安全专场

最后更新于:2022-04-01 03:40:30

> 主题:DT时代的网络安全 > 时间:2015年10月14日(晚上) 主持人:尊敬的各位安全界的伙伴们,各位嘉宾,大家晚上好! 同时,我们也向所有在网络上观看我们直播的安全爱好者们问好,欢迎大家来到杭州,在一个金秋送爽的时节来到我们的云栖大会。我是来自阿里巴巴集团安全部的沈锡镛,也是今天的主持人。我相信大家经过一天的参观学习,脑子里面肯定塞满了诸多量子计算、生物识别等诸多前沿科技,我相信今天很多的脑洞被这些科技开启。当我们这些突破时空限制和管理创新力量的背后,我们今天晚上在这里探讨的话题是,我们的安全有没有准备好。在论坛开始前请允许我向大家介绍今天到场的重量级的嘉宾。他们是:公安部信息等级保护评估中心主任张宇翔,中国电子技术标准化研究院信息研究中心副主任刘贤刚,Matthew Cheung,Gartner Research Director,阿里巴巴集团安全技术副总裁杜跃进,阿里巴巴安全研究院吴翰清,还有我们阿里巴巴资深专家方兴。来自于我们杭州安恒信息技术有限公司首席安全官兼高级副总裁刘志乐先生,来自北京山石网科信息技术有限公司首席技术顾问杨庆华先生。当然我们也欢迎在座我们很多的朋商、安恒、江南天安等等还有在座的云盾的客户,更多关注网络安全致力网络安全的伙伴们,欢迎你们今天晚上的光临。 大家今天白天听了很多的内容,还有很多同学相信都没有吃完饭,我们就开始开始第一个环节,让我们有请我们阿里巴巴集团的安全的副总裁杜跃进,用他丰富的安全的知识和分享塞满大家精神的大脑。下面有请阿里巴巴集团安全技术副总裁杜跃进先生为我们分享安全的未来,有请。 杜跃进:谢谢沈锡镛,本来他们对象要从我这边走过来,我决定还是换一下。 这个报告其实大家不用太看PPT,因为这个PPT已经存在48小时以上,太老了,我想这个只是一个参考。 然后给我一个非常大挑战的题目,网络安全的未来,可能有人还看到过早期最开始的题目还要更夸张一点,其实这个题目是很好的,只是说挑战确实也比较大。但是,好在我这个说对了说不对,基本上不影响大家的KPI之类的,所以可以放松一点。 我今天会从这几个角度来说一点个人的观点,既然说到未来嘛,未来是由于什么样的环境导致的,让我们的安全会走到新的情况,那在未来安全上面的常态到底是什么样子的?然后会讲一讲在未来的时候,网络安全到底有什么新的特点,跟今天不一样的,他可能带来什么一些新的挑战,以及第三部分,对于这样的未来,我们是不是有一些新的思路,或者说对我们会不会有一些新的要求,和大家做一个第一道菜,这是餐前菜沙拉。 下面说第一部分新环境。我们以前每年发布我们的年度安全报告的时候,我那时候不在阿里,都会预测一下趋势,很多也都说得比较准,比如说2008年的时候我说,病毒要消失了,但是恶意代码会爆炸性增长,那是2月份讲的,后来也都证实了。但是,那时候是纯粹从安全来看的,从安全的技术走向,以及威胁安全这个圈子未来会怎样。我今天讲的这个话题会更长远更大一点,因为在今天,安全和过去越来越不一样了,我们在说安全的时候也不再仅仅是从恶意代码、终端安全、系统安全这个角度来讲。因此如果说这样的话,我们就要想一想,我们未来和安全有关的,到底什么东西会导致我们的安全不一样?其实和我们生活的方式,和我们使用的东西,和我们工作的环境其实都有关系。所以我就画了这样一张图,在最早的时候我们是在Computer,局域计算机网络开始,在那时候我们面对的是离散的计算机,和离散的数据。你只有在局部网络,不太可能在远程过来数据要保存也是在服务器里面或者局域网的机器里。再往后发生了变化,我们变成了开放的广域的计算机网络,这两个条件是同时存在的,一是一个广域网络并且开始开放了。我不是很精确的划分,但是大家都知道我在说什么,互联网不再是过去的广域网。这些计算机都被联在一起了。数据当然这时候依然是静态的数据为主,并不像今天这样,静态的数据为主,我们现在要么是保护系统本身,要么是保护系统里面的数据。再往后的时候我们搞计算机网络的这些人,开始跑到通信网络里来了,一开始通信网络的人看不起计算机的,我们的设备多稳定,你们就像小孩一样,就像IBM大型机看不起PC机一样的。但是今天所有的通信网络也已经数字化了。今天全世界开放互联的不仅仅是计算机了,还包括承载着通信枢纽的通信设备,也已经被开放的互联了。这时候,数据开始有大量的流动,我们看到的很多的安全威胁,比如说国家级的一些安全,都是从骨干网络里就有了,从路由器里面拿数据了,流动的数据,并且实现了全球的通达。当你的目标定的是一个远在一万公里以外的话,你在家里就可以下手了。 在往后是什么?人的信息通信网络。就是信息不再是过去只是简单的承载一个你说一句话,或者什么东西。把人开始连在一起了,我们在这个里面,刚刚到这个会场大家就假了一个微信圈,我们人和人就建立了联系。你有很多网络上面的朋友,你有很多交易上面的朋友,你在买东西的时候有商家的朋友,你在任何的消费,一个一个的圈子,这些各种各样的社会、社交应用,以及整个社会都开始变得网络化。好象越说越远是吧,但是实际上想一想,跟我们今天讲的安全有没有关系,都是密切的关系的。 再往后是什么?今天正好在展厅的时候还讨论到这个东西,有人说物联网,我说物联网其实今天已经不够了,物联网更多的是他们在说IOT,但是很多年以前我就有一个观点,如果一件事情如果和人没有关系的话他是不存在安全问题的,IOT和人是有关系的,但是只说到IOT和人关系并不是那么强,比如说工业控制系统,一个工业系统比如说伊朗核设施跟我们有没有关系呢?有关系,但是关系不是很强。但是在今天,所有的这些所有的东西,像IOT里面的每一个传感器,大家每个人身上都有很多的传感器,大家家里的家电,我们外面的交通,我们坐的飞机等等一切东西,他有传感器有网络,都和我们有密切的关系。所以他已经不再是纯粹的一个英特网,我们也在里面,是人和万物结合在一起的网络,比较典型的像智慧城市这样的。而且这个时候更加是全球的跨域的通达。在这个层面的通达,是指的信息通信而已,在这个层面的通达就不一定是了,你可能会通过别人家一台电冰箱到了另外一个银行里面的系统。这个是新的一个趋势。当然上面还有了。 在往后面是什么?再往后面我们面对的是一个生活甚至是生存的网络,是我们生活和生存必须依赖的网络了,在这种情况下,我们的一切活动都将依赖这样的一个网络,我们会全面的融合。我们会走到一步,现在已经往这一步来走了。 如果我们按照这样一个趋势的话,我们只需要给自己提一个问题,我们安全未来往哪里走?挑战往哪里走?方案往哪里走?我们不应该像过去只看社会的安全,分割开来看一个交易系统的安全,分割开来之后看一个数据的安全,这是一个演变。 在所有看上去这么复杂的现象里面,我觉得有三个点是最关键的,当然这个联还是那个连不是最关键的,我甚为所有的关健因素是这三个,联通、智能、融合,一个是大范围大家都联在一起了,这是非常可怕的,从我们信息价值观来说联在一起才有价值,但是从安全的角度来说联在一起非常可怕,而且这种连接是无时无刻的,跟你睡没睡觉没关系,无缝隙的,跟你用的是什么样的设备,跟你在什么样的场景下使用没有关系,始终是联着的,无死角的网络。甚至在前两年我觉得可以写一部准科幻小说,名字就是连通。第二个是智能,我在2012年的时候写了一个东西,其中我在讲智能的时候,我原来就说,智能意味着机会,只不过我是从安全的角度来讲的。也就是说对攻击者来说,智能就意味着机会。我们任何一件东西,当他变智能了里面就开始有人写的,人的逻辑变成了程序在里面,他就有被别人攻破的可能。再加上第一条,那就有被远程攻破的可能。第三个特点是融合。不同领域的相互影响越来越强,原来我们跟工业控制系统有什么关系,原来甚至跟通信网络都没有什么关系,未来所有的领域相互之间都有关系。 他们带来的挑战我只列了一些,一是突破时空限制和管理边界,在过去我们管理得好好的,国家有边界,各个部门各司其职,每个人一进家门这个是我的了。现在我们已经来的东西全部都没有这样的,出了这件事情到底归谁管呢?公安领域全是这个派出所管这一片,出了网络安全事件归谁管呢?第二个是异构环境。在过去的时候没有像今天这样,我自己的这一个业务系统,包括用户所使用的环境基本上是比较单纯的,甚至在更早期全是一家的产品过来。但是在今天完全不是这样的,当你从安全的视角需要解决的问题你会发现,他面临的环境是各种各样的。还有复杂关系,越来越多的融合了复杂的关系,牵一发而动全身,而且还不是一个平面的,你不能划一张通信网,通信网已经够复杂了,通信网的整体安全风险分析我到现在也没有搞明白,甚至都没有人去搞,还是把他切成小块来搞,可那只是通信网而已。就好象是我们自己人体的血液循环系统,你搞一搞很复杂的,现在还有神经系统,还有肌肉系统,消化系统,他们之间还有关系。在这样的一种复杂关系下面的挑战。还有一个就是安全威胁已经渗透到每一个领域,而且这些领域还完全没有准备好。我们搞计算机安全的这些人,安全一直都没有搞好,但是在今天这种情况下,已经发生的情况下,我脑子里想的一个场景,但是我做不出来,只能大家脑补一下。好象是一个盒子里面开始往外流出黑色的汁,然后流向整个世界,那些人从来都没有准备好,这是我的对未来的这样的一些看法,这些挑战其实也会下面的一些观点。 第一个观点,未来的常态是什么?很不幸,我们这些搞安全的人,未来依然天天还要面对这样的事情,会不断不断的出现新的入侵事件,不管这个公司有多大有多强,会不断不断的出现新漏洞,会持续下去。多少年?我不知道。三五年?三五年之后估计还是这个样子。为什么这样讲呢?跟刚才那张照片有关系。我们现在或者未来几年面临的系统、应用、设备以及跟安全相关的人员,包括用户在里面,他的增加的速度、或者是范围太快了,他里面都是有弱点的,包括人的弱点,他们增长的速度远远大于我们发现和修补弱点的能力。我们今天甚至没有去尝试来减少扩张时候带来的新趋势,我们依然试图去修补他们带来的弱点。可是我们修补的速度远远低于那个速度。所以必然会导致刚才那个常态。还有一个对手的动力、能力和规模在未来的可见的多少年以内依然不断的扩张,我只是不希望他持续扩张下去,但是在未来的几年之内还是依然会扩张。这两个原因是导致未来几年是常态。只是要强调一句话,现在很多人认可的观点是PDCA里面的P是不靠谱,我们都知道没有100%的安全,所以我可以允许被入侵,我可以允许有新漏洞,但是我更强调的是一个风险的控制损失的控制,也就是说我后面两个。对于未然既然是这样的话,我们是不是要分析一下他们新的特点,以及要不要考虑一下我们可能需要的哪些新思路呢? 第二部分就是讲一下可能存在的新特点和新挑战。 新特点就是,对当时的东西稍微做一些归纳,第一个就是我们现在进入一个动来动去的一个时代了,我刚才讲了我们过去的数据相对是比较静止的,我们过去很多互联网还没有转到传统企业里面,他所需要保护的资产也是相对静止的。可是在今天互联网的时代,在未来我相信所有的行业都会走到互联网+这种模式下,所以今天阿里巴巴、腾讯、百度甚至是像携程,我们遇到的问题,他们也是一样的,数据会动来动去的,应用会不断的变化,一星期上线多少个版本,不断的改。资产也会上去,甚至是一些主要的配置,各种各样的业务,安全防护的边界都是在动来动去。好,动来动去的这种特点下我们做安全。第二面对的量太大了,我们要保护的对象太多太多了。甚至外部环境面对的企业都太多了。所以我们要工作的量太大了。第三是复杂,很多事情都是很长的链条,不再可能像过去那样你就自己说了算,而且作用面非常大。脆弱环节,就是短板特别特别多,而且经常不在你的控制范围之内。阿里巴巴今天是这样,很多很多的电商今天都是这样,我不展开讲,如果有机会我可以跟大家分享,很多实行出在你不可以控制的范围之内的,很多事情都会影响到你。另外就是和业务的结合。在过去的情况下,安全可以以第三方的方式来做网络边界里面的规则过滤,恶意代码的查杀等等,但是那个已经不够了。在今天安全一定要和业务进行高度的融合,但是高度融合带来的挑战,或者说带来新的特点,就是你跟业务融合的这么紧了之后,你自己的稳定性、性能,都变成了业务本身的稳定性和性能。我们做安全的,我相信在座的都是传统做安全的,我们平台不是这样考虑的,我们自己的安全设备本身的功能性能原来不至于说到了业务层面那么高的要求,但是未来会有要求的。任何的单一环节,设备安全不安全,可能安全可能不安全,设备接入的网络安全不安全,用户的口令丢没丢等等,任何的单一环节,不可能有效的解决应对安全问题。反过来也是,如果说一个单一环节被突破了,整个安全就没了,是你安全没做好,一定是多个环节有效的衔接和配合,任何的单一领域、单一组织、单质圈子都无法靠自己有效应对他。 这些带来了新的挑战,而且这个挑战我依然不能技术人员只看技术,在政策层面就有很多新的挑战,什么是个人数据、什么是隐私数据,当跨境的时候,像优步你要走向跨境的时候,面对新的政策挑战。各种各样的新形态的业务,让监管部门很紧张,我们国家叫大众创新万众创业,还有一个互联网+,这两件事情放在一起意味着什么?会诞生非常多的新的对传统业务产生革命性冲击的创新出来,很好的创新,但是政策层面不一定准备好了。还有国际局势,在整个的国际的安全合作越来越差,而且没有看出好转的迹象,这种情况下怎么做安全?国际的合作是信任越来越差。技术层面,云计算,本身一定是未来的基础设施。也就是说未来的各个公司、机构,你的IT什么都在云上面,我就点到为止了,我们所有的基本上可以认为传统安全技术都要在上面跑,各种各样很多。大数据,我也不展开讲了,甚至包括移动安全,移动安全刚才也讲到,现在移动环境下和过去PC环境下有很多区别,其中有一个是移动端的差异性很大,非常非常多的差异性,他的终端的类型,操作系统类型等等,APP的类型等等非常大。这不是说你在学术圈我解决一个问题就可以了,你要运营的,你做了一个东西出来,全世界有200多种产品要你去支持,和你只有一个产品要支持是不同的。复杂生态中的风险感知和风险控制怎么做。以及在国际政策现在越来越强调,数据不能够流出去的情况下,未来可能会诞生的一个情况,你想要算的数据转不过来。这种情况下怎么办?我们用大数据做安全的各种各样的东西,可能被迫换一种方式,要把我们的计算走出去,但是数据带不出去,你可以带一点中间结果,而不是像现在这样我可以把数据转过来算一算,未来会成为挑战。产业层面,中小企业安全,尤其是面对APP的时候,我的观点一定是走定制安全的路,但是一定有成本的问题。成本降不下来这个事情就活不下去,中小企业的安全是大量大量的安全在未来的时代不能再小看中小企业安全带来的危害了,一个小企业背后可能就是一千万用户,重要不重要,按照等级保护早就上线了。人才层面到底怎么弥补。 未来的思路和要求。我简单讲几条,不一定全,一是比较流行的在梳理攻击链,你想一想你看一看觉得挺对的,但是我想说的是什么?攻击链梳理清楚了又怎么样,不是说攻击链梳理清楚了就OK了,现在一说就是威胁情报,这个一出来就行了吗,有各种各样的异常检测,有一种永恒的主题就是伪装和反伪装之争,你在攻击链梳理完了以后,你会在关健领域检测你所谓的异常和所谓的攻击,这和多少年以前是一样的,人家会伪装的。所以你只是看到了关键点在哪里,看到了风险的方向,但是他有一个伪装和反伪装之间是一个持续的对抗。所以有了关键点,还不代表你就能够解决问题,关健是将来对抗的那个。 另外,安全的基石:数据、情报和可信,但是展开的话,里面有非常多的东西。一个虚拟的ID,这个ID对应着实名,实名背后的实人,哪一个经重要?其实在机场安检的时候是不是实人,你一定是你,这样问题就都解决了吗?没有,而且成本很高,动不动安检一升级就排长对,因为你没有任何的属性,他不知道这个人过去是一个很暴力的人,还是一个完全靠谱的人,他自己把命看得比什么都重的人,没有一个属性。有些情况下,Profile比任何东西都重要,他不一定对着人而是可以对着背后的数据。我们只关注到威胁情报,但是跟他对应的也许是双子的另外一个就是信用数据,这两个应该配合起来使用。可信的环境,我们的一个设备,是不是他自己的设备,他所用的是不是一个安全的网络,他用的应用是不是被人冒充了。第三方环境,第三方签名、第三方域名解析,他们可信不可信,以及帐户本身。刚才讲到了威胁情报,四大方向我也认,但是威胁情报他存在时间、空间、纬度这几个角度的丰富程度。丰富了之后,你算不算得了,你能不能够有丰富的程度。如果说你想要解决一个盒子里的问题,你在这个盒子里面再做多大的努力,你的空间纬度也是不够的。想要成为一个盒子里面的安全的最重要的一股力量,你必须要能够看到盒子以外才可以。以及配套的计算和分析能力。 另外融合的安全:我到阿里之后提出安全也会走到O2O的模式,这个已经跳出传统。以前安全我说是安全三阶段,第一是强身健体,第二个是公共环境的改善,第三个阶段是遏制对手。因为有了第二个还不够,人家有组织、有纪律有钱,所以还要遏制对手。但是在今天,至少在很多场合里面看到这三搁在越来越多的融合,在阿里巴巴投入这么大的力量来打击假货,只靠我们打击得了吗?打击不了,我们很多东西都要和外面来合作,来打击这个黑产,打击假货的发源地,打击各种各样的犯罪团伙。传统网络安全和各类社会安全的融合,这个不展开讲了,我没想到我会超时间,我觉得我会时间用不了。 还有一个安全的重心,技术的局限性我们必须要成人的,没有100%的安全。但是未来的安全的解决不能以技术为中心,而要加上以人为中心,我随便举一个例子,刚才我讲到未来的链条会非常长,里面包括人。我现在在做数据安全,数据从哪里泄露出去的,就是从人这边泄露出去的,你说这个事情我不管的,没有什么事情你不管的,安全出事儿就是出事儿。所以我们很多人忽略了人这个中心,所以在未来人这个中心是需要再捡起来的。 刚才讲到的很多未来,我们可以感觉到,其实他并没有一条线说,好,从明天开始是未来,很多事情是从现在开始就发生着的,所以我们说未来已来。我们正处在新一代信息技术或者互联网+带来的变革过程中,安全也需要及时跟上这场变革。对抗是持续的,只是位置、角度和深度会在不断变化。100%的安全依然不存在,银弹依然是梦想而已。网络安全越来越融合在业务中、融合在社会中,成为大安全的一部分,网络安全之解也越来越不再是单一领域的技术和管理问题。我们需要更加开放的思维和更加宽广的视角。 我纠合各位分享这么多,不负责任,谨供大家参考。下面第二部分,因为正好是我要主持,所以我就再罗嗦两句,就不请帅帅的锡镛上来亮相了,我们下面会进入互动,邀请几位嘉宾上来,包括等级保护中心的张主任,包括刘副主任,还有Gartner的Matthew Cheung,还有山石网科的杨庆华先生,还有安恒信息的刘志乐,有请各位上台。 大家看到我们这个组合还是很不错的,有来自等级保护的以及标准化的部门,还有来自国际最权威的信息技术咨询公司。 我刚才讲了这么多,也说多,靠任何一个单一的哪怕是公司哪怕是什么都不可能完全解决安全问题,所以一定会走到生态上面,你能不能讲一讲你怎么看这件事情,以及他和我们国家等保方面是什么关系? 张宇翔:刚才杜总介绍的内容大家印象认可,其实信息最大的安全就是不确定性,威胁的不确定性,和威胁不断的持续的变化的问题。信息安全怎么做之过去来讲头绪很多,没有一定的相应的办法和抓手。其实等级保护是提供了这么一个如何去做信息安全,如何找切入点去做信息安全的一种规范也好,方法也好。在这个过程当中,我们也是不断的发现,在云计算,在大数据,在移动互联的时代,我们信息安全如何怎么做?所以说我们首先还是从标准的制定方面,在相应的围绕着云安全,他对整个安全的生态是什么?其实阿里前期也做了很多的工作,前期刚刚发布一个安全生态的一个14家公司这么一个清单,我发现以后还是觉得只是在技术层面,找到了有一些从阀门控制,数据安全这一类的公司进入了他的生态,但是生态对云计算,他不仅仅是技术层面的,还有法律层面的,还有规范管理层面的。所以说对云安全的生态,我想我们应该从多个层面去把相应的各个方法组合起来,组织起来,来促进整个的云安全相关工作的推进。 另外一个云安全要做的是什么?其实我要讲一点就是合规性,这个合规性不仅仅是说我们云的服务厂商对自身的系统需要做合规性的检测和验证。其实更重要的一点,通过这种合规性的验证和检验之后,给我们云上的客户直接就提供了便利的,他已经合规了。这是我们等级保护过程当中像物理环境,最基本的一些基础性的能力就直接果断了,也有助于等级保护下一步尽快的推进。 杜跃进:作为主持人我一定要使点坏,不难为他是不过关的。我想问一个相对尖锐一定的问题,在过去我们更多是从单一系统来看,或者静态的数据来看。但是在今天已经不存在这样的东西了。等级保护还适用吗? 张宇翔:等级保护他也是发展的,随着安全形势的变化,随着我们威胁的变化,等级保护也在不断的进步。其实我们最初的等级保护是什么?交给大家五个基本动作,从定级、到备案,到检测,到整改,到监督,其实到了今天这个环节,这五个基本动作大部分的重要信息系统已经做了,那么下面面临的是什么?今天上午海关何司长也在说,海关下一步要用阿里云,阿里云安全如何做?现在海关安全检测合同已经交给我们了。我们现在面临的是什么?等级保护在新的形势下下面我们如何保障国家重要信息系统的安全,首先我们现在做的是什么?我们等级保护云安全有等级保护标准,从信息要求、测评要求,这一系列对等级保护安全的标准,我们目前正在制定当中。按照这个计划,今年年底能够出来。所以我们在做大量的云的测评的过程当中,其实也是对我们标准的探索和验证。其实阿里也是我们这个云等级标准重要的参与方。其实做云的检测和云的评估,我觉得应该在两年前就可以开始了,因为现在叫阿里健康,过去叫21CN,他其实也是基于云的,基于大数据的这么一个我们国家食药监管理部门在使用的信息系统,我们其实在之前已经做了相关的基础性的测评工作,包括来到杭州对我们阿里基础的环境也进行了调研。所以说我们现在制定的标准,其实是在过去大量的实践的基础上来完成的。 杜跃进:我前面浪费了太多时间,本来还有更加尖锐的来考验张主任,我就先收一收,我们开始考标准的中国电子技术标准化研究院信息中心刘贤刚先生。 刚才张主任一上来就开始说到标准,尤其做生态更加离不开标准,你作为专业的标准化的机构,你怎么看标准以及他和我们安全生态之间到底什么关系? 刘贤刚:首先我稍微解释性的有一个。今天是世界标准化日,14号,恰逢阿里信息大会。所以作为一个标准化的从业人员,又是安全的从业人员,我觉得今天这个时机特别好。所以呢,作为标准化从业人员呢,我觉得这个确实是一个很好的时间。今天我的朋友圈是世界标准日转的是非常多的,当然信息大会转的人也是非常多的。今年的主题是标准,是世界通用的语言。我觉得很有张力这句话。其实一方面某种层面上可以回答杜博的问题。生态环境的营造是一个产业发展非常核心的一个问题,包括全球,随之生态的建设者、主导者、引领者甚至是造梦者,这个是一个核心。对于原来呢,我觉得产业可能不一定具备这个能力,那么现在呢,我们可能已经拥有了全球最好的互联网企业和主流的企业,其实这个营造产业生态环境,是一件可以做的事情。但这里面我觉得很重要的一个点就是标准,就像刚才说到的,标准是世界通用的语言。那么产业界也有通用的语言。其实对标准,对安全,对防护,对风控,都有不同的认识,也有不同的方法。包括标准也有不同的家族和路线,包括ISO27001,美国推的800—53,我们国家的等保,以及风险评估,他们都有不同的路线。所以呢,但是在每一种路线下,他有一种通用的语言,大家可以按照一种路线来走。所以我觉得标准化的确是在生态环境建设方面有很多的工作要做。 杜跃进:刚才他讲了一些正面的听上去挺好的,你看我们设计前面有门卫后面有门后面还有摄像头,我开始要揭开来底下不好看的部分。标准是不是存在?现在节奏越来越快,对于标准上面我看到很多的问题,我就一股脑儿来说,要不然我又没机会把更尖锐的问题说说,当然你可以挑着答,第一标准化组织很乱,国内就非常乱,这个东西让大家无所适从。第二国际巨头做标准的时候,很多时候用他来排挤对手,未来也会存在这样的,对这种他也是带来了副作为。第三为什么在今天的大型的互联网企业,都很少参加这种标准的制定?是因为什么?是因为过去的标准模式不适合他们,还是他们没有意识到做这个标准?如果是企业参与得不多的话,只靠专业的政府或者是政府的事业单位做的标准,怎么样能够真正适合实际情况呢?你可以挑着答。 刘贤刚:杜博其实反映了现在普遍存在,也得到业界广泛关注的问题,就是标准界的小散乱。今年2015年13号文,国务院印发的关于进一步深化标准化改革方案,针对这个方案提了一个药方,针对小散乱提出放管治。刚才杜博也说了,国内标准化机构很多,其实国际也很多,国际统计以来,从事IT和ICT相关的标准化机构有3000多家,其中涉及信息安全的至少30多家,国内也的确是有很多,但是针对这个小散乱,其实改革方案里面是提出来了放管治,核心的思想就是要放开市场竞争性强,变化快,而且又属于产业界盈利或者是私有的一些技术的标准,那要交给市场,放开联盟标准,甚至鼓励和扶持联盟标准。国家标准聚焦在通用的,基础的甚至强制的这个领域,我理解这个政策文件解读。所以实际上小散乱的现象的确是存在的,但我们今年也看到,国务院发这个文,放管治,包括我们网络安全标准化机构也在研究相应的领域的政策和措施。这是第一个问题和第二个问题,我这样回答了。 第三个问题互联网企业的参与比较少。我觉得主流企业参与是一个标准生命力的体现,一个标准做得好不好,不是标准化机构说,也不是政府说,而是用户来说。所以我觉得这是一个阶段发展的必然的一个过程,因为我们的IT企业,包括安全企业,包括现在的主流的互联网企业参与了以后,整个安全界生态发生了变化,发生了很大的变化。刚才大家不知不觉都提到了传统安全厂商。其实我觉得传统安全厂商听了也不高兴,我是被传统的,谁说我传统,其实我也不传统,我也在转。说明一个产业的变革,原来提到安全企业大家觉得有点不太适合,现在代表新兴力量的互联网企业,的确具备生态营造的能力,我想这是两方面的问题,怎么样引导互联网企业来参与,使中国的标准更加有生命力,两方面都要努力。一方面标准制定的思路,按照国家标准化改革的方案做好放管治。第二方面互联网企业发挥龙头的作用,特别是发挥中国特色的作用。我觉得不一定哪一些国家的互联网企业都会参与到他们国家标准的制定工作,而中国是有可能的,中国全球十大互联网企业说4家是中国的,特别是阿里巴巴,云大会,在生态营造方面做了很多的工作,包括现在我们安标委很多的云,面向未来的大数据的标准,都发挥了很大的作用。我也希望更多的主流企业参与,这样的话使标准更有生命里。 第四个问题,我觉得这个标准还是属于放管治的范畴,属于放的范畴一定是要企业为主,甚至企业唱主角的。如果要是管的范畴,我讲各有各的意志体现,国家的安全也是不能忽视的,甚至没有国家安全就没有产业安全,也没有我们今天的这么繁荣的产业。所以我觉得如果国家层面的属于管的这一类的标准,要更多的吸纳企业来参与,保证他的科学性和合理性。面向产业的标准,就是以企业为主体,就是我参与我贡献,我用我的智慧来实现这个标准,当然体现了企业的意志,企业就应该更好的来应用他,这就是来自于企业应用到企业中去。我觉得我今天讲的可能有点美好,实际上没那么美好。所以我希望跟企业界包括我们安标委都会努力,把标准化工作做得更加让大家满意。 杜跃进:我听懂了,放管治三招问题就解决了,当然其实很难。 第三个我想问一下Matthew Cheung,作为一个全球的IT咨询公司,眼界看得会比较宽一点,我想请Matthew Cheung讲一讲从Gartner这个角度怎么看云安全,尤其是生态怎么做,国际上面主要的云的企业他们的主流观点是什么? Matthew Cheung:我就从客户角度去出发,因为我们Gartner里面大概有70%的客户都是最终的用户。我觉得云生态不能够存在先于客户的需求,所以客户的需求其实会带动整个云生态的发展。譬如说有一些客户他用公有云去做存储的时候,他其实需要加密的技术,那这个加密的技术要在哪里?如果说他是做电商,那他可能要做电子商务的话呢,他需要Wifi这一类的工具。所以基本上很多时候我觉得这个生态其实是需要基于客户本身,在用这个公有云的用途来产生出来的。当然,第一步可能就是看这个客户的需求。但是慢慢起来的时候,其实有一些可以先于客户的需求以外,再增值加上安全的工具。阿里巴巴有一个特色,本身有一个很强的电商的背景,所以其实你们在这个电商的里面,其实拿到很多的客户的数据,还有应该你们面对的攻击都会很大。所以这个里面,其实已经可以产生很多的,譬如说从安全智能方面,其实你们得到的资料,其实要比一家小的电商要多。那怎么样去利用这一些数据,变成一种或者产品或者是一种增值的服务,放到阿里云的平台上面,那这个可以是一个创新的想法去利用这个阿里本身的优势,可以去提供给客户。 所以我觉得国外来说,其实现在说安全的创新还是刚刚起步了,但是我觉得可以是利用自己本身的优势去看这个创新的角度。 杜跃进:虽然Matthew Cheung是远道而来的,我也不能放过他,一样要有一个难为他的问题。也比较巧合,我刚才PPT没讲的那个,我们现在一定要跟上这个变革的时代,所以刚才很巧合下,张主任、刘主任都讲到了等保也在变革,标准也在变革,很多人说Gartner已经过时了太老套了。在今天这样快速发展的情况下,Gartner怎么保证,因为已经不是IT是DT了,在这么快的发展的情况下,Gartner是怎么保证的? Matthew Cheung:这个问题我作为分析师,其实是看其中一块了。但是我们的业务的发展,以前可能我们的对象,都是针对这个传统的IT的人员。但是现在我们的业务也不单只是这样了,我们看见这个IT的预算,从CIO里面慢慢转移到CMO,他们也有一定的权力或者IT的需求是用在IT方面。所以我们Gartner现在也有一些产品,是针对CMO的角度怎么去去利用一些新的我们的调研,去开发他们的业务。跟阿里也非常的接近,我刚才跟几个客户去谈的时候,他们其实也不一定是IT的部门在用你们阿里云的服务,可能是他一个BU他会用这个公有云的服务。所以针对这个对象,开始慢慢的转移到传统的商业的BU的里面,我们Gartner也是重新的定位,会对这一些的最终用户提供一些IT的建议。 杜跃进:我们下面请安恒信息的刘志乐先生谈一趟,因为我理解安恒信息还是一个传统,刚才有人不喜欢传统两个字,我们都是从传统过来的,我们都干了很多年了,我自己也是传统过来的,所以不要不高兴。传统安全企业和今天,因为我也讲到,我相信在座的很多人都认可,未来一定是云的世界,传统安全企业怎么转型到云的安全市场里面来。 刘志乐:作为传统带着标签,应该也是代表了中国十几二十年传统的安全网络厂商。实际上讲传统,这个传统并不传统,也就二十年都不到。但是时代在迅速的发展,有的时候变化他不是来自于你自身,而是来自于环境。在这个变革日新月异的时代,你如果不革命,我经常讲人革命要么是自己革命,要么就是别人革你的命。但悲摧的是,很多时候都是自己没把自己革了,然后别人把你革了,从我们中国历史朝代上基本上都是这样演变的。所以作为安恒呢也比较幸运,我们成长得比较短,到今年也就才8年。所以在这么迅猛发展的时代里面,我们也在思考,我们还是抱着传统的这些盒子去继续走下去?还是说我们要积极的拥抱变化,我们要跟这种云的时代共同发展。那这个时候,实际上我们本身自身在思考,同时市场也在逼着我们在思考。因为我们有很多客户,他们已经迁移到阿里云上面。有的是私有的专有云,有的他已经在公有云的阿里云市场上,他有强烈的安全需求。那这个时候我们还去拿一个盒子去给这种客户的时候,你都没办法给客户部署,你部署在什么地方?阿里都会让你部署在他的网络环境下面吗?做梦,不可能。所以就逼着我们要去变革。可喜的是,阿里他也开放了这样的环境,他并没有说自己要把这些所有的安全,我全部把他做掉。在这个情况下,实际上我们大家也知道,在9月23日的时候,我们和阿里达成了战略合作,今天是第22天,但是这22天,实际上也让我们在思考,我们的产品在这短短的22天里边,已经有70多个用户在使用,已经有好几个用户在买单,而且我们已经有了将近上万元的收入。你可能觉得这个上万元的收入和传统的2B一单下来就是几十万是没法比拟的,但是大家不要忘了,阿里云上面有几千万或者是未来有更多的这样的常尾用户,这个用户每个月都给你600元或者1000元的时候,你去看你的未来的市场,和你现在一个安全企业很苦很苦的,一年做个什么几亿就恨不得了了,能做超十亿的,基本上主营不全是安全。我不知道这样回答杜总满不满意。 杜跃进:我本来也准备难为他一下,但是考虑到刘志乐非常的有爱心,知道我们直播后面可能有未成年人,非常注意自己的语言,就先放过你了,但是其实不这么简单啊,我们大家都知道要转到上面,但是这个问题后面有很多的挑战,安恒是有自己的领域,其他的传统安全企业也有自己的领域,每个领域赚得时候都不一样的。 最后请教一下山石网科的杨先生。山石更像一个外国公司的名字过来,你觉得你们公司在转型或者云计算结合的时候,比如说和安恒信息有什么区别吗? 杨庆华:其实转型就像刚才安恒的这位先生说的,你是被革命还是革命。山石网科从成立开始我们一直做安全网关,很多渠道对我说你们的产品就是两个字傻、快,快的概念就是速度高,但是在云计算在数据中心上你跟不上数据的发展。我们也曾经发布了很快很快的防火墙,到现在最快的防火墙,但是你跟云去比没法比,这个时候我只能去变。我要把我的产品放到云上,但是你会发现你的产品放不进去,因为云上根本没有你放的地方,怎么办?我们要先干的第一件事情,这里边我要替传统安全说一句,什么叫传统安全厂商?所谓传统安全厂商就是用传统理念或者传统概念说我要去部署我那些盒子我们叫传统安全厂商。现在我们要把我们的安全技术和安全防范手段在云上部署,所以我们首先要感觉的是把这些技术和概念部署到云说,所以山石在前天去上线我们叫云界,非常可喜的看到一天时间32个用户上线。所以变革除了技术的变革还有安全理念的变革,经营理念的变革。我们过去做销售都是去拜访一个一个去做,持续几个月半年,而现在看一天32个客户,这是过去不可想的。这里边对于一个厂商来说怎么去经营,怎么去维护,怎么去包括后边的服务都是很大问题。 再一个问题,在云上的时候,你的思路要发生变化,第一个是说我怎么去部署,第二个问题是我为什么人去部署。不同的租户,我一个公有云为租户去部署,这是一个方案。但是等保里边一个一个环境之间去计算的时候可能要用另外的东西。所以我们谈云计算安全,不能只谈所谓的云计算安全,你要想你为谁来提供安全,这是我们说所谓传统安全厂商你要完全从技术的思维方式,包括从经营方式上的变革。 杜跃进:不过我还没有太听出来,你觉得你们这边和安恒那边有什么区别吗? 杨庆华:理念上没区别。 杜跃进:一个是防火墙,现在虚拟化以后上云了? 杨庆华:对。 杜跃进:还有别的吗? 杨庆华:其实我们提供的是一个针对于租户安全,或者是针对与虚机间安全的架构。在这个当中把防火墙、防控制、防病毒等等都可以布置,不能当做某一个产品来看待。 杜跃进:无论是山石也好,还是安恒也好,只是我们安全力量的一部分。大家注意到我基本上没有难为产业界朋友,因为我现在也是产业界了,其实并不是这个原因。因为我们真的是离不开产业界,没有我们产业界的发达、发展,其实安全是做不了的,没有这些安全企业发展壮大的话,我们只能说一说,你只是在说而已,最后的问题要留给产业界的朋友们来解决他,所以安恒也好,山石也罢,还有很多很多其他的安全企业,其实我们都期待着能够在这场变革里面跟上这种脚步,然后能够来解决我们云环境下未来的网络安全挑战。 我还有五分钟的时间,我想从各位这边征集最多两个问题,我不知道有没有? 提问1:我来自于传统安全厂商,刚才听安恒和山石二位的发言,我觉得理解上有一些偏差,刚才二位都带讲传统的盒子怎么上云的事情,但是我的理解更多的我们可能会同意Gartner的概念,云上的问题可能安全的问题已经转变了,防火墙也好,还是别的也好,比如说云盾已经提供了。那么这里面还是我们的防火墙的问题吗?还是我们的IPS的问题吗?是不是在云上有另外的安全问题?他会不会有另外的安全需求? 杜跃进:下次你来主持,逼我尖锐,我觉得其实很清楚,请产业圈谈一谈。 杨庆华:我们说云上会带来更多的安全问题,和传统的网络层面上,包括应用层面上的安全问题是不一样的。比如说在虚机间等等这样的问题。但是现在我们先要解决的,是我们怎么样能在云上把我们原来无法去实现的一些比如说东西向流量的监控,东西向所有的流量我们能看到,我们首先看到流量之后才能分析出问题,而怎么样看到这个流量。所以我们在做的事情是我们通过一套架构,部署一套东西之后去看到这些流量,然后再干后面的事情。我们先看到,后边要分析不是山石一家能做的事情。分析之后,让他所有的流量可视、威胁可视,怎么去控制他,那是整个产业界的事情。所以先要干的第一件事情是我们怎么样先看到流量。 杜跃进:我加一点小的评论。 张主任:刚才说了问题就是安全划分的问题,在传统的认为上了云之后云的机制能解决一些问题,但是传统的威胁一个没说,另外还产生了新的数据安全的问题。所以传统的安全需要传统的方法,以新的思路、新的技术去解决。但是我们更多的刚才你讲云盾,他可能是做云平台自身的安全防范按照要求,但是做不同的安全需求的时候,为什么要说安全生态,其实安全生态就解决了我们不同责任方,或者说运营方,管理方不同层面的安全责任如何去解决去落实的问题,这个问题落得确实非常好。 杜跃进:我也想加一句,因为我是主持人有点特权,我想说的跟张主任讲的有点类似,因为这个问题是来自Matthew Cheung提的,生态应该是从用户需求出来的,不能够自己想象出来的。但是我同意张主任讲的,如果是真正的需求的话并没有少,只是你不能片面的理解这个需求,说我需要的一个防火墙盒子,这并不是一个需求,防火墙背后的需求依然是还在的。只是挑战的是背后的路子都走不通了。 刘志乐:我刚才也想讲这个话,传统的安全问题并没有云的时代来临就没有了,实际上还产生了新的。但是新的还没有解决的时候,我们先把老的先在传统的变革的时候,因为不是到了云环境下,他这些就把过去,比如说你的内部的审计啊,比如说安全的审计行为,运维审计,数据库审计等等其他的行为,到了云环境下他就全没有了,他还是存在的,甚至还有其他很多传统的安全问题。我想讲的就是这个。另外的话,云盾首先是保证他自己整个云的自己的整个安全,同时他也可以给他的云上的客户提供一些最基本的一些安全。但是实际上就像今天上午主会场上面潘建伟院士讲的一样,安全作为客户来讲他相信马云,但是有的时候更多还是需要相信的在这个环境里面,除了阿里平台自身,还需要其他的一些厂家一起来共同第三方大家来为客户提供真正的他的安全的需求。 杜跃进:这个问题提得非常好,所以大家都很踊跃,我自己就犯了一个错误,刚才不应该承诺两个问题,我已经把时间用完了,但是我还是遵守承诺,各位除非你们愿意不问题的话,那就算了。谢谢各位配合,谢谢各位,谢谢各位嘉宾。 主持人:非常精彩的一个互动环节,这里面其实有很多的问题都没有展开,我相信大家还是会觉得意犹未尽。但是让我意犹未尽的是,我在微信群里面已经举手了很久,一直没有看到大家很尖锐的问题提给我们嘉宾。 刚刚谈到了生态,也谈到了很多希望生态来做的事情,我们先把这个话题去压一下,大家去想一想,大家脑子当中的安全生态是什么样子的,我们先有请我们下一位嘉宾,来自于我们阿里巴巴集团的安全研究院吴翰清先生,他会为大家带来什么呢?大家提到了云盾到底在做真正?未来他会做什么?他会为我们业务的稳定性,为我们业务的高可用带来什么样的利器,下面有请吴翰清先生。 吴翰清:大家晚上好! 好象是在直播对吧,所以不能随便说错话,说出去的话就收不回来了,所以说的话就肯定会兑现。 安全场非常的火爆,这让我有一点点意外,因为我本来今天轮到我上台的时候,我只需要对着摄像机说就行了,没想到后面还有这么多站着的同学,非常感动,也非常让我兴奋。因为我进来就听了五分钟,就听到了台上这么多在座的嘉宾的精彩的分享,然后还听到了很尖锐的问题。 我首先听到第一个主题是变革,包括来自安恒信息和来自山石网科的两位嘉宾都谈到了他们今天怎么样从一个线下传统的市场转到线上云的市场,去拥抱一个上线了这么多天,然后只收了一万多元钱,这对线下传统公司是非常痛苦的。所以我今天听到的第一个关健字就是变革。关于生态和云盾,待会儿方兴会做阿里云生态方面的分享,他会更加清晰的去阐述我们今天对待安全生态上的想法和战略。我今天在这里还是想简单的回答这样一个问题,我觉得在今天根本就不是一个云盾和生态的关系的问题。简单来讲,今天云盾团队不到200个人,我们未来几年的发展也不会有太多的人。我们怎么可能通过这么样一个团队,去满足整个互联网的安全需求呢?这是不可能的。 所以从另一个角度来讲,云盾真正想做的事情,只是去解决整个平台上,如果100%的客户都需要的一些需求,那可能是云盾需要去做的事情。但是如果是涉及到一些垂直行业的需求,那可能就是各个厂商和生态他们自己的一些生存空间。同时我还想讲的一点是,对于云计算来说跟传统厂商的关系不是一个升级的关系,云计算对于阿里云来说,他和传统IT的关系不是一个升级关系,他是一个彻头彻尾的替代关系。所以云安全对于云盾来说,我们希望在未来去解决大量的谱世的安全需求。所以今天很多传统的安全厂商今天在做的网络的基本攻防对抗的事情,在未来的安全领域需要再进行升级和替代,需要更多的解决用户业务安全的问题,今天这些问题在整个行业里面都非常非常少有厂商在做这样的事情。可能这个才是未来安全最大的一块蛋糕,这是我的个人的一个看法。 所以我今天其实想跟大家讲一讲,分三部分,我首先想跟大家讲一讲,我们是谁?然后云盾到底是做什么的?因为可能在座的不是每一个人都了解云盾到底做了一些什么事情,以及我们是怎么来的,所以我先用比较简短的时间跟大家简单介绍一下。 在2005年的时候,阿里成立了一个安全团队,这也是我们这个团队的一个前身,所以我们是从2005年的时候开始阿里正式有一个专业的团队来做一些内部的一些安全工作,包括像一些反黑客入侵,包括代码的安全。一直到2011年的时候,经过了六七年的发展,我们正式的随着阿里云推出了我们的云盾系列的产品,这个时候我们的内部的先进技术在内部的积累已经相当的成熟了,我们希望把自己安全的能力和经验分享给更多的客户,所以通过阿里云这个平台,以云盾这个平台为载体出了一系列产品。一开始上线的时候有三项,DDoS防护,主机安全防护,Web漏洞检测服务。一直到了2013,我们越来越安全需求通过云盾得到了满足,同时保障了云盾,同时解决了用户的安全需求能力。到了现在,我们在7月份的时候,我在阿里峰会上发布了这个产品就是态势感知,我们现在在公测,很快我们会把公测去掉正式对外去掉。在上个月我们做了一个决定,我们集成了所有做大数据分析的产品,能够感知用户的状态,能够预测未来趋势的产品,我们决定把他免费掉,这是我们在上个月做了一个非常重大的觉得,我们免费推出一款产品,帮助用户看见他原来看不见的一些安全产品。因为我们认为每一个用户他做安全服务的第一件事情就是需要知道他现在的安全状况到底怎么样。 云盾到底要做什么事情?简单来讲,首先我们认为安全是一件非常专业而且非常复杂的事情。今天我们可以看到在很多第三方的监测机构上面有非常多的安全漏洞,即便阿里今天在安全上投入了超过一千人的团队来做整个大平台的安全,但是我们今天仍然会面临非常多的和非常艰巨的安全挑战。其实可以看到,安全他是非常具有专业性和复杂性的。我们没有办法避免一个漏洞都不出,但是我们需要去做好的是漏洞的管理和风险的控制。所以专业的事情应该交给专业的团队去做,云盾也是为此而生。然后我们看到从IT到DT时代,因为云计算他会带来一个我们重新定义和改变整个基础设施环境的一个机会,也是因为有了这样的机会,很多安全的需求和安全的场景就会发生变化。举一个简单的例子,为什么在过去所有的传统的安全厂商,他们会更倾向于在边界处去卖一些安全的设备,今天看到很多的厂商他们的产品形态都是以卖硬件设备为主的。除了等级保护要求规定之外,还有一个非常重要的事情,在一个托管的IDC环境里面,其实是没有办法在服务器当中去预装一个软件的,这是因为运维团队一定会担心,额外预装的一个软件会带来额外的风险,他会跟你说这件事情非常难。但是今天在云计算的环境里面,我们通过预装进项,通过自定义进项,是可以实现软件的预装,这在软件上会带来非常的平滑。所以这带给了我们在产品形态上新的一些变化。在网络的边界处使用安全设备,会带来一些弊端,比如说主机上的风险,有些风险是只有你的软件装在你的硬件内部才会看到的,这会让我们今天在云计算的环境里面有机会看到一些以前看不到的东西,所以这是我们看到的一个机会,随时云计算而诞生的。最后云盾的定位他只是解决所有用户都有的基础的攻防类的需求。我们也可能会做一些针对行业的解决方案,但是这是阶段性的,真正的定位是针对海量用户,把更多的空间留给生态合作伙伴去填补。 云盾的使命是建设更安全的互联网。我们的愿景是希望有一天能够成为整个网络空间的基础的安全设施。 这是云盾的产品大图,这也是我们到现在为止第一次比较清晰的划出云盾的产品大图,其中绿色的产品是我们现在今天已经有的产品,蓝色的部分是在下半年我们即将推出的一些新的产品。所以这也是第一次我们把整个云盾来看整个安全行业,它的视野分成了这么六个部分。这代表了我们在安全这件事情上的理解,代表了我们的世界观。 所以大家可以看到,其实这里面是没有应用安全的,因为我们希望把应用安全在网络层面去解决,和在服务器安全层面去解决,所以我们会有一个网络安全的分类和一个服务器安全的分类。然后我们在今年会发布的三个新产品,第一个是数据层面有一个数据审计产品,在业务安全产品会集成案例内部的一些风控产品,正是对用户推出一个反欺诈产品。然后在安全管理方面,我们还有一个新先知计划,帮用户做一个漏洞管理产品。 我们有了这么多产品,在今天云盾每一天是怎么样渡过的呢?首先我们每天会防御超过一千次的DDoS攻击,我们每天已经防御了超过一千次的DDoS攻击,同时我们每天Web系统成功拦截300万人次的攻击,识别检测隔离到超过10000个木马后门,高危漏洞用户授权我们是不是修复他的高危漏洞。所以云盾的每一天在海量用户的场景下我们达到了这样一个程度。 这是我的团队小伙伴们,不到200个人,这里人也不是特别全,这是我们最近一次团建的照片,其实我们是一群非常有理想的人,我们希望能够建设更安全的互联网为使命,最后成为整个网络空间的基础设施。 我们最近发布了云盾看到的DDoS的趋势报告,是来自2015年Q3的趋势报告,接下来我希望是每一个Q都发布这么一个DDoS报告,在这个报告当中看到很有价值的东西以及给大家提供安全的参考。 首先我们可以看到大流量的攻击变成了一种常态。在7月份的时候我们发现有一个攻击的跃升,这两跟柱子,蓝色的是超过50G流量的攻击次数,红色的是大于100G的攻击的次数,在7月份的下旬有一个突然的跃升。所以大流量攻击在今天已经成为一个主流趋势,这是什么原因造成的,我们内部推测,这是一个猜测还没有100%证实,我们从数据看到,以及我们抓到的数据其实是看到有这么一个趋势,很可能是和学生放暑假有关。我们看到今天很多的黑客,有一个低龄化的趋势,有很多在进入黑产和制造DDoS攻击和僵尸网络的攻击都是高中生、大学生,所以一开始放假开始接单了,他们不用考试了。 第二个趋势还是和往常一样,游戏行业仍然是整个DDoS的一个重灾区,遥遥领先其他行业。在企业官网里面金融行业占到了大多数。 第三个核心发现是,攻击来源最多的国内是广州,国外是越南。从数据来看,越南整体的网络状况是非常糟糕的,他们国内的安全建设非常的差,所以也是造成了越南成为一个DDoS和僵尸网络肆虐的重灾区,我相信国家在这个方面的掌控力度有所下降的话,我们也会面临像越南这样的窘境。广东为什么这么高?是因为在DDoS黑产这个领域,在广东是最活跃,广东有大量的闲置流量,所以黑产会利用这些闲置流量在全国发起很多的DDoS攻击。这是我们看到的这些数据。 还有一个趋势,超过70%的攻击,是在0—30分钟之内,也就是说他的攻击持续时间不会超过30分钟,我们推测这是因为现在的攻击他的成本非常的低,然后他的见效非常的快。同时如果他持续时间过长的话,对他来说也是有非常大的成本的,因为每一次僵尸网络发起攻击的时候,持续时间过长他的数据量会持续的去损失。这对于我们防御来说这意味着什么,也许你挺过30分钟你的网站就没有什么太大问题了。 我们观测到的最活跃的僵尸程序是后门叫比尔盖茨,然后国外有一些安全机构监测到最活跃的后门是XOR。这是因为比尔盖茨这个后门在很多网盘很多论坛自由的传播,他又能够实施一种全方位的攻击,各种攻击都能够打出来。同时他本身他这个后门非常的隐蔽,比较难以查杀,本身不破坏性,他的传播是利用一些其他的一些漏洞,他本身不是一个漏洞利用程序。所以这也是造成他隐蔽的一个原因,比如他利用一些暴力破解,暴力破解之后程序会把这个软件部署到SAe。 还有一个很有意思的,来自移动端,也就是来自手机平板发起的攻击,占到了30%。所以接下来,我们可以看到刚才我们在外面也看到阿里钱盾和聚安全的站台,今天DDoS发起不仅仅是来自PC和服务器,也有来自手机的,这个木马的检测,这个后门的检测我们今天是缺乏足够的手段去保护我们移动设备的安全。今天的数据看到已经是30%,我们预测在未来还会持续增加他的比例。 所以前面谈到了的这么多都是我们来自DDoS的一个观测,我们认为DDoS的需求正是一个网络空间的一个基础的安全需求,他在攻防层面是处于网络底层,所以我们看到我们今天要解决这个问题,我们要怎么样去解决?所以今天还有一个东西是在第三部分我需要跟大家分享的。我们可以看到,DDoS防御的痛点。首先第一点大家会觉得他非常非常的贵。为什么贵?DDoS防御贵的地方是在于今天我们的带宽非常的贵,我们单米一个DDoS设备是不解决问题的,原因是DDoS他的瓶颈是在于机房的出口带宽,所以你的出口带宽是需要通过运营商去拿的,这个时候DDoS攻击达到100G、200G,你不可能储存这么大的带宽储备,这对于你正常运营只需要1个G或者500兆是非常贵的。所以在DDoS解决方案里面,今天的大多数厂商都是在做军备竞赛。在去年12月份的时候,云盾成功防御了全球互联网史上最大的DDoS攻击453G,当我们PR出来的时候,发现很多同行业的友商都非常紧张,今年就出现了各种奇葩的军备竞赛。在我们内部看来,这种军备竞赛实际上是不健康的,然后他是不是真的只有靠这样的带宽的军备竞赛才能解决我们的DDoS问题呢?我们在经过很多的学习和调研之后,发现其实不是这样的,我们完全可以把这个军备竞赛给去掉。同时今天很多用户的业务他是存在单点风险的。我们很多用户说今天把业务切到CDN里面,但其他CDN大部分是解决静态图片和静态文件的加速,并不能解决动态的问题,所以动态的业务仍然是单点的,云防护厂商他今天是能够解决动态的问题,但是我们看到像某些友商,包括我的老东家安全包,他更多还是网站类型的业务。还有最后一个问题问题我们通过军备竞赛拿到的带宽通常不是质量最好的带宽,这个问题对云盾的高防的解决方案也是类似的,我们今天的解决方案是单线的。 所以我们今天能够有一个产品,能够彻底解决掉这些问题。我们能够不再去做军备竞赛,这就有了一个安全网络,这是我们今天向大家分享的一个新的产品,我们今天正式的发布云盾安全网络。这是一个产品名,因为他承载了我们非常大的梦想。 什么是云盾安全网络?简单来讲安全网络就是一种安全可靠的接入服务,我们希望能够通过为用户提供不同的节点,来提供安全稳定和快速的流量。所以,简单来讲,我们希望无论你是手机还是电脑,都能够通过我们的安全网络,最终来访问用户的业务。 他会具备三个特性,第一个是安全,我们希望在这个网络里面同时去解决DDoS的问题,同时解决掉资源问题和Web攻防问题。同时还能够非常的稳定。今天我们是在阿里云的机房杭州北京深圳都建设了我们的节点。所以用户可以自由的选择,未来我们也会有更多的节点,包括我们会尝试利用起我们的CDN网络的节点。他的整体可用性会达到99.99%,同时核心模块的技术会马上经历双11的考验,今年的双11将会是阿里史上最大的双11,也承载了整个国际化的梦想。最后就是他所有的带宽都是通过BGP网络接触的,在访问速度上毋庸置疑。 为什么他能够不搞军备竞赛就能够解决DDoS的问题呢?我们通过跟客户学习,同时我们也积累了一些数据,我们发现DDoS攻击的转移是具有一个时间成本的,我们观测上DDoS的转移一次时间是10分钟左右,所以我们在现在的安全网络里面,是通过分布式的节点去解决用户的DDoS的问题。简单来讲,所有的用户需要把他的流量切到我们数百个节点上面,其中一个结点被DDoS攻击的时候,就把这个节点所有的流量均匀分配在另外一些节点上,跟攻击者做捉迷藏的游戏。我们会提供多种接入方式,目前我们希望更多的是通过SDK的方式,我们希望有很多的手机的APP,以及游戏的客户端能够接入我们的SDK,目前也已经有了非常多的成功案例,在使用我们的解决方案来解决他的问题。我们通过解决方案通过这张网,所以在下面会有一些云防护的系统,今天我们可以看到在这张网上解决了DDoS的问题,解决了WAF的问题,解决了CDN的问题,未来可能会有更多问题需要在这张网里面解决掉。 这是大概的一个界面,我们会提供各个客户端SDK的接入,同时我们会让用户去配置他的应用和分组,对于游戏的客户来说,可能他非常容易理解,它的战斗服务器,或者他的跟踪服务器就对应安全网络的服务组。 我们会提供安全灵活的报表,最重要的是他的售卖价格,我们的单节点IP,每一个IP是100元一个月,然后是9个起买,比如说你想买2个IP我们不卖,因为我们整套系统的理念就是基于分布式的一个防御的对抗。然后每个月免费100G流量,超出部分0.4元/GB,大家可以算一下,今天很多用户100G每个月是完全可用的,用户能力强一点完全可以把静态流量分馏到CDN去,这样动态流量是非常小的,很可能你每个月的流量成本是零。最后我们还和今天云盾的高防产品进行了互动和打通,所以我们有高防套餐。 我想分享一个用户使用安全网络的案例,在平台上有这么一家电商客户,的攻击非常非常频繁,一个月DDoS攻击达到了161次。基本上每天都有那么好几次的DDoS攻击,最高峰值达到了22.71GB。我们看他是怎样来使用我们的安全网络的?如果他使用云盾的高防IT产品的话,他需要买一个高防IP,单线路是1.68万元,高防是3万多元,然后他买了20个节点,2000元,他流量没有花钱,我们免费送了他100个G,完全够用。所以他最后原本需要花几万元要解决的问题最后花了2000元,这就是电商客户他今天在云盾网络上真实的使用情况。我还有另外一家公司,他是一家网游公司,之前每个月在阿里云盾上使用高防IP,他要花18、19万,今天用了我们的安全网络解决之后,他的使用掉到了3万。今天大家都在谈变革,云盾自己也在革自己的命,我们今天把我们的用户需要的费用直接降低了一个成本,这是非常要有勇气的,因为对于云盾高防这个业务是云盾今天最赚钱的业务,但是追求利润最大化不是我们想做的事情,哪怕我们在DDoS高防这件事情卖到了一千万一单,可能也不是我们今天想要的,所以我们今天很有勇气把自己的命革掉,希望更多的用户通过我们安全网络来给他的业务提供更好的保驾护航。 大家可能会觉得你又有高防又有安全网络,这两个产品到底有什么区别呢?其实他的定位还是有一些区别的,对于高防IP来说,他的单价高,但是他的SIA也非常高,非常适合对于金融这样的可靠性极高的行业。当一个用户在金融网站进行一笔交易的时候,背后代表的就是上百万的一个交易,所以这个交易是不能够有损失的。但是对于更多弹性比较强的业务,比如说像游戏、手机APP,电商,他允许有一定的弹性,所以他其实可能更适合于一个性价比和更具有弹性的解决方案。这就是我们今天我们会推出云盾安全网络的一个原因。 所以到最后,其实今天我讲的只是今天安全网络的一个现状,但是我们未来要到什么地方去?其实未来我们看到的未来,在我们的构想中,是希望有没有这样的一张网,他天生就隔绝了所有的攻击,大家看到今天我们在阿里云上去买我们的ECS,去买我们的RDS,我们接入了一个网络,但是我们今天就在想,这个接入的网络应该是什么样的一个网络?我们希望他是一个隔绝了所有攻击,他天生就保证安全的网络。所以这是云盾安全网络最终追求的一个目标,我们要建设一张这样的网,他天生就没有DDoS攻击,天生就没有Web攻击,我们希望在未来把DDoS做没掉,这是我们真正追求的东西。所以今天我们才刚刚起步,云盾安全网络我们希望他是一个充满想象空间的,能够解决网络安全的基础设施,最终我们以接入服务的方式去对用户提供服务。最后这个二维码大家可以扫一下,可以看到更多的关于我刚才讲的DDoS的趋势报告的一个详细的报告,以及对于云盾安全网络的介绍的一个H5的页面。大家愿意帮我一个忙的话,把你们扫到的东西分享到朋友圈,然后再去谈一谈今天我站在这里对于大家分享的安全网络他是一个什么东西,他是一个充满黑科技,充满想象力的一个安全网络。 主持人:我相信大家通过吴翰清的介绍,明白了云盾的过去,明白了云盾的使命以及云盾的未来。大家也看到云盾未来的使命当中,我们弹性安全网络这样的一个产品,开始深入的把安全和业务进行融合。这样的一种变革,是我们未来的一个技术IT的力量。但是针对很多用户的细分需求,针对我们垂直行业的用户要求,包括合规的要求,我们最好的解决方法是什么?我相信所有的云的厂商都给出了一个集中答案,就是靠生态的力量。其实我今天在这里直播我突然想到一个词儿,大家说了很多传统安全厂商,在座很多的友商听上去有点不舒服,但是又说不好有什么不舒服。我想到一个词,可能比传统更适合,就是经典。大家去想一想,早在以前古典时期和浪漫时期的只有,贝多芬和莫扎特都是通俗音乐,所个人都知道,但是到现在大家都在听,你可以走经典的路,也可以走新锐的路,安全是什么?就是一个土壤,能够长出不同的厂商来,让大家都有利可图,让大家得到不同的价值。早在7月份的时候,也是由方兴告诉大家我们对云安全的态度,今天我们也是邀请方兴,更进一步的讲清楚我们生态开放的策略,我们的方法,以及我们的目的,以及后续的策略。有请方兴。 方兴:各位嘉宾,晚上好! 今天来到这里讲,我压力挺大的,特别还有这个直播。因为今天我一进来,有一位女士就对我说,你穿得太糟糕了,然后大家也还记得9月23日我们跟安恒的战略会议,拍了一张照片,放出来,然后说,最屌丝的就是你了。因为以前我可能不太注重这一块,因为我以前主要是讲技术的,现在到阿里来了,我们更多的是讲生态,更多的偏向黑技术这一块了,所以对我着装的要求更高了,所以我以后要注意不断的改善。 今天跟大家讲攻坚生态、共享市场、共筑安全梦,也是承接了台上很多嘉宾,包括前面对我们的一些疑问,我们整个安全生态载运上面我们的安全,如何集合这么多安全厂商安全产业同仁的力量,我们一起打造一个安全的云,为中国的未来互联网的基础,IT的基础建设来构造一个坚实的安全基础。 在这一块首先我们对云计算,安全的角度,云盾更多的时候,单纯从技术上面很多的讲计算×数据,把数据放在一起,我们通过合并在一起的计算来降低成本,实现弹性。但是如果更广阔的去看,我们可以看到云计算还有信任和安全的问题。而且信任的问题是远高于安全的,我是这样理解的。我们经常在云计算去给客户说我们可以把数据放在云上面,我们拿来说的是银行,但是我们银行我们可以看到,银行首先要信任,而且我们发现云计算上比银行产业有更多的信任上的要求,因为银行当我们把钱存在银行里面的时候我们是没有隐私的需求的,我有多少钱存在银行,他最后只要把利息给我就可以了。但是在云计算上还有很多用户隐私的数据,在这个时候,我们不仅是要保证用户数据的安全,而且实现,还得保证用户数据的隐私。不仅仅保证用户数据被攻击者给窃取,还要保证我们自身作为安全厂商让用户相信,我们没有在用户授权的情况下他的数据是安全可靠的,就是我们也不能去拿到他的数据的,这是对云计算的挑战。虽然说云计算对比银行安全信任的挑战,他更像银行的保险箱的行业,你所进的东西都不知道是什么。但是云计算上面业务数据不能封死在上面,还要运行。在这样复杂环境体系下面,我们怎么构建让用户信任又安全的保证呢?所以这是云计算最大的挑战,我们要让云计算发展成互联网的IT的基础设施的时候,我们就必须要解决信任和安全的问题。 那在这个当中,我们可以看到未来,从整个云计算的发展上面,目前是公有云是最终的目标,但是早期更多的在专有云上面,未来的一个趋势还是在混合云上面。那么在这种每个云的上面我们都可以看到,事实上他对安全的需求是不一样的。那在公有云上面用户追求的是业务的可用性,数据的完整性,数据的机密性,隐私的保护,以及各种各样的业务安全的问题。在专有云上面,相对是可控的环境,追求更多的是保证安全合规,对安全威胁的视图是可视化的。在混合云的时候更多的会考虑我怎么建设一个整体的域安全管理的体系,我的安全是要统一运维的,我线下我的专有云可能用了某一款产品,在策略上面公有云上面找到对应的保证我安全策略的一致性。这么多复杂的安全的需求,存在在这里,像刚才杜博士在前面讲的,未来在云上的安全是非常非常复杂的,他不可能是由一个厂商独立的去解决云上用户的各种各样的个性化差异性非常大的安全问题。 从这个角度去看呢,我们怎么划定这样的,我们云平台厂商跟安全生态之间的责任?这是非常重要的这样的一个划分点。一个来说从云平台厂商的责任,他要保证云平台底层他的安全性,他的整个的架构、设计是安全的,整个的编码是通过了像SDL这样的工程保证,构建信任的可渗基的隔离的访问控制的机制,来保证这样的一个底层的安全性,包括防止攻击者从虚机逃逸到物理机上面去。还有一块在我们看来,云平台还有一个云平台厂商的责任,他要保证一个云平台的基础安全防护,这一块责任更多的是整个网络的可用性,我不能因为他的稳定,不能因为一个DDoS这样的一个攻击大致了用户整体的网络的稳定性。整个的业务系统在各种环境下面,包括物理的这样一些环境,包括光纤被挖断之后的可稳定,以及对平台的合规以及环境的净化,因为很多平台都会有攻击者利用资源优势作恶,我们能不能监控到达规模的攻击,保证我们整个云平台安全的防护是可控的。同时还要做很多安全的兜底的工作,因为我们底层架构设计得再安全,系统都是有安全漏洞的,攻击者还是有可能通过安全的漏洞去突破,拿到底层的物理机上的权限去逃逸他,再好的安全架构也不能保证。还有大量的虚机被同一个黑客组织大量的控制,这样大量的安全的风险我们是希望能够监控、能够发现,能够对他进行处置的。上面有用户的个性化的安全,他自主的产品,他虚拟网络安全的,虚拟数据的安全,用户对自身合规性的要求,用户的系统他要求可以审计。所以我们要保证用户自主选择的权利,他可以选择我们也可以选择第三方厂商。特别是各种各样复杂的需求,我们不可能保证用户所有的层面,需要更多的安全厂商提供更多安全的保护,让用户去选择充分保护用户的隐私与自主选择权,来去赢得用户对我们的信任。这个时候我们需要第三方的厂商进来,我们最重要的责任就是要构建这个云平台厂商来构建一个安全的生态,提供给用户去选择。 在这个当中我们可以看到云用户安全他需要的包括了很多东西,首先来说有第三方的产品,各种基于网络的主机的和他的管理的各种产品。还有第三方的服务,包括前面等保证四的咨询的服务,SssS的服务,MSSP的服务,人工分析的服务,运维的服务,加固的服务。还有第三方开发者能够根据需要开发定制开发,特性API,用户数据分析等产品。我们希望这三个方向都有各种厂商参与进来,提供防御的安全体系。 阿里云安全生态的定位。云计算是DT时代的基础架构,但是安全是云计算发展的基础。所以说这一块没有什么说的,我们必须要把云计算的安全的问题给解决好,才能去发展云计算。我们也看到我们阿里云要成为世界级的云计算平台,我们未来是要跟亚马逊跟微软在国际舞台上竞技的,我们要跟他们竞争的,希望能获得世界级整个的这样一个面向国际的这样一个市场。所以说在这个当中,信任、安全、合规就是我们阿里云要解决的目标。生态战略要围绕这么一个目标的话肯定是阿里云不二选择,安全问题复杂性用户自主选择性隐私保护,要求我们必须通过生态的方式去解决用户在租户层面的安全的问题。 这里就可以看到我们云安全生态的这样一个定位,在阿里的云平台上去建立一站式的解决安全的问题,我们更希望的是,从用户的角度和厂商的角度,我们建设成为一个桥梁,把云安全生态成为一个桥梁去提供。从用户的角度来看,他需要什么呢?首先他需要一个方案的完整性。各种行业他根据不同的规模,它的业务环境,都有满足对应需求的产品服务和定制开发,他都能够在云上面找到我需要这种产品,云上是有给我提供的。同时他有选择的多样性的权利,他可以根据自己的偏好,可以根据自己的专有云或者私有云IT环境部署的策略的要求,所以说这种要求必然是由多个厂商来提供,假设他要选择A产品不能是独家的要多加的,他能够基于各种条件去选择他。另外一个是可集成的管理系统,各家产品的接口是统一的,便于用户管理运维,并且集成后续的数据分析来提供服务。另一块从第三方角度,他需要一个更大的市场规模,从目前来看我们公有云是一块,未来我们有专有云、专有域,我们有没有很好的机制把上云的产品不仅仅是同向公有云的市场,还有阿里的专有云来未来覆盖的混合云的市场,给厂商提供更大的市场规模和空间。另外一个线上推广,降低销售成本。数据集成,和多个产品配合解决用户问题。我们都知道中国一直没有做起来的,各个厂商都不愿意去统一遵循的标准,我们是希望打破这样的壁垒,利用我们云计算的优势,为用户创造价值,也是为厂商真正的创造未来。另外一个就是数据视野,因为每个厂商他只能看到他自己的数据,但是在云计算上面我们有更多的全局的数据,在不违反用户隐私的原则下面,我们能不能把这些更多的数据的视野去开放给这些厂商,加快他产品的改进,帮助他能更好的去为用户服务,这是他的需求,也是我们希望云安全生态能够做到的目标。 所以我们云安全生态首先选择了在用户层安全这个层面上我们是全面的开放,因为用户层安全我们必须保证用户的隐私和用户的自主选择权力。在这个领域当中我们开展的领域是技术安全领域,包括安全检测、网络安全、主机安全、数据安全、应用安全,安全运维保障的服务都可以接入进来。业务安全领域:反欺诈、信息内容安全、帐户安全。合规安全领域:合规检查、安全审计、合规服务。安全管理领域:安全分析,安全统一管理,安全的咨询。这些业务领域,我们都会逐步的向整个的安全的生态的厂商进行开放。 这当中我们云安全生态体系我们要做什么事情?第一我们要建立一个统一的销售平台,让各家的产品、服务、第三方定制开发的厂商,都能够上来,我们去做线上的推广,把他推广到阿里的公共云专有云专有域,包括未来能够覆盖的混合云的情况下帮他去推广。同时要帮他授权计费,对用户来说是云上一步完成的,给云的用户提供更好的使用体验。同时我们要建立售后工单,我们要保证产品的质量、服务的质量,通过这个售后工单我们提供统一的守候服务的体系。同时我们可以去检控哪家的产品和服务对用户使用的情况和真正质量的情况,最后我们可以以他作为权重调优他在推荐榜上的推荐排名。同时在第三方的厂商推出产品定制和服务的基础上面作为更多的基础,一个是企业级的数据介入的API,让他更好的调用底层的API,让他利用云计算各种底层的API提供数据。再上提供威胁情报数据开放服务,因为在这上面我认为未来安全的发展,是数据为核心,数据为驱动的,以典型代表趋势就是威胁的情报,但是威胁的情报要拥有大数据的视野才可能汇集更多的情报,做更多有价值的东西。在这一块,而且是我认为这个发展TI的发展,是安全发展的未来。当然产品是很基础的,但是要真正为用户解决真正的问题一定是基于用户真正的服务。在这一块,我们会基于阿里云的数据优势去汇集我们在TI上的各种情报,包括在前面吴翰清提到的DDoS,我们后面也有很多威胁的情报在追踪全球各种的发起DDoS攻击的包括他的组织,包括他控制的他的资产,对他进行监控。同时利用这些数据,实际上可以有效的去遏制攻击者,包括最后的溯源。在另一个,如果能够达到溯源的话,未来网络安全一个很重要的职责,我们现实生活当中的安全之所以能够有效,实际上是我们在法律体系上有一套溯源和真正成熟的措施,但是在网络安全上是弱化的,所以攻击者的风险和成本是非常低的。那么推动溯源能够造成他真正的危害的时候,才能真正造成网络风险的,提高他的成本,降低攻击的情况。所以我们会利用这些数据,去为我们的厂商提供更多威胁情报的服务。还有一块我们可以会汇集更多威胁的知识,因为我们有全部的数据,去汇聚更多的威胁的知识库,恶意的样本,包括CC的更大的一些集合,把这些能力也去开放给厂商,让他们能够去为用户提供更好的这样一些安全的服务。我们希望制定一个统一的数据接口的标准,这个要求我们的厂商能够按照这个统一的数据接口,把各种厂商产生的日志结合起来,让更多的厂商看到数据,便于后面分析。我们现在也在讨论,包括回去的控制,也需要纳入到我们的标准当中来,这样就便于未来我们做MSSP的厂商,可以基于统一的控制协议,更好的为我们用户提供MSSP的服务。另一块是针对开发者创投和扶持基金,来把整个产业给发展起来。 所以说在云安全市场这一块,一个要打通统一的市场,同时提供厂商独立产品和服务展示橱窗。提高在线营销和推广服务,提供售后服务体系。我们还有一块针对各个行业去做他推荐的解决方案,这个推荐的解决方案,他没有偏好性,他只是根据每个行业和规模的情况我们去推荐他应该建立怎样的一个安全的架构,对应的产品我们是推荐比如说你需要防火墙,但是用户要选择购买防火墙的话,他会连到我们的市场来,我们市场会依据排名给他推荐上云对应的厂商的产品和相应的服务。这一块对我们还是有挑战的,主要还是如何去打通整个公有云专有云的体系,然后把我们的解决方案覆盖到用户那边去,最后给厂商们建立更大的市场环境。同时,去监控他整个的体系。 组件级的接入,一个是SDN串联接入在开放,让他的产品很方便在VPC当中去接入。另一个就是支持第三方自定义镜像,支持高端设备加入到云端来。未来我们会去开放更多的API。 另一个,我们云安全魔方,这是提高安全威胁情报开放服务,目前我们开放内容,文件,漏洞安全检测能力。还有开放用户安全管理和安全大数据的分析API,还有更多安全能力开放。 这个创业基金实际上我是我们沿袭了整个阿里云对创投的基金,我们也把他引入进来,对合作伙伴在安全行业的安全的支持,包括融资协助,孵化器园区入驻,扶持基金,线下活动的支持。 另一块着重要提的就是数据接口,目标就是让所有云上产品基于统一数据接口提供系统的警告与日志,从用户的角度便于用户统一运维、审计、分析和管理他的数据。但是本身这个是我们的实现是基于用户隐私的,他是一个API中控方式决定的,最终由用户决策是否打开这个API,达到直口产生的数据都归属于用户,用户并负担相应的费用。用户可以自主选择将数据提供给各厂家产品和服务,便于获取这些厂商产品的服务。用户可自主选择将数据提供云平台厂商以获得相关产品与服务。 目前,我们生态的工作,今年才逐步的在开始开展,我们做得比较大的改进一个是ECS逐步支持第三方镜像,VPC支持虚拟网络设备,我们引进了十几家相应合作伙伴,未来我们会引进更多的服务厂商,相应的第三方的开发者,做定制开发的厂商来提供服务和支持。 从未来来说,阿里云会坚持不懈的去走云安全生态的路线,从我们角度要解决云平台安全,保护云用户的安全,净化云平台的环境,提供云用户信任与自主的选择权利,这是我们始终坚持不懈的一个方向。所以说要同安全的产业一起,面向DT时代的安全挑战,携手共建更加安全可信的云环境。帮助安全产业进步,提供基于大数据的视野,开放阿里云底层API,提供威胁情报与能力。希望安全厂商能跟我们一起把他们的产品和服务逐步的云化,我们一起要制定统一的数据接口标准,去帮助用户能够更好的使用我们产品当中的数据,包括未来能够更好的去支持我们的用户区实现他们的MSSP的这样的服务,也就为厂商自己获得了未来的发展机遇,我们就能从传统的安全厂商变成面向未来的面向云时代的安全厂商。所以说要勇敢的面向市场,我让位包括我们的云盾,也是一样的,我们的安全厂商我们的云盾都是要勇敢的面向市场,让用户自主选择,优胜劣汰。谢谢大家。 主持人:感谢方兴的介绍,我觉得在之前,我们通过吴翰清的介绍看到了阿里云云盾的勇气,在生态市场其实我们目前有了明确的一个市场开放态度,我们也讲清楚我们技术架构以及未来我们产品接入的标准应该怎么去做,保证我们对开发者资金的扶持。我们已经有了非常好的生态合作伙伴,为我们安全生态提供了非常完整的解决方案。下面就有请我们安恒信息的杨勃为大家带来他的安全解决方案。 杨勃:非常荣幸有这个机会在这里把我们在云上面的一些安全经验跟大家做一个分享,其实这个题目有点大,我们不能叫做方案,应该更多的是我们这一年以来,我们和阿里在云上面尤其是在个别电子任务系统上面应用的一个经验分享。 今天也非常的感动,因为现在已经8点多了,还有这么多的同行,这么多的伙伴,还在这个地方。还有很多兄弟,好象也还没有吃完饭。我废话少说,我尽快把握节奏,不影响大家吃晚餐。 首先我觉得我还是代表我们传统的安全厂商,谈一下我们在阿里云上面,我们是怎么去理解的。首先,我们觉得生态云,或者说云的生态系统里面,首先他具备了云的基础平台,我们在推云的服务。更为重要的是,我们是面向了我们的云租户,是否这样就可以了呢?在从目前我们来看的话,很重要的一块,就是云的安全。这个云的安全,他涉及到本身的一个基础平台的安全,涉及到我们租户最终的一个安全,那么这些安全措施,如果没有一个好的保障,其实他很难形成一个真正的生态系统。 那么云生态这里面安全的角色呢,我们认为他有最基本的三个属性,第一个安全他要相对的独立,第二要尽可能的覆盖全生命周期的一个安全,从我们整个系统的建设,业务的开发,上线的运行,最终整个数据的销毁,需要全面的考虑。另外我们在云上面的安全尽可能做适云化,就是我们的服务化、虚拟化、可视化。刚刚各位专家讲到,我们传统的厂商我们讲到安全解决方案,讲到服务,第一印象就是想我要上个盒子,放在什么位置。那么这个时候我们必须要强调我们的适云化,把我们的一些能力输送到这个云平台上面去。 云计算成为发展趋势,前途很美好,但是现实也很残酷。我们接触过很多客户,因为我们本身一直是做B2B这块的,很多用户他们都在线路也有很多纠结,也知道云上面的好,但是一直还是在犹豫不前。与此同时国家的政策,尤其是一些企业已经在快速在云这个领域快速的前进。 当然,我们在云上面同样面临非常多的一些安全威胁,我这里摘抄了一些国际上比较严重的事件,比如说亚马逊、谷歌、苹果。无论是在云上,还是我们无传统的网络当中,信息安全他所面临的这些威胁从来没有减少过。我们去拜访很多用户,传统的网络架构他面临的一些问题面临的一些困扰,因为看上去好像在云上面这些问题解决掉了,比如说存储上的隐患,比如说我们线路或者机房灾备,一系列基础性的问题,感觉迁到云上去很好的解决。但是我们很多用户他的一种抉择,要么不要去碰云,要么把不重要的边缘性的系统放到云上面去试试看。最主要的原因,我们用户和我们沟通下来,他有一种解释,他说是一种信任,他觉得安全没有保障。安全在云上面和传统上面有没有差异化,以及上面的安全怎么保障?无论是我们云平台上的企业方还是安全厂商还是用户,在这个新的领域,都很难有一个比较清晰的一个认识。另外一方面,在云平台上我们总体来看的话,他面临至少三个纬度的威胁,第一个云平台自身的安全。我想今天这个会议至少到我们现在为止,前面基本上我们重点都在强调,我们云平台自身的安全怎么去建设,怎么去保障。因为这是非常非常重要的一个基石。那么在此之上呢,我们其实无论在云里面,还是我们的传统网络当中,最基本的我们有一个安全域的概念,我们原来的话,我们说运维,我们说维护,可能就是机房隔壁的事情,感觉在自家里一样,可以非常灵活的实施。现在在云上,无论是我们对外提供服务的访问,还是说我们对他运维,都是通过互联网远端去操作,这时候我们的边界在那么,安全防护怎么去落实,这是很多用户面临的挑战。尤其严重的问题是什么呢?我们现在的应用系统越来越多,我们原来可能是关注的是网络安全,或者说整个体系架构的一些安全。但是现在尤其是在业务层面上的安全,我们很少有人意识到,或者说很少有比较好的解决方案,这一块恰好是当前我们客户面临最严重的挑战,我们系统上的越多他面临的问题越多。 那么这些问题,他不仅仅说我们用传统来说,用一个单一的产品或者某一个手段就可以解决,随着我们在这个应用系统上数量的增加,他所面临的风险也会越来越多。那么这是我们做了一个简单的对比,在云的上面,和我们传统上面他有一个什么样的差异。传统的网络当中,他有一个比较好的优势,虽然我们现在说网络的边界,他逐渐的在消亡,但是在传统网络当中,至少我们还会说数据区、服务区、云维区,办公区,还会有安全域的概念。但是在云上面我们安全的问题,并不是传统的问题他压力消亡了,而是在集成传统安全的问题上的同时他又衍生出了新的问题,包括我们的云维、开发,面临一系列的问题。 二、云安全解决方案 我是解决了阿里这边整体的安全架构,我这里谈一下我们对安全的理解。安全我们认为是三个方面来保障,第一个是整个平台的安全,整个平台的安全,其实对于我们云租户的话,我们如何去选择哪一个厂商,或者说哪家的基础云平台提供商。第二块是云租户的安全。这也是方兴刚刚重点在强调的,我们最终的用户,我们在这个生态环境当中,我们怎么去保障他的安全。另外一块,我们整个安全运营,怎么去保障,我们前面可能是一些手段是一些措施,那么我们的服务,怎么通过服务,把整个系统提供一个比较好的一个安全。 在云平台这一块呢,我今天就不在这里献丑了,其实前面我们阿里这边已经做了非常多的阐述,我后面就直接跳到我们在云租户这一块的安全一个建议。 云租户这一块,应该说也是我们近年来在云上面,尤其是面对一些电子政务,或者一些重要信息系统,已经迁到云上面我们做的相关的工作,我这里给大家做一个汇报。首先的话,我们云端对他在云上的系统做一个全天候的监测和运营服务,包括云监测、云防御、云运营。他的数据和运营安全方面,我们通过数据库审计、数据库漏扫、运维审计。应用安全,包括访问控制,应用安全防御和审计,应用安全检测,云加速和流量清洗。除了传统网络层的防控之外,更多的是在应用层的一些防护的策略,包括业务层的一些威胁进行分析挖掘协助处置。 这是我们在云租户场景当中一个比较典型的布置方式,我们通常会在云租户的销网络当中提供接入的时候有Web应用层的防护,然后对他的业务系统进行一个深入的Web应用层的扫描,包括它的业务系统从扫描到防御,到最终他网络行为所有的流量分析,进行一个全天候的分析和预判。同时针对他这个网络当中的运维以及运维人员,我们通过专门的云堡垒,进行统一的入口的认证管理,包括重要指令的封杀,这样保证我们用户后台管理相对合规安全,把运维风险尽量降低。 更重要的一块是我们借助现有的一些基础设施,安全设备,我们这个基础上提供MSSP服务,这个服务也是非常感谢阿里云提供了这么一个开放的平台,以及接下来细化的接口,使我们安全厂商有这种可能,为我们云上的用户集层更多的数据,最终形成我们的安全价值,让用户他的安全水平提升到最高。 在下面就是我们细化的,云租户Web防护这块我们能做什么事情,包括云Web通用攻击,协议层的检查,抗扫描,还有很重要的应用层的代码审计,还有银行,他已经上升到我们的业务安全。有些时候,我们信用卡号,我们身份证号看上去不是一种特征或者一种攻击,但是在特定的场合中被访问,或者抽取的时候,他就是一种典型的业务层的一个攻击行为。 第二个在云上针对用户做应用层的安全审计。安全审计他重要做三个事情,第一个叫参与风险,我们假设在云上都有相应的安全防护设备和相应的安全防护措施,那么这个时候他的设备和措施是不是生效了,就是通过末端的安全审计,如果在审计环节发现了风险问题,很显然他是有参与风险的,就意味着我们的方案并没有达标。这样就把传统的攻击快速的识别和防御。第二块是业务上的一些欺诈,逻辑上漏洞的利用。这一块也是我们当前最难处置的一块,通常也是需要我们的厂商和用户,甚至和平台商相互去协调,最终才能把一些比较敏感的,甚至危害特别严重的数据进行查出来来。 第三块是我们通过云平台提供一个MSSP服务的事例,这是一个我们在云平台当中不断摸索的事例。因为MSSP这个服务他不限于说我们只是在云上,而是结合了我们现有的能力,通过我们自身大数据的能力,以及阿里云上云租户的能力,最终形式一个综合的MSSP能力,我们这里举的是一个教育系统,某一个省的整个省的教育用户,因为大家都知道,教育系统的网站基数比较大,而且他面对的问题相对来说比较多,因为他的管理水平相对来说是比较难达到一致的。那这个时候呢,我们可以通过统一的防护,包括统一的监测,最终对我们用户提升一个比较全面的安全服务能力。这是我们现在正在摸索的一块。 我们现在整个安全运营服务的一个能力,有是在Web安全外包方面通过三个方面来实现,包括初期的体检、监测,到日志的监控,云安全的防御,最终实现了实时监测、快速响应、主动防御和积极反制的一个的防护效果。 云安全运维这块,我们应该说是尽可能的收集更全面的数据来源,包括整个数据链路过来的网络设备,或者我们节点的一些日志,另外我们通过互联网网络空间,我们采集到的一些数据,我们要去做整体安全运营从数据上有两个数据,一个是静态数据,就是我们这个系统比如他的内容,他的一些数据,我们只要去扒取都可以收集到的就是一个静态的数据,这个是我们用来快速的对这个业务进行定位,他有没有一些内容层面的一些安全问题的有一个重要的参考。第二块数据就是动态数据,动态数据同样是指我们访问的行为、流量,这个数据通过我们各个节点,各个层级的这些数据进行关联,包括他的访问路径,攻击路径,以及最终产生的影响,最终给他评估出来,这样的话依赖可以形成快速的响应能力,结合线下应急响应团队,可以把我们云上团队服务提升到更高的水平。 这是我们安全运营中心整体要做的一个事情。 应急响应这块也是我们做MSSP里面最重要的一块,我们现在说了很多都在云上,是不是我们所有的都是及其可以搞定,或者我们远程处理。不是这样的,我们有很多工作需要专业的应急团队去处置和实施。 我们现在已经在针对我们的用户在MSSP这块在提供一些7×24小时的服务,包括我们用户当前有没有遭受攻击,包括整个服务区域内安全形势是怎么样的,都在第一时间去进行分析,最终把数据结合到我们服务用户里面去,包括我们用户他所在的一些区域,他所在的这个行业的整体的安全情况,都作为一个宏观的参考,最终把他输入到我们用户的服务数据里面去。 三、用户案例 这是标准的工作流程,这里不过多阐述了,这个是我们在做的重要信息系统,通过MSSP怎么去保障的,这也是我们包括一些重要信息系统我们在远程的监控过程当中,通过网络层的安全问题,主机层的安全问题,以及我们的业务层内控,最终达到一个比较好的防护效果。 后面我简单的聊一下,我们在云生态上面的一个安全的展望。因为现在云上面的安全也好,云整个生态也好,现在才刚刚起步,所以我想更多的就是希望在座的各位无论是云租户的还是平台厂商,多给我们安全厂商一些机会,多给我们一些视点,或者说多给我们一些好的建议,我们一起把这个安全的水平提升好,因为安全水平提升好了,我想整个云平台的信任度也会增加,这个时候最终受益的还是我们云的租户。 主持人:感谢安恒给大家带来的分享,下面有请第二位合作伙伴我们驻云科技给大家带来他们对云安全生态的考虑。 乔锐杰:大家晚上好,其实做安全这块分享的话,上次在9月份的时候,阿里云大会上我做了一个关于运维与安全的分享,今天还有一个机会,这么晚,能够跟大家来一起来交流以及分享一下,我觉得这个机会也是非常难得的,我自己也非常荣幸。 说到安全这块的话,其实我本身也是对安全这块感情是非常深的,因为我本身也算是一个80后,我记得我当时读初中的时候,当时红警,星际争霸特别火,在高中的时候初中的时候学校都是封闭式的管理,我记得很清楚,晚上跟同学一起翻墙出去网吧包夜上网,在打星际争霸的游戏。我从小学初中的时候对网络安全就特别感兴趣,我就跑到网络里面盗号,盗传奇的号,盗密码这块,所以我对安全有很深的感情。以及到后面,大学里面其实也做了几年黑客讲师,再到后面介入云这块做安全,然后做架构,以及做运维等等这块的一些事情。 所以我本身从一个攻击者转为防御者,这一块我本身有很多那种想法,以及很多那种经验,希望在此这个机会跟大家一起来探讨以及分享一下。 我记得我在2013年的时候,那时候还是在前面的时候,跟客户做上云架构以及做一个架构师,跟很多客户来做上云架构的方案和咨询的时候,我记得2013年以前的时候,其实很多客户对云这块的认识,其实还是处于一个前期,当时从我本身来讲的话,我觉得印象非常深刻的一点是什么呢?每次去跟客户谈这个问题的时候,客户他就不相信你一个云什么样的东西,他就不相信这个东西,你让他把一个对应的数据或者一个应用布置到云上,我印象特别深刻的一点,我当时去做一个存储的公司,跟他聊在阿里云这块,以及公有云方面的部署方案以及思路的时候,让他替代传统的IDC这块的应用的时候,跟他聊的时候,也是我当时在IDC封建思想的固化,你跟他讲这个东西他就不相信,他就觉得云是骗人的,你把东西放到云上面来部署,他不相信云的安全性。其实我记得2013年的时候,我记得印象很深的,当时阿里云拿到了云国际的第一张安全认证的金牌,跟客户也解释了半天,阿里云如何在机房里面如何在各个方面做的安全性。 其实从2013年那个时候跟客户做方案,以及到2014年,2015年,我觉得云上面形成了巨大的转变,现在很多时候不需要跟客户说云计算是什么?云计算的安全是什么?在这个阶段没有必要去跟客户解决这么一个概念性的东西,因为云本身就是未来的一个趋势。到现在为止,云越来越被客户所接受,所以说现在客户遇到的更多的问题,并不是说我怎么去跟你说这个云这块的一个底层的概念,或者安全。更多是什么呢?客户在实际使用云的过程中遇到的相应的问题,一上来客户就肯定会问,一个游戏运用或者金融运用特别容易受攻击,现在在应用层面或者技术方面的问题。 云上三大安全痛点,第一个痛点是云端权限安全的问题。我们跟客户来对应的不管是跟他做方案还是做维护的时候,客户遇到最大的问题是什么?他不愿意把阿里云权限或者是把服务器权限给到我们来给他做。我换一个概念,比如说你的银行帐号和密码,你愿意把银行帐号密码给到谁,然后别人说我还有什么用的安全机制保障,从你本身来讲的话,其实你也不愿意把你本身的一个这种私密性特别高的权限或者是一些密码给到对应的不管是第三方还是对应的人来帮你去做相应的一些事情。所以说,我们现在云上面客户遇到最大的痛点是云端安全问题。第二个痛点是云端架构安全问题。用户不会用这个东西,自然而然就会形成对应的问题。比如说阿里云帐号,或者是服务器,他把服务器密码设置成123456,这个东西他在使用的一些过程中,不太注意,所以说产生了对应在云端架构以及在云端使用的一些问题。现在作为我们的一个点,客户在使用云资源的时候,老是喜欢跟物理去比,比如说老是抱怨一台云主机,和物理机性能无法作为一个比较。这可能是无法比较,因为云计算单台服务器肯定比物理单台服务器肯定低的,云端肯定是多点集成的。第三点也是最为常见的,我们在云端经常受攻击,经常有客户找我说,我服务器挂了,登上去一看全是后门、漏洞和病毒,你说让我怎么去解决。你已经被别人入侵了,已经为时已晚了,这个东西已经处于救火的状态了。再一个客户受到一DDoS攻击,系统对应的漏洞等等,这个其实也是我们云端的一些常见的一些攻击的问题点。 所以说,从这些问题点,其实我们可以看到云端安全的生态圈。可以看出什么呢?我们可以把云分为IASS、PASS,SASS,我们阿里更多的是做Iass,比如说网络、存储、服务器、虚拟化,这些东西阿里已经给你做好了,我们的客户以及我们的用户,你自己拿来用就行了。至少从接触到云这块来说,没有哪家客户来说,还让你去配那个交换机,搞网络机房里面的问题点。为什么没有涉及到这些问题点,阿里作为一个基础服务提供商,更多把底层资源和硬件这块都把你做好了。所以这块不需要我们过多的去关心云接入。更多的是OS层,就是系统层,中心件、数据以及应用,这块安全性没有保障的。这些安全性的话,是需要我们客户自己或者是我们供应商来去解决这些问题。因为,不管是阿里云还是亚马逊还是微软云等等,其实他只需要把底层硬件服务以及资源这块做到安全,以及服务做得好就OK了,他没有更多的精力是关注在Pass以及Sass对应的层次。 所以说客户的需求以及对应面带来了我们的一个机遇,以及成就了我们驻云的价值点,所以在阿里云很多客户遇到的问题我们对应的就形成了对应点,有了问题我们就要去解决,回到前面我们三个问题点,我们这儿就给出了对应的三个解决方案。第一个面向客户的权限的问题,我们有自己的架构云以及碉堡云的系统。我们这个系统可以对安全性的实时查看,以及实时的把控,做到权限明晰的控制。碉堡云或者堡垒机,运营系统,安全系统,大家在传统审计系统,运维系统都有接触过,我们驻云这块针对于传统系统上结合云的一些特点,作出了更加适合解决客户对权限这块敏感性的问题点。第二个我们上云架构方案这块,更多的是分布式的一些安全架构解决方案,电商类、游戏云、金融云安全解决方案,再比如说Mongo oracle集群解决方案,Oss为大数据迁移解决方案,还有企业级解决方案,比如说我们在5月份,6月份左右的时候,我们跟脉脉做了天津机房做了大数据迁移,所以迁移过程中涉及到一些安全性,一些加密,对应的问题点,在一个在云端攻击方面的问题点,涉及到攻击这块有个问题点,更多的是在系统层次以及在运维曾经,我们驻云这块是有云端7×24运维,解决云端攻击问题,专业运维流程,系统安全加固,监控安全,安全运维,来解决客户在云端遇到的攻击的问题点。 这里面有一个案例,我们有一家P2P的金融行业,在云端遇到了一些相应的问题点,其实涉及到金融这块的一个客户的话,我觉得都是一个非常敏感的,特别特别敏感的,特别是金融以及银行这块的客户的需求。所以说,客户遇到了三点核心的一个安全云对应的问题依序有什么呢?第一个金融行业安全敏感,客户担心运维的透明化。所以说他不放心我们工程师给他做这个事情,来维护这个事情。所以他特别担心我们在他里面把他数据盗走了,或者是做了其他的影响他业务的不透明的一些事情。第二遇到恶意注册问题。这个也是让他们苦不堪言。第三遇到超过100GDDoS攻击的问题,因为树大招风嘛,经常被黑客打一下。所以解决方案也是我刚才说的三点解决方案,第一个我们驻云堡垒机审计系统,让运维所有操作的明晰化透明化,客户可以对全过程做实时的把控。第二个遇到恶意注册的话,这是应用层次的问题,说难听点就是代码没写好,我们架构师协助客户进行代码改造,业务代码架构安全做相应的优化。第三点我们遇到DDoS攻击的话,针对系统层次,我们运维工程师进行安全加固+阿里云高防彻底解决高流量攻击的问题点。 案例2,也是我们针对安全性的思考和考虑,面对各行各业的客户应用系统安全问题,我们怎么做到定制化、自动化、个性化,这个事情也是我们刚开始跟阿里这边来做的合作,结合云的API做定制化的解决方案,将安全的解决灵活性变得最大化。 最后我们驻云从事在云端客户这种解决方案,不管是在上云培训还是上云咨询还是上云架构还是上云运维,还是有对应的产品来跟客户低门槛以及高效率的使用阿里云这块,其实在国内来讲,类似于我们驻云这样的公司。这方面的问题我们需要更多的那种第三方合作方,合乎是个人,或者是服务,或者是对应的一个公司一起来来建设云上的安全。 主持人:感谢驻云的分享,驻云是伴随阿里云一起走来的伙伴,在云端的迁移上遇到了很多的问题,也有很多的解决方案。感谢大家最后的守候。我们进入最后一个议题是山石网科的荣钰,给大家带来的分享。 荣钰:大家好我是荣,我主要是在负责云安全产品的市场推广。其实能看得出来,今天因为谈了很多传统和互联网的对比,我和我们杨总都是传统厂商的,所以我们都西服戈履,穿得很正式,但是今天中午吃饭的时候,我旁边有两个阿里的朋友,他们对我们这种人的定义叫地推,我觉得也比较合理,我们很重视客户,一般穿得非常重视来地推我们的客户。前面有很多人都讲了很多,我想提一下,为什么像山石这样的公司为什么那么愿意来参与阿里云的生态。 对于我们这些做原来传统安全的这些无论是硬件还是软件的工程师,什么是我们最大的最欣慰的事情呢?就是我们的产品能更多的为我们的用户服务。过去我们的传统商业模式,包括我们自己对产品的定位,对市场的定位,所以我们的价格比较高,所以很多的用户没有办法使用我们的产品。今天我在闭展前有一位朋友,他是做视频监控的,原来视频监控都是在私有的机房里面把数据汇总过去,用户盯着堡垒房盯着很多视频,现在行业有变化了,用户希望在家里能看到,所以他现在开始把一些私有机房里面的东西迁到云上,很痛苦的事情就是安全。我跟他聊,他其实基本上不了解这个网络安全的东西。我们希望以后,我们加入到阿里的安全云的生态,因为我们现在大家如果注册了以后,我们也会给一个月的使用期的一个使用的时间。我们希望有更多的用户使用我们的产品。能一直给我们一个正反馈。其实我最希望参加这次会议以后,结识更多的朋友,能够一直在产品、功能、特性包括应用型上面。因为我们原来一说呢,很多用户不会用我们产品,比方说我们的高端产品,现在我们希望更多的用户能够用我们的产品,能够在应用上各方面特性上给我们一个正反馈,这是我们非常希望得到的,也希望大家如果有机会,明天去我们的展台去扫一下我们的码,去关注我们的微信,非常希望大家以后能给我们正反馈。 前面阿里云的同事,他说了阿里云盾做了一个产品,可以把安全做到主机里面,主机安全和网络安全,是一直在争论的一个事情,就是从安全行业刚开始,我觉得杨总可能有更多的经验。怎么看待这个问题呢?我不认为网络安全是一个过时的东西,举个例子,我和杨总都是岳父俱乐部的成员,我有一个闺女,非常可爱的闺女,我记得她3岁第一次去幼儿园给我一个极大的冲击,因为我发现她进到教室里以后,她自己按照一个我不知道流程去工作,先洗手,然后有一个榜单,插入一个小红花。我发现她进入幼儿园以后我们两个各自的世界她有一个独立的世界。我再爱我的闺女,再心疼我的闺女,我想保证她的安全,我绝对不会再她的大脑你注入一个软件,我只能像防火墙一样守候在她的身边。不知道在座有多少是孩子的父母,你会发现你有时候管得太严了以后,反而会降低孩子的创新性,他的这种勇敢的去尝试失败的的特性。我们今天很多人在谈创新,创新是什么呀?创新其实要有胆量去尝试这种挫败,所以我不认为网络边界去做防护,去做这种网关产品是过时的解决方案,我觉得持续都会有。做在主机里面有做在主机里面的好处,做作边界有做在边界的好处。我们处理有阿里云的产品,还有别的产品,我们做那个云的产品就是做边界的产品,我们没有做在主机里面的,我们就守在闺女身边,去保护我们客户的主机,我们客户的这些业务。 快速的讲一下我今天的PPT,这里面看到了公有云的一个特点,其实谈到所谓公有云有什么好处,包括虚拟化有什么好处,我觉得省钱是一方面,还有一个是保证你的业务的连续性,保证你把IT的运维人员真正精力放在业务上面,而不是其他的业务上面。估计现在很多公司也会遇到这样的问题,你的系统跑得很好,因为他在那个环境里面那个业务他跑得很好,但是你必须考虑接下来要去上虚拟化上云,为什么呢?因为你的服务器如果换了一个电源,只是因为多了一点点灰尘,啪达,那个电源就烧坏了,你就要去旧货市场去找一个类似你现在服务器的电源插上去保证服务器使用。云计算他的可迁移性有一个非常大的好处,你可以保证你业务的持续性。但是云计算的话,对我们这些做安全的人来说,其实是也带来了很大的挑战,我自己总结,我不知道有多少人跟我是同龄人,我原来看过一个动画片,没头脑和不高兴。我们在云计算里面我会发现一个新的一个问题是什么?没有边界或者边界模糊了,再一个是不可视,很多事情你不知道,边界模糊了以后他移动性非常强,还有一个整个的情况你都完全不了解到底是什么样的,到底主机上跑了哪些虚机,这些都是带来我们对于我们想做这种边界安全,网关安全的这些人的一个极大的挑战,这也是我们后面去谈的方案我们去做的工作。 这一张是云中的安全问题有哪些?这是引用了一些第三方的数据,其实大家看到很多的数据里面,看到的一些问题,还是有非常的相同的点在这里面。我理解安全呢,是这么理解这个问题的,安全很重要一点是什么呢?如果你犯过的错误就一定不要再犯了,如果你再犯你曾经犯过的错误,那就是非常愚蠢不可饶恕的。我们看到现在很多的安全问题,还是我们看到的很多主流问题,包括数据丢失、什么口令啊等等,而这些东西是你已经过的错误,并不因为你迁移到云平台就不会犯的错误,所以你就要避免你之前犯过的错误。我们既然传统的边界的安全网关已经可以帮我们很多已知的错误不让他再犯,那我们就不会过时了,更何况我们与时俱进。 这张PPT是我们在谈云的服务商,还有我们的用户,包括我们用户在选择我们,为什么要选择我们,我们应该有一些分工。大家分工来把自己的安全工作做好,谁也不能做更多的事情。因为有时候你做了更多事情,就像我刚才举了一个例子,我不能限制我闺女太多,非常她这种探索的精神,创新的精神就被抹杀了。所以我们只能够像阿里云盾,他就会把他基础要做的工作,在我们这个紫色区域里面要做的工作是他要做的。有一些个性化的工作,比如说做一些新的东西,创新就要有风险,你需要自己去做,就在我们这个绿的区域里面,特别是在虚拟网络,VM和应用这个层面,主要是我们这些用户你应该自己去做好的安全的工作。在这个里面,像我们这样的做传统安全网关的厂商的话,会提供相应的解决方案来支持大家的工作。 这个里面实际上是整个的一个过程,比如我们要做这种公有云租户,做边界安全我们总结了有四步,前面是虚拟化环境的部署,包括多租住独立的管理,租户远程的安全访问,还有租户私有虚拟网络安全防护。 公有云的边界防护,我们怎么合理定义你的边界,像我们一般的做法,我们今天介绍主要的做法是把我们安全边界定义在VPC无网络,防护整个南北的流量,做多层级的防护。谈到CDN如果在2—7层用户不能够找到集成在一起的解决方案,就会很麻烦,尤其在虚拟的网络里面,因为我们原来做实体网络我也是干了好多年,我至少还可以履限,那这个流到那儿,那个流到这儿,这是一个很可怕的事情,所以要提供安全防护一定是一个多层级的2—7层集成化的安全服务。 这是我们山石在阿里云上面给大家提供的一个整体的安全的解决方案,大家明天如果有机会可以去我们展台来,你选择的VPC之后,再选择我们在阿里云上面云的镜像,我们有两种配置,一种是网络吞吐量是2个G,还有一种是4个G,根据你的VPC出口的流量,来决定你要哪种VPC,你选择我们的镜像之后选择相应的出口资源,然后再选择付费。我们每一个用户的VPC都有一个山石云的产品来对他提供2—7层的保护。 举几个例子,一种是在VPC边界放了网关,我们可以直接VPC到整个外部网络的防护,然后一个隔离,包括VPC子网之间的隔离,这是我们一般应用的情况。还有我们通过VFW的这个产品,我们是支持IPSecVPN,以及我们山石独创的SCVPN,你的私有云的环境,包括你办公室开发的环境,可以利用VPN安全的连接到你的VPC里面,做相应的维护,包括升级的工作。 这一张图是服务器的一个负载均衡,我们的防火墙也可以做服务器的一个负载均衡,在你的VPC里面有不同的相应的业务群,或者服务器的群主,我们防火墙在做保护的通过也可以做VPC业务群负载均衡。 除了负载均衡以外,还可以支持iQoS的功能,区分不同的应用,然后我们关健维护的应用即使在有一些压力的情况下,还能够非常顺利的连到你的VPC里面,对你的主机进行操纵。 因为我们刚才提到了,是我们提供的是2—7层的防护,那么你可以选择一个你仆役起用他IPS做高层的保护,包括我们IPS提供基本的WAF的功能。 这是我们整个山石VFW达到能够提供的整体功能特辑。 除了我们的山石云界的产品,还有山石云格产品,但是在阿里云这边还没有部署,有人认为我们山石云格产品有点像云盾,其实是不一样的,我们是独立于虚机之外独立于主机之外的,他主要是保证保证虚机和虚机之间的一个安全通行,他有点像把我们传统的分布式的多插槽的防火墙又延伸了,延伸到我们的虚机里面去,他可以保证虚机和虚机的流量的流量,可以看到流量的情况。除了传统VFW之外,除了传统的,去做虚机之间的隔离也是非常重要的。因为我前面提到的,云计算会带来两个挑战,一个就是边界的模糊,再一个就是不可视,这些东西会导致什么呢?其实我觉得会导致,我前两天给我们的领导写了一个发言稿就提到这个东西,有可能导致我们无论是公有云还是私有云,成为一个网络安全的一个法外非地,有些人会藏在这些组织里面,因为现在很多高级的攻击都是用一些恶意代码来进行攻击,所以我们确实非常需要类似这样的产品,更多的产品去部署,人类历史上有很多的发明都是什么呢?他发明了以后能够有很大的力量造福人类,同时也有很大的力量去给人类带来灾难,比如说原子弹。那云计算也是这样的,最早的时候有人跟我讲云计算对带来挑战是安全的承载,你可以在AWS上很快租一大批主机,然后发起DDoS攻击,攻击完了把这些主机又释放掉。像我们云格的产品或者其他厂家对主机保护的产品,如果有机会的话应该是让更多的人来使用。 这是我们现在广泛的一个合作伙伴,这张照片我估计是场内以及场外朋友最希望看到的一张照片。 最后总结一下,非常希望大家用我们的产品,给我们提供非常宝贵的意见,也希望以后大家用完我们产品以后,能听到我沙哑的声音,打一电话问你用的怎么样,你有什么砖头来拍我,虽然我不在跟前,但是还是希望能够给我们提供更多的意见。 主持人:今天整个云安全的论坛到此结束。最后想讲一句,我们今天的目的只有一个,希望和更多的伙伴一起去共同建设我们的云计算安全。
';