2016 ATF阿里技術論壇於4月15日在清華大學舉辦,主旨是闡述阿里對世界創新做出的貢獻。阿里巴巴集團技術委員會主席王堅,阿里巴巴集團首席技術官(CTO)張建鋒(花名:行癲),阿里巴巴集團首席風險官(CRO)劉振飛(花名:振飛),螞蟻金服首席技術官(CTO)程立(花名:魯肅)以及來自阿里巴巴集團各部門多位技術大咖齊聚一堂,與莘莘學子分享阿里的技術夢想。
在下午的雲計算與大數據論壇上,阿里雲安全研究員吳翰清帶來了《雲上安全——The Future of Cyber Security》的主題演講。吳翰清2005年加入阿里巴巴,是阿里安全的早期建設者。陸續設計阿里巴巴、淘寶、支付寶、阿里雲的應用安全體系。2012年開始致力於爲客戶提供更好的雲安全產品和服務,旨在將雲盾建設成爲互聯網安全的基礎設施。著有《白帽子講Web安全》一書,並運營了一個微信公衆賬號:道哥的黑板報。
本文根據其演講內容整理。
雲計算安全是什麼?
今天我講的雲上安全相對沒有複雜技術原理的實現,是大的宏觀層面的。09年開始接觸雲計算的時候,當時整個行業、互聯網領域裏面所有人都在談雲,但是基本上沒有幾個人搞清楚雲計算到底是什麼,回過來看那時候理解雲計算是什麼的人可能兩個手能夠數得過來,那麼雲計算安全對於雲計算來說又是什麼?很多人都在談雲安全,連殺毒軟件都變成雲安全了。在很長一段時間裏,業界的專家都在追求時髦講“雲安全”,但都不知所云,有如“皇帝的新裝”。
雲上安全有何不同?
圖1 安全問題
講了半天雲計算安全,但是跟之前做的十多年安全沒有任何區別。要解決的問題是一模一樣,比如解決內存和攻防對抗的問題,從用戶需求的角度講,沒有什麼不同。做了幾年雲計算安全之後,我們自己都深深的困惑,難道我們做的是不存在的東西嗎?但是,我們最後還是發現雲計算安全到底是什麼東西了。
雲上安全責任共擔模型
圖2 雲上安全責任共擔模型
亞馬遜AWS提出了一個責任共擔模型,在中間這條線之下是雲平臺安全,是雲計算廠商要去解決的。但是在這條線之上,是用戶自己去解決自己去負責的。這部分包括用戶應用代碼安全、配置問題、用戶管理的一些安全問題,這就回到之前談到的悖論。所謂雲計算安全,分兩部分看,從用戶角度看沒有任何區別,要解決的問題跟過去一模一樣,但是在之下部分,這部分是雲計算安全新多出來的,比如需要在雲計算環境下解決虛擬化安全的問題、解決多租戶引起的複雜環境的問題、解決用戶隱私保護的問題,這些東西就是雲計算安全跟傳統安全不一樣的地方,但是這部分安全是廠商解決的,跟用戶沒有關係。也就是說它在雲計算公司買一臺雲服務器,不需要關心多租戶引起的安全問題,這個問題是廠商負責的,什麼叫多租戶引起的問題,在雲計算環境下我們會把服務器賣給用戶A,用戶A使用一段時間把服務釋放掉了,這時候我們賣給用戶B,如果用戶A使用的時候遭受過攻擊,很有可能用戶B也遭受攻擊,B遭受攻擊是無辜的,這就是我們所說的髒IP,需要清洗。這些問題用戶不需要考慮,廠商考慮。同時還有云計算虛擬化導致的問題,以及用戶的隱私問題等,作爲雲計算廠商怎麼樣證明自己今天是沒有看用戶數據的?這一點也是倍受挑戰的,實際上這個問題在過去也存在,IDC機房裏面也存在這個問題,如果沒有把所有用戶集中在一起,沒有這麼大的體量,沒有人去挑戰他。阿里通過審計、外部統計報告,同時出了加密服務,讓用戶自己把他的數據在雲上加密,保證任何其他人看不了他的數據,這是整個雲計算安全會面臨的一些挑戰和我們主要去解決的問題。
阿里雲安全與AWS安全的最大不同
今天阿里雲和業內其他雲計算服務商有很大不同,也許模型都是一樣的,但是在用戶層面,阿里雲有個雲盾,幫助用戶解決問題。雲盾是阿里雲在安全態度上最大的不一樣,有些企業是把這件事情開放給所有第三方公司,所以賣的最好的應用從1到10全部是安全應用。但是阿里云云盾,有十多個層從用戶各個層面保護數據安全。雲盾整個使命是幫助用戶解決它的安全問題,我們希望做到雲上比雲外更加安全。今天中國IT界有一種說法,認爲物理隔離就安全,實際上這是個錯誤的判斷,我曾經接觸過很多安全管理員,跟我分享他們內部專網的網絡也面對的安全問題。雖然他們對整個互聯網通信隔絕了,但存在物理架構的問題,他們用非常古老的系統,有古老的蠕蟲病毒在內網肆虐,雖然通過防火牆和網閘把網絡通信隔離了,但是仍然有一些媒介通過非網絡渠道進入,例如有人進去維護網絡可能會帶張光盤進入內網,如果這些媒介攜帶病毒,那就會被感染。那這個過程有點像人類歷史上病毒傳播的過程。物理隔絕的網絡並不能給你帶來絕對的安全。當有一天你發現雲外一點也不安全,你會到雲上來。
雲盾就是反黑客
圖3 雲盾體系
雲盾就是三個字:反黑客。我們主要解決三個問題,第一是解決因爲黑客入侵導致的數據泄露問題,這件事情現在已經變的越來越嚴重。第二是解決因爲黑客入侵導致的資金損失。第三是因爲黑客攻擊導致的業務中斷。
我們面臨的挑戰進一步加大
圖4 黑客導致的數據安全問題
整個互聯網面臨的形勢正在急劇惡化,據我們掌握的情報,今天黑客掌握的用戶信息庫超過100億條數據。公民信息數據泄露是非常可怕的,這些數據最終會流向黑色產業。這個黑色產業市值預估是非常高的。最近公安部公開懸賞電信詐騙排名前十的詐騙犯,同時我們看到太平洋對岸,美國總統奧巴馬在今年發佈了一個國家網絡安全的計劃,提出了190億美金專門用於扶持改善整個公民信息隱私保護,這是由兩個因素促成的,一個是公民信息泄露,第二是納稅人、政府僱員信息泄露。接下來會不會出現很難抵禦的問題,因爲黑客知道你叫什麼、住什麼地方、知道你所有的朋友關係,黑客也在用大數據。
雲盾的每一天都在保護雲上用戶數據
圖5 雲盾世界級安全能力
這是雲盾今天在阿里雲上做的事情。第一個數字30%,今天中國有超過30%的網站在阿里雲上,每天由雲盾爲他們服務,基於阿里雲的快速增長、爆發式增長,我認爲在未來五年這個數字會突破50%甚至70%。同時雲盾每天防禦超過一千次的DDoS攻擊,大家想象一下這是怎樣的規模。
數據能力是核心競爭力
雲盾的核心能力在大數據,我們認爲雲盾代表安全的未來,我們的信心來自於什麼地方?雲計算賦予我們對安全的理解。情報源自戰爭學,把它應用在網絡安全裏面成爲我們今天和黑客對抗最好的武器,我們稱爲威脅情報,又分爲戰術威脅情報、戰略威脅情報。今天有超過30%網站在阿里雲上,所以互聯網上有任何風吹草動都會第一時間被感知。去年年底,我們發現阿里雲上超過一千臺服務器連接一個韓國的IP,是一個黑客上傳了木馬,通過一個弱口令進來的,發現這個問題之後馬上對阿里雲上所有的服務器進行了緊急的升級和控網,這種情報是非常講究時效性的,如果晚一週知道,黑客感染的就不是一千臺服務器而是一萬臺服務器了。今天所有的安全公司都在或多或少做威脅情報,我也參加過一些威脅情報的會,我看到臺上講威脅情報的安全公司非常痛苦的說他們沒有數據。威脅情報的核心就在於數據,沒有數據做不成威脅情報,今天在阿里雲上我們可以做威脅情報。
圖6 雲盾核心能力
前面兩位介紹了阿里雲在流計算、實時計算部分的計算能力,雲盾的大數據安全分析系統就是基於MaxCompute(ODPS),爲什麼計算非常重要?舉個例子,今天我們是世界上唯一一家能夠在防火牆裏面拉黑超過一百萬IP黑名單的,首先這一百萬IP是有問題的,這和過去有了改變。雙十一期間,淘寶、天貓零點峯值的時候我們拉黑了一百萬IP,防黃牛黨等,從而保證了雙十一的正常運行。爲什麼我們能做到一下在一個產品裏面黑掉一百萬IP,因爲我們具有強大的彈性和擴展能力,如果我們還停留在買設備的思路上,單機CPU、內存是固定的,是不可能做到在計算能力上面有彈性和擴展性。今天我們在雲計算上做到了很多以前做不了的事情。爲什麼計算能力這麼重要?從大數據角度講我們還有很多東西可以做,只要我們一談到信譽就一定需要大量的計算,我們在過去很多安全防禦思路是基於特徵匹配,特徵匹配用量非常小,比如寫一個競爭表達式,包含很多攻擊特徵,把所有日誌全過濾一遍,這時候思路停留在過濾上,今天轉到了信譽上,信譽意味着你可能要針對每一個訪問客戶建模,把他過去歷史三個月的數據拉出來算一遍,看它的訪問率好不好,好就放前。這時候就帶來什麼問題,比如訪問率90%在正常區間的客戶挪到更好的體驗區,對於我們一些無法識別或者識別出來有問題的就落到沙箱裏進行有限制的控制。這背後帶來是整個訪問體驗、用戶體驗的提升,這個事情在沒有足夠的能力之前是根本沒有辦法做到的。
圖7所有層面(All IT Layers)的安全大數據
我認爲雲計算的核心價值在於不同數據匯聚於一點,這纔是雲計算最大的價值,很多人根本沒搞明白爲什麼這件事情非常重要,因爲這是可以讓數據產生1+1>2價值的前提,因爲我們意識到數據是搬不動的,計算是可能搬得動的,所以必須讓計算髮生在數據所存在的地方。有些跨國公司在中國有業務、美國有業務,如果要把美國和中國數據關聯起來算一個結果會非常痛苦,因爲沒有辦法把美國的數據搬到中國,如果美國每天產生一個PB的日誌怎麼搬過來呢?只能建一個計算集羣,所以如果美國數據、中國數據沒有辦法打通進行關聯計算,很多價值就會稀釋掉,所以我認爲雲計算最大的價值就是在於讓數據發生它的關聯,這種關聯可以是市場化、也可以是主動的應用。在雲計算上可以匯聚各個不同層面的數據以及內部和外部不同的提交的數據,只有數據匯聚在同一點才能產生更大的價值。
圖8 態勢感知-可見的安全
雲盾在大數據安全分析落地的系統我們把它稱之爲態勢感知。系統其實用大量數據關聯做到了以前做不到的事情,今天是國內唯一一個能夠自動化分析出整個入侵行爲的、入侵路徑的安全產品。舉例子,當一個服務器被黑客植入了木馬我們可以通過關聯的東西自動分析出到底是通過什麼漏洞進來的,這中間就用到大量計算需要大量建模。以前的做法是需要投入一個經驗足夠的專家分析所有的日誌,出分析報告,之前所有的公司是這樣做的,今天在這裏實現了自動化。同時這也是可以分析出入侵之後幹了什麼的系統,比如黑客進來之後也許刪了一個文件、偷走了一個東西、導了一個數據,這些東西都能自動監控出來。同時也是唯一能夠自動溯源黑客身份的安全系統,我們知道一個攻擊者背後的動機是什麼,他還想幹什麼、下一步想幹什麼。我們之前曾經遇到過一個案例,發生在P2P的服務器上,通過這個IP我們如何知道IP背後的人是誰,今天絕大部分的安全公司能告訴你是什麼問題、什麼地方漏洞、攻擊者是誰,只能告訴你IP是誰,沒有辦法告訴你IP背後的人是誰,這時候就需要很多關聯數據了,通過這個數據能力我們給行業帶來了一些新的價值和新的能力。
反擊:Silver Loads黑客溯源
圖9 黑客溯源
這是我們在2014年的時候追蹤的一個巴西的黑客,它攻擊了超過三萬臺服務器,我們追蹤到黑客本人,在地圖上定位他所在的公寓樓。
雲盾DDoS防禦-最大的雲清洗中心
圖10 雲盾DDoS防禦
在安全的各個方面,包括DDoS我們也在用安全計算的方式在改變。如果大家熟悉DDo S的話,我們在2014年成功阻止了史上最大的攻擊。
圖11 止血:453.8Gbps-史上最大的DDoS攻擊
圖12 預警:將DDoS扼殺在搖籃
現在我們在利用大數據和雲計算情況下,嘗試改變和定義雲計算安全。在DDoS發生的時候完全有可能把用戶遷移到另外一塊完全正常的可用區,把異常的請求丟掉,這就是因爲有了數據所以給我們在防禦上帶來心思路,這些思路是行業顛覆性的。
雲盾的社會責任
圖13 雲盾的社會責任
因爲雲計算彙集了不同數據,因爲雲計算提供了計算能力,所以,雲計算賦能了雲盾代表未來的安全能力。我們纔有信心做到雲上比雲外安全做的更加好,未來客戶也會因此而上雲。在某種程度上可以看到這個趨勢,中國超過30%未來可能50%-70%的業務都在阿里雲上,所以某種程度上阿里雲和AWS在未來的對比反映了中國和美國兩個國家在網絡安全領域的對抗,一旦某一天再發生像2000年或者中美黑客大戰的話,我相信那一天中國一定有取得上風的優勢。這是我們的使命也是我們信心的來源,也是雲盾應該承擔的責任,所以我們不僅僅是一家商業公司,我們對社會需要盡的責任,會提升整個網絡空間的安全程度。這就是我想說的,雲盾未來會代表整個安全的未來。謝謝大家!
本文轉載自雲棲社區:https://yq.aliyun.com