阿里云吴翰清：云计算的安全之道

云计算的安全之道 中国互联网无线化峰会——暨阿里云开发者大会于本日在美丽的杭州隆重召开。

　　本次大会由阿里巴巴团体、阿里云计算主办，云集全世界 互联网企业领袖、行业视察家与活动家、知名投资人、云计算技术达 人等各路精英，共同探讨互联网无线化的新不久的将来。

　　在下午的云计算开 发者专场中阿里云吴翰清为大家带来了主题为“云计算的安全之道” 的精彩演讲。

　　阿里云吴翰清演讲实录

大家好!我叫吴翰清，非常高兴今天来到这里跟大家谈一谈我们关于 云计算安全方面的看法。

　　我们的题目是云计算的安全之道，首先介绍 一下我们团队，我们团队在阿里有了 6 年，之前一直做传统的互联网 安全，主要也就是在阿里团体旗下的安全，包括像淘宝网、支付宝、 阿里巴巴、中国雅虎，这些年经验做下来，在这里可以略微吹牛，大 家可以看一下饼状图，我们的外部黑洞相对来讲比较低。

　　我们这样一个底蕴的团队，最近在做甚么?阿里云公司从第一天开 始，就把安全放在最重要的位置，安全对云计算来讲是最重要的， 所以我们在这边竭尽所能把云计算做好。

　　云计算究竟是甚么?今天有很多关于云计算的定义内涵， 我在这里也不去 想去纠结到底甚么是云计算， 讲讲云计算表现情势?主要是4个落实实处的东西， 第一是云利用; 第2是虚拟化技术; 第3是 APP Engine; 第4是散布式计算。

　　云计算安全面对一些挑战， 由于我们之前一直是在做传统互联网网站 的安全，到今天出现云计算，是否是会不太一样?我们经过研究发现 还真有点不太一样。

　　主要从两个方面来看，第一是云的范围很大，大 范围致使复杂的上升，我们知道一个城市里面小偷、骗子最多的地方 是火车站，由于火车站人流最大，致使问题会非常复杂，这是复杂度 上升的一个方面。

　　在云里面设计里面有弹性，应当是没有上线，我们 去使用这样一个装备，会到达甚么效果?比如你可能会买一堆装备。

　　我们在做云预估时候也会遇到一些挑战， 我们需要斟酌一些散布式可靠的解决方案。

　　第2云是一个巨大的同享环境，比如公交车上，大家上上下下都会使 用这样的设施，对云来讲，大家都会往里面输入业务，相互之间会干扰，一个系统会被攻击，可能就会作用使用。

　　这两个挑战在传统互联网安全网站中，可能都是没有这么复杂。

　　具体到云计算需要解决的问题， 我们怎样看呢?我们从用户的角度来看， 需要4个方面： 网络环境安全， 比如网站会被攻击， 网站打不开，

　　用户数据可能会被丢失;运行环境安全，是否是会做一些坏的事情; 利用程序安全，用户的网站出现漏洞，谁来买单;业务逻辑安全，包括一些的东西，国家也来看，可能这个网站需要关掉。

　　如果 用户网站被黑了，可能传统 IDC 是不复责任了，但是在我们会在想， 云计算为用户更多带来甚么?我们团队做可靠的是， 用户真正要去什 么，我们会去做。

　　首先说的是云的 DDOS 的保护，我们平均每天要遭遭到 5 次攻击， 就是今天的 Q3，我们最大的 DDOS 的攻击是 16 次，意味着 5 分钟 以内攻击者上传了 100 部蓝光电影到我们网站上，这个流量非常可 怕。

　　而我们的处理数据在 15 分钟内解决，我们做的关键就是日志分析系统，综合经过一些智能分析，是否是一次攻击产生?我们会把攻击的流量导入到清洗装备中进行清洗。

　　对 DDOS 清洗装备来讲， 不会对用户数据进行厮杀。

　　在网络安全方面， 我们还担心甚么?我们最担心中间人攻击， 捏造 IP 地址，常常弄网络，或写程序的人，ARP 是攻击之一。

　　我们做的甚么?在我们云的环境里面，在数主机绑定了云服务器的 IP 地址， 在云服务器上没法捏造地址，所以 ARP 也跑不起来。

　　除网络环境 安全以外，最重要一点就是云的安全，这是云计算里面关键，也最有技术环境背景的一部份，就是 Cloud Engine，让用户上传脚本搭建一个网 站。

　　Sandbox 设计原则：用户代码与系统之间需要隔离，用户代码与用户代码之间需要隔离，第一点是为第2点服务的。

　　具体怎样做?就是从这张小图来做，对文件系统、内存、网络访问、进程间通讯，从这些方面符合安全检测的标准， 或修改系统的 ARP 来完成 Sandbox 的原则。

　　前面两点是讲云计算本身要怎样做，在云上面的用户，如果自己出现第一是服务器 问题怎样办?我们会对云服务器推出健康检查的服务， 后门检测，第2周期性弱点扫描，我们现在的扫描是不计本钱，现在 的扫描占用的带宽就有 15T， 这个 15T 也是需要向运营商去购买带宽 资源，但是这一点我们现在愿意免费给大家。

　　在云的环境里面， 我们针对 6 年前的经验， 很多爬虫会把互联网扫死， 我们知道一个网站能承受的业务能力多少?所以我们会扫描 Apps， 为用户服务。

　　这个健康检查，就像我们的健康体验一样，会周期性报告用户的网站弱点在甚么地方。

　　光有健康检查还是不够的， 当问题产生了怎样办?我们是安全预 测和报警的服务。

　　至今为止我们网页木马监控， 10W 站长的选择， 78Per Day。

　　同时这个平台搭建以后，可以对侵入检测与报警，还有 业务异常行动报警，怎样理解?比如一些批量注册的行动。

　　最后我们想做的事情是，是在坐其他云服务商没有做的，我们会为用

　　户安全 SDK，在每本密码学相干文章里面，都会提到这样一个 原则，用户如果自己没有去理解原则，可能会存在一些缺点。

　　我们会 针对历年来总结的一些经验，我们会为用户防火墙 API、利用安我们今天具有电子商务最大的数据库， Google 全 API、 业务安全 API。

　　也要我们数据库，但是跟不跟他们合作我们还在斟酌中。

　　还有云验证码，让用户直接在云服务器环境里面构造一个可靠的系统。

　　所以以上这些可靠的方案最后总结出来就是我们想要做的事情， 也就是我们想要打造的品牌，就是云盾，也是我们在云安全领域想要做的事情，看法总结为我们不光能保护自己，我们还能保护用户，我们的目标就是做到业内最好。

免责声明：
本网址（www.yingxiongyun.com）发布的材料主要源于独立创作和网友匿名投稿。此处提供的所有信息仅供参考之用。我们致力于提供准确且可信的信息，但不对材料的完整性或真实性作出任何保证。用户应自行验证相关信息的正确性，并对其决策承担全部责任。对于由于信息的错误、不准确或遗漏所造成的任何损失，本网址不承担任何法律责任。

本网站所展示的所有内容，如文字、图像、标志、音频、视频、软件和程序等的版权均属于原创作者。

如果任何组织或个人认为网站内容可能侵犯其知识产权，或包含不准确之处，请即刻联系我们进行相应处理。