QConShanghai魏興國彈性計算云安全現(xiàn)狀反思以及展望

QCon北京2014大會4月25—27日@InfoQinfoqchina

特別感謝QCon上海合作伙伴彈性計算云安全

阿里巴巴魏興國（云舒）2013年10月——現(xiàn)狀、反思以及展望關于我04年離校國貿(mào)專業(yè)05年綠盟滲透測試06年雅虎IDC、Office安全08年阿里2008-2010集團系統(tǒng)、網(wǎng)絡安全策略2010-現(xiàn)在云計算安全目錄彈性計算的新風險阿里的解決方案現(xiàn)狀的反思未來云安全的展望彈性計算的新風險傳統(tǒng)安全域被打破不同用戶混雜不同業(yè)務混雜來自內(nèi)部的攻擊彈性計算的新風險傳統(tǒng)手段失效ACL無法控制VM間的流量無法統(tǒng)一監(jiān)控全網(wǎng)的攻擊行為彈性計算的新風險大規(guī)模帶來的問題交換機CAM表容量不足ARP廣播、NBNS廣播風暴全局性的ARP欺騙、以太網(wǎng)端口欺騙攻擊更頻繁的外部攻擊、入侵嘗試彈性環(huán)計算變的新巨風險虛擬脊層穿俯透入侵本宿主互機等際同于煎入侵鄰了傳輔統(tǒng)的疑交換胸機宿主子機功膏能更舒復雜暗，更浴容易急被入香侵廠商搶的解剃決方肯案網(wǎng)絡錯虛擬矩化標劫準80輔2.剩1世Qb盤g（VE倡B、VE工PA、Mu剛lt最i-斯Ch肥an郊ne葛l）80激2.甩1印Qb因h/雨80拒2.旅1B若R（VN困-T村ag、VN折-L餅in弱k）阿里僻的解怖決方奇案為什奴么自尾己做謀？廠商碑方案宣本質(zhì)是個網(wǎng)踏絡模揉擬器定制蝴化更杠靈活讀、高劃效、熔強大阿里轟的解闖決方始案網(wǎng)絡扯層架陡構基于業(yè)務臨的分芝布式均虛擬洪交換奇機基于清用戶ID來分奇組虛目擬機控制恢策略斧下發(fā)維到宿首主機劣，隨VM遷移蓬而遷移完備理的安笨全功丟能阿里跟的解綁決方產(chǎn)案訪問披控制潤策略固化障不可營修改皇的全拘局策南略不同組默蹤蝶認隔四離動態(tài)律綁定勺過濾IP、AR浪P、Et尤he杰rn民et頭部凈欺騙帶寬法控制乖、廣至播風涼暴抑性制用戶描通過WE堡B搜AP拿I自定既義策呈略遠程躍控制虹端口爛訪問齡源列鉆表其它彩自定桶義策傭略阿里繁的解怖決方額案云盾—服務疑器安悉全DD去oS防御系統(tǒng)主機入侵江防御子系統(tǒng)網(wǎng)站粱安全反防御躍系統(tǒng)服務碼器健認康掃糟描系飼統(tǒng)WE下B應用網(wǎng)頁耐掛馬端口哨與服務阿里拋的解盯決方享案云盾釋的效農(nóng)果每天10老0起DD陷oS攻擊想，最館大流擾量80堡Gb遣ps，10煌%的攻狼擊超升過5G屬bp扶s，99壇.9配9%自動軟處理每天20覆0億次繳密碼績猜解爬，99全.9斤9%防御赤成功每天10訂00萬次WE蜘B攻擊匯，10罷0%防御平均彩每周促捕獲處一個0D主ay（未往公開在漏洞沿）！阿里鑰的解簡決方造案業(yè)務釋安全云服喘務器鋤對外何攻擊銳檢測過濾像偽造就報文BP貧S、PP殼S、QP臉S、Co剛nn染ec洲ti溪on檢測惡意矮行為君檢測對外芬掃描WE濤B漏洞密碼漸破解垃圾郵件援發(fā)送黃賭毒應它用的土檢查阿里頌的解惹決方焰案用戶允隱私撞問題沒有姑云服烤務器埋系統(tǒng)恥權限不分筐析應首用數(shù)異據(jù)，晨只做門宏觀擇的統(tǒng)期計測謎量云安優(yōu)全現(xiàn)皆狀的幟反思關于量用戶循區(qū)域炮劃分三層包隔離樂是最須好的購選擇鼓么？多條澡防欺籠騙策污略是弓否有彼損性猜能？云安乳全現(xiàn)凈狀的多反思關于分布倡式虛閑擬交灣換機能夠押支撐丸多少姿條自秋定義咽策略模？宿主駱機規(guī)模建達到10萬的征時候憤是否伍還可趣維護狂？云安框全現(xiàn)宣狀的語反思用戶砌群體身繼續(xù)法擴大我們隊是否溉可以腿滿足者多樣捆化的疲安全湖需求筑？能否釀方便課的接存入第通三方典安全削提供跡商？云安麗全的嘉未來用設想VP思C虛擬菠專用袖云不同綿用戶近網(wǎng)絡絨在二層隔離廣播包在小貢范圍惰內(nèi)終霞結(jié)無需沿大量濁防欺踐騙策蔽略云安耳全的竭未來暗設想VP材C虛擬善專用爬云基于im窩ag趕e的自劫定義VM網(wǎng)關IP憐S？FW？WA芽F？UT剩M？再進川一步沈？云安談全的里未來快設想安全君產(chǎn)品撕虛擬齊化、懂資源衡化將不犁同硬批件抽據(jù)象成妹統(tǒng)一婆的容牢器，政安全船功能悔剝離釀出來互，開孟放接吩口給件第三臥方安廳全廠暢商非模色擬器僑的方畝式來節(jié)集中壘部署步控制砌策略所有爺安全防產(chǎn)品漂服務葵都透宜明接灣入、戀透明變更云安平全的誦未來驚設想兩個戴條件按需可造得的粉計算令資源按需胖變更謀的網(wǎng)起絡結(jié)油構云安搏全的伍未來旱設想安全軟件硬件盒子物理布線彈性VMSDN網(wǎng)絡云安景全的問未來慰設想云安尚全市者場用戶皂繪制頸包含頃安全緞產(chǎn)品蓮的網(wǎng)肯絡拓錯撲圖用戶栽選擇顆各安定全產(chǎn)州品的撥提供妄商云計占算控陜制系鄉(xiāng)豐統(tǒng)加怎載對孕應Im血ag舟e，基葉于SD占N生成扯網(wǎng)絡云安師全的桃未來灑設想IA草AS（基眨礎架礦構即陪服務巾）云提供商Fi安re唐wa辨ll生I瞇ma品geIP億S肌Im記ag昆eWA害F胞Im捕ag鄙e眾多妄安全削廠商業(yè)務VM業(yè)務VM業(yè)務VM云用柴戶業(yè)務VM業(yè)務VM云安債全的責未來冰設想困難SD倡N遲遲嶺不能掀得到痕應用廠商朗對im貼ag占e中的革代碼董、策腿略安懸全性釀存疑這種煮模式裳是否括可以瞧發(fā)展徒起來莊？云安共全的夫未來岸設想從透口明接輩入WA查F開始伶探索集中打部署WA現(xiàn)F，宿水主機拖上DN丘AT宿主慢機上句分布無部署WA鞠F，宿酬主機騎上DN嶄ATBG塘P引流OS謀PF回注伙，WA陣F上DN袖AT和路歇由轉(zhuǎn)今發(fā)VM網(wǎng)關臥，自走己掌述控軟路由更多艦其它若方案……云安僚全未蝴來的極設想CS墓RCS遠Wsw兄it春chWA五FTr輛af盛fi牲c映Se勁rv