可以拿下一个不太设防的这样一个网站,就实际上黑客现在攻击能力和手段现在是在不断的提高。
刚才我们谈到阿里云和传统这种安全防御能力不太一样是说我们构建一个很强的感知能力,这个感知能力其实我们是用大数据分析方法来实现的。这个大数据分析的方式它有别于传统的安全设备,通过事后日志行为分析,它不仅仅是说我能够对我的名上所有的比如ECS等数据库,同时我们还可以对全流量做分析,另外还有更多的互联网上整个的信息,依次通过关联分析,得出一系列的安全决策和视角。比如我们可以实时看到整个的平台上,当然这个平台不仅是基于我们管理者,更多可以是基于租户之间的管理平台。
我以一个很简要的界面来给大家展示一下,比如我们可以在这样的平台上,我们构建了一个测试的数据,在屏幕右上角,在租户被攻击是5万多次,通过大数据分析可以看到其中针对性的攻击有多少,这些针对性攻击来自于哪些攻击的。包括一些紧急安全事件,比如像页面篡改事件,肉鸡行为实践,暴力破解事件,黑客非法登录、异地网、非授权下载等等。除了我们实时舰空导整个互联网上攻击行为之外,我们对每一种行为还有更深入的溯源或取证的能力。我们在右下角可以把刚才谈到的黑客从踩点、扫描、入侵,最后拖取数据整个黑客攻击的链条整个在数据里面做了还原。
比如在这个里面,黑客的IP地质属于哪一个省份,它在什么时间做了第一次的访问,它后续尝试做了什么操作,到最后用了什么样的漏洞,最后尝试用这个漏洞下载什么样的数据,都是在整个的系统里面有非常强的展示。
另外,我们把这样的一个系统其实也通过大屏的方式展示给我们企业的管理员,使得企业管理员每天只要通过这样一个大屏,在右上角就可以看到整体安全的状况,包括整体今天受到网络攻击情况,包括下面可以看到黑客对我哪些资产最感兴趣的,我现在的资产哪些是处于高危的,这样使得企业管理员他只要依托这样一个大数据管理平台,就可以日常做好它自己最中心的安全维护工作。
另外这样一个感知系统我们不仅仅在云上输出,我们也对云下的大客户也有很强输出能力。刚才谈到是我们基于大数据的这样一个态势感知能力,另外我们在防御能力上其实我们也以传统的安全思路不太一样的是我们采用云的能力解决以前无法解决的问题,比如说我们就拿互联网上最容易收到一种攻击行为是DDoS攻击,DDoS攻击它其实是黑客利用中控节点,产生这种高带宽或者高链接资源消耗型的攻击行为,传统的硬件设备比如说像机房,它也会说我们具备一些DDoS攻击防护能力,但实际上如果大家对黑客市场稍微有了解的话会发现,实际上在黑客市场上只要花上几千块钱就能够购买到几十G的攻击流量,这意味着什么呢?大家都知道传统企业的IP出口带宽几百兆,最多几百G,也就说黑客攻击流量远远大于我们互联网的出口带宽,你再采用传统合适的设备其实还没有到你的合适设备,已经把你整体的流量带宽给冲掉了。
阿里云采用云的方式怎么解决这个问题?我们看到左边这个图的橘黄色部分,阿里云实际上建了五到六个高防节点,它这样一些高防节点对外面不仅有电信电链路还有网通等等的链条,都是几百G以上的带宽,比如原来www.xx.com,遇到攻击的时候或者说遇到攻击之前它提前接入到我们这样一个高防中心,只需要在它的DS里面把CM改掉,整个数据流程就变成用户请求先经过高防机房,我们经过海量清洗之后再把流量回到我们的源站,目前采用这样的方式是客户不需要购买任何硬件系统,我们更多把这个Saas技术服务,它这个服务,是通过Saas化产品向客户交付,通过这种方式客户不需要采购任何硬件,使用起来非常简单。另外在访问速度上面,有各种线路带宽,并且是我们一个群,不是一个硬件盒子,这意味着我们可以享受到云弹性的能力也就说黑客刚刚谈到它很轻松调用几十个G带宽资源没有问题,我们后面可以防护几十个G甚至几百个G带宽的能力。这个都没有问题。
这后面是我们2014年底在一个游戏客户里面遇到的全世界最大的457G抗攻击事件,这里面考验了我们整个DDoS里面四个能力,首先是海量带宽储备,黑客能够调动400G的资源,意味着你必须储备比它更高带宽能力。第二必须有横强清洗能力,甚至说你达到99%也不够,远近很简单,我们拿400例,乘以99%,漏出去的带宽还是4个G,我们知道有些中小电子商务网站能有一百兆的带宽已经是非常好的带宽能力,必须要有人的实时参与在里面,才能够做到很高精度的清洗,另外要有非常强大的威胁情报能力,我们在这个案例里面的演练是说如果黑客的流量可以打得更高的话,我们有红蓝军对抗的能力,你可以夺掉对方的桥头堡,把对方的攻击能力往下压制。我们还针对外部应用防护墙的能力,这个就简要的跳过去了。
我们谈到它的接入非常方便,我们在前不久世界互联网大会安保任务里面,我们是前两周才接到这个任务,要对浙江省几百个网站进行防护,如果采取硬件装盒子的方式,大家想想这种任务无法完成,但是我们采用最新的Saas解决方案,我们一再周之内就给各个要监控的网站都部署了我们的系统,保证了整个大会网站安全运营的工作。
我们构建了大数据这样一个监控平台之后,也构建基于云弹性防护平台之后,还有一个很强的能力叫红蓝军对抗能力。我如何判断现在构建的堡垒是否是安全的,我现在构建的安全系统能否实时感受黑客的行为?我们建一个红蓝军对抗,在这样一个平台里面我们不仅仅可以对自己的业务系统做这样的探测,同时对我们特殊的业务系统,比如电商平台里面很容易出现的漏洞问题就是业务的逻辑漏洞,业务逻辑漏洞意味着什么?我们前不久有客户业务快速上线,但是带来的问题是某一个商品可能需要一千块钱在整个网站上,黑客在凌晨十二点把商品价格改成一块钱,让朋友买单支付了,这意味着什么?意味着整个商家他的损失就在那一个晚上几百件商品通过一块钱发布掉了,这样的业务逻辑漏洞只能是通过红蓝军对抗的方式才能够有效的得到解决。并且在这种渗透众测模式里面,比传统通过单个公司测试行为,无论是测试人员、测试成本、测试效率基本上都有十倍以上的提升。
刚才也讲到了其实很重点阿里云防护重点里面我们有基于大数据快速感应系统,我们有红蓝军对抗整个互联网对抗思路,我们有全链路的安全防御体系,针对电子商务网站或者是针对电商的企业,我们应该如何一步步去建设云上的安全体系呢?实际上我们把基于我们互联网最佳实践,我们给大家做了一个很精要的推荐。比如我们会建议在阿里云上电子商务企业,一般会通过我们一些免费的组件,这里面有我们的VBC,有帐号管理,安全管理、帐号管理,基本上就可以构建一个安全的基线,客户业务里面还有外部业务类型,或者其他业务类型,我们会根据实际的情况部署相应的刚才提到Saas外部防火墙系统和DDoS系统,同时进一步构建感知系统,包括最终的红蓝对抗系统,并且我们也看到很多企业在快速成长过程当中,它其实并没有相应的安全员,同时我们也提供安全托管服务。客户把整个安全托管给阿里云的安全专家团队,他自己的业务人员更多的把时间扑向业务系统的维护上面。
我们回到刚才谈到一个观点,实际上客户很多在上云过程中,对安全有很大的担心。实际上这个单位我这里面有几组数据给大家比较一下。比如说企业在线下建一个数据中心的过程,从网络层一般会采用多链路,客户可能需要采用硬件的DDoS防御设备、多链路LLB设备,而在云的环境下我们一直说云给大家带来很多便利性,其实云除了便利性之外更多的是以普惠科技的力量,让大家享受到云带来的红利。比如在网络接入层,是几十万的级别,而在我们阿里云已经提供云DDoS能力,以及BGP链路。另外在访问控制端,在传统数据会做硬件防火墙做隔离,在阿里云我们会有VPC,客户利用阿里云SPA的技术,用VPC的网络技术隔离,同样实现不同技术的隔离,同时线下不同的安全厂商就比如无论是国外的这种,它们提供的安全系统其实以竞向的方式也在我们云安全合作伙伴共同帮我们客户 构建一个安全的体系。在安全应用里面,基本上没有什么差别,只不过左边是用硬件方式,在阿里云采用云的方式。在安全管理里面,会有SOC、SIEM,在阿里云是安全态势感知系统,可以享受到云带来的安全红利。
这边做了一个很精要的对比,在传统数据中心要建这么一个安全系统,最起码需要几百万的投入,而在云上非常的节约,这也是我们给创业企业带来的红利。我们也看到很多客户他故有很多业务在数据中心里面,其实随着云的时代更多企业也选择采用混合云的模式,传统业务还在云下,新的业务互联网业务,特别是电子商务业务,特别是跟数据需要打通的业务,都分在云上迁转。
实际上最后我给大家分享一个数据,因为如果我一上来说,大家很多认为云上比云下安全,会拿臭鸡蛋把我哄下去。通过我刚才的一个比较,国际CSA调研数据显示,已经有32%的用户企业认为云上安全体系一点也不比云下差,这是从分析机构角度看这件事情。另外很多人在问我阿里云是否安全,阿里云里面是否会监守自盗?我不好以个人人品来回答这个问题,我更多地说我们有第三方调研报告来看,阿里云是目前国内通过合规认证最多的云平台,我们获得了金融行业的安全标准认证,另外我们6月份阿里云通过了支付行业安全标准,这两个标准意味着什么?意味着金融行业的数据已经可以在阿里云上跑。在前一两个月,阿里云已经成为首家云等保试点单位,金融云平台通过等保四级测评,这也意味着我们的金融数据完全可以跑在阿里云上。
通过以上分享是想给大家看到阿里云正以自己普惠的科技力量,无论是它提供弹性计算能力,包括实时在线计算能力,它还提供很多基础的网络,特别是用新的思路来解决客户的安全问题,我们很多的客户正因为这种业务连续性的需要和安全性的需要,反而由于这两点逐步使用阿里云。后面是我们一些经典的客户,无论现在是互联网还是在游戏,还是政企金融等等,阿里云的客户越来越多。
本次会议由阿里云河南授权服务中心河南九洲承办。阿里云服务中心为区域内的客户解决上云、定制行业解决方案等服务。享本地化快速上云服务,售前支持一对一,无需提交工单。客服热线:0371-56982939,售后支持热线:0371-56982786
©2024 aliyunhn.com. All Rights Reserved 中科九洲科技股份有限公司-阿里云河南授权服务中心 豫B2-20080032-14 统计