QConShanghai魏興國彈性計(jì)算云安全現(xiàn)狀反思以及展望

QCon北京2014大會(huì)4月25—27日@InfoQinfoqchina

特別感謝QCon上海合作伙伴彈性計(jì)算云安全

阿里巴巴魏興國（云舒）2013年10月——現(xiàn)狀、反思以及展望關(guān)于我04年離校國貿(mào)專業(yè)05年綠盟滲透測試06年雅虎IDC、Office安全08年阿里2008-2010集團(tuán)系統(tǒng)、網(wǎng)絡(luò)安全策略2010-現(xiàn)在云計(jì)算安全目錄彈性計(jì)算的新風(fēng)險(xiǎn)阿里的解決方案現(xiàn)狀的反思未來云安全的展望彈性計(jì)算的新風(fēng)險(xiǎn)傳統(tǒng)安全域被打破不同用戶混雜不同業(yè)務(wù)混雜來自內(nèi)部的攻擊彈性計(jì)算的新風(fēng)險(xiǎn)傳統(tǒng)手段失效ACL無法控制VM間的流量無法統(tǒng)一監(jiān)控全網(wǎng)的攻擊行為彈性計(jì)算的新風(fēng)險(xiǎn)大規(guī)模帶來的問題交換機(jī)CAM表容量不足ARP廣播、NBNS廣播風(fēng)暴全局性的ARP欺騙、以太網(wǎng)端口欺騙攻擊更頻繁的外部攻擊、入侵嘗試彈性環(huán)計(jì)算變的新巨風(fēng)險(xiǎn)虛擬脊層穿俯透入侵本宿主互機(jī)等際同于煎入侵鄰了傳輔統(tǒng)的疑交換胸機(jī)宿主子機(jī)功膏能更舒復(fù)雜暗，更浴容易急被入香侵廠商搶的解剃決方肯案網(wǎng)絡(luò)錯(cuò)虛擬矩化標(biāo)劫準(zhǔn)80輔2.剩1世Qb盤g（VE倡B、VE工PA、Mu剛lt最i-斯Ch肥an郊ne葛l）80激2.甩1印Qb因h/雨80拒2.旅1B若R（VN困-T村ag、VN折-L餅in弱k）阿里僻的解怖決方奇案為什奴么自尾己做謀？廠商碑方案宣本質(zhì)是個(gè)網(wǎng)踏絡(luò)模揉擬器定制蝴化更杠靈活讀、高劃效、熔強(qiáng)大阿里轟的解闖決方始案網(wǎng)絡(luò)扯層架陡構(gòu)基于業(yè)務(wù)臨的分芝布式均虛擬洪交換奇機(jī)基于清用戶ID來分奇組虛目擬機(jī)控制恢策略斧下發(fā)維到宿首主機(jī)劣，隨VM遷移蓬而遷移完備理的安笨全功丟能阿里跟的解綁決方產(chǎn)案訪問披控制潤策略固化障不可營修改皇的全拘局策南略不同組默蹤蝶認(rèn)隔四離動(dòng)態(tài)律綁定勺過濾IP、AR浪P、Et尤he杰rn民et頭部凈欺騙帶寬法控制乖、廣至播風(fēng)涼暴抑性制用戶描通過WE堡B搜AP拿I自定既義策呈略遠(yuǎn)程躍控制虹端口爛訪問齡源列鉆表其它彩自定桶義策傭略阿里繁的解怖決方額案云盾—服務(wù)疑器安悉全DD去oS防御系統(tǒng)主機(jī)入侵江防御子系統(tǒng)網(wǎng)站粱安全反防御躍系統(tǒng)服務(wù)碼器健認(rèn)康掃糟描系飼統(tǒng)WE下B應(yīng)用網(wǎng)頁耐掛馬端口哨與服務(wù)阿里拋的解盯決方享案云盾釋的效農(nóng)果每天10老0起DD陷oS攻擊想，最館大流擾量80堡Gb遣ps，10煌%的攻狼擊超升過5G屬bp扶s，99壇.9配9%自動(dòng)軟處理每天20覆0億次繳密碼績猜解爬，99全.9斤9%防御赤成功每天10訂00萬次WE蜘B攻擊匯，10罷0%防御平均彩每周促捕獲處一個(gè)0D主ay（未往公開在漏洞沿）！阿里鑰的解簡決方造案業(yè)務(wù)釋安全云服喘務(wù)器鋤對(duì)外何攻擊銳檢測過濾像偽造就報(bào)文BP貧S、PP殼S、QP臉S、Co剛nn染ec洲ti溪on檢測惡意矮行為君檢測對(duì)外芬掃描WE濤B漏洞密碼漸破解垃圾郵件援發(fā)送黃賭毒應(yīng)它用的土檢查阿里頌的解惹決方焰案用戶允隱私撞問題沒有姑云服烤務(wù)器埋系統(tǒng)恥權(quán)限不分筐析應(yīng)首用數(shù)異據(jù)，晨只做門宏觀擇的統(tǒng)期計(jì)測謎量云安優(yōu)全現(xiàn)皆狀的幟反思關(guān)于量用戶循區(qū)域炮劃分三層包隔離樂是最須好的購選擇鼓么？多條澡防欺籠騙策污略是弓否有彼損性猜能？云安乳全現(xiàn)凈狀的多反思關(guān)于分布倡式虛閑擬交灣換機(jī)能夠押支撐丸多少姿條自秋定義咽策略模？宿主駱機(jī)規(guī)模建達(dá)到10萬的征時(shí)候憤是否伍還可趣維護(hù)狂？云安框全現(xiàn)宣狀的語反思用戶砌群體身繼續(xù)法擴(kuò)大我們隊(duì)是否溉可以腿滿足者多樣捆化的疲安全湖需求筑？能否釀方便課的接存入第通三方典安全削提供跡商？云安麗全的嘉未來用設(shè)想VP思C虛擬菠專用袖云不同綿用戶近網(wǎng)絡(luò)絨在二層隔離廣播包在小貢范圍惰內(nèi)終霞結(jié)無需沿大量濁防欺踐騙策蔽略云安耳全的竭未來暗設(shè)想VP材C虛擬善專用爬云基于im窩ag趕e的自劫定義VM網(wǎng)關(guān)IP憐S？FW？WA芽F？UT剩M？再進(jìn)川一步沈？云安談全的里未來快設(shè)想安全君產(chǎn)品撕虛擬齊化、懂資源衡化將不犁同硬批件抽據(jù)象成妹統(tǒng)一婆的容牢器，政安全船功能悔剝離釀出來互，開孟放接吩口給件第三臥方安廳全廠暢商非模色擬器僑的方畝式來節(jié)集中壘部署步控制砌策略所有爺安全防產(chǎn)品漂服務(wù)葵都透宜明接灣入、戀透明變更云安平全的誦未來驚設(shè)想兩個(gè)戴條件按需可造得的粉計(jì)算令資源按需胖變更謀的網(wǎng)起絡(luò)結(jié)油構(gòu)云安搏全的伍未來旱設(shè)想安全軟件硬件盒子物理布線彈性VMSDN網(wǎng)絡(luò)云安景全的問未來慰設(shè)想云安尚全市者場用戶皂繪制頸包含頃安全緞產(chǎn)品蓮的網(wǎng)肯絡(luò)拓錯(cuò)撲圖用戶栽選擇顆各安定全產(chǎn)州品的撥提供妄商云計(jì)占算控陜制系鄉(xiāng)豐統(tǒng)加怎載對(duì)孕應(yīng)Im血ag舟e，基葉于SD占N生成扯網(wǎng)絡(luò)云安師全的桃未來灑設(shè)想IA草AS（基眨礎(chǔ)架礦構(gòu)即陪服務(wù)巾）云提供商Fi安re唐wa辨ll生I瞇ma品geIP億S肌Im記ag昆eWA害F胞Im捕ag鄙e眾多妄安全削廠商業(yè)務(wù)VM業(yè)務(wù)VM業(yè)務(wù)VM云用柴戶業(yè)務(wù)VM業(yè)務(wù)VM云安債全的責(zé)未來冰設(shè)想困難SD倡N遲遲嶺不能掀得到痕應(yīng)用廠商朗對(duì)im貼ag占e中的革代碼董、策腿略安懸全性釀存疑這種煮模式裳是否括可以瞧發(fā)展徒起來莊？云安共全的夫未來岸設(shè)想從透口明接輩入WA查F開始伶探索集中打部署WA現(xiàn)F，宿水主機(jī)拖上DN丘AT宿主慢機(jī)上句分布無部署WA鞠F，宿酬主機(jī)騎上DN嶄ATBG塘P引流OS謀PF回注伙，WA陣F上DN袖AT和路歇由轉(zhuǎn)今發(fā)VM網(wǎng)關(guān)臥，自走己掌述控軟路由更多艦其它若方案……云安僚全未蝴來的極設(shè)想CS墓RCS遠(yuǎn)Wsw兄it春chWA五FTr輛af盛fi牲c(diǎn)映Se勁rv