阿里云盾:护航DT时代 安全创世纪

如今变革成为时代的主题。从IT到DT时代,需要技术的变革;DT时代的到来,更需要安全防御的变革与替代。阿里云盾就是护航DT时代的产品之一。

云盾真正要做的事情是解决整个平台满足100%客户的安全需求。如果涉及到垂直行业的需求,那就是各个厂商和生态的生存空间。同时阿里云的云计算和传统IT的关系不是升级关系,而是彻底的替代关系。因此,云安全的云盾将在未来解决大量存在的安全需求。现在很多传统安全厂商正在做网络基本攻防对抗,但在未来安全领域需要不断地进行升级和替代,才能解决用户业务安全的问题。这才是未来安全最大的一块蛋糕。

首先,安全具有专业性和复杂性。通过第三方的监测机构检测出的安全漏洞非常多,目前还没有一劳永逸的办法杜绝漏洞,但我们可以做好漏洞管理和风险控制。专业的事情由专业的团队去做,云盾由此而生。从IT到DT时代,云计算带来重新定义和改变整个基础设施环境的机会,这个机会促使很多安全需求和场景发生变化。过去,传统的安全企业倾向于销售边界安全的设备,今天,很多安全企业的产品形态则以硬件设备销售为主。除了等级保护要求规定之外,在一个托管的IDC环境里,在服务器当中预装软件,则会引起运维团队担忧预装软件带来额外的风险,较难实现。但是,在今天云计算环境里,通过预装进项、自定义进项,可以实现软件预装。由此带来了产品形态新的变化。在网络边界使用安全设备,则会带来一些弊端,比如主机上的风险,有些风险只有软件装在硬件内部才能看到。安全产品新形态会实现在云计算的环境里看到以前看不到的内容,所以在安全方面看得到的一个机会,随着云计算诞生了。云盾的定位是解决所有用户都有的基础攻防类的需求,面向海量用户,而把更多的空间留给生态合作伙伴去运作。云盾的使命是建设更安全的互联网,成为整个网络空间基础的安全设施。

从最近发布的云盾DDoS的趋势报告看到,目前存在五个趋势。第一,大流量的攻击正变成主流趋势;第二,游戏行业仍是整个DDoS的重灾区,遥遥领先其他行业,在企业官网里金融行业占到了大多数;第三,国外攻击源是越南,从数据来看,越南整体网络状况非常差,安全基础建设很薄弱,因此越南成为DDoS和僵尸网络肆虐的重灾区;第四,超过70%的攻击时间在0~30分钟之内,可能因为攻击成本低,见效快的缘故,如果持续时间过长,会增大攻击者的成本,意味着能坚持30分钟的网站就没有什么问题;第五,是来自移动端,即来自手机平板发起的攻击,占30%。所以,DDoS攻击不仅来自PC和服务器,也来自手机等移动端。对于后门木马的检测,目前还缺乏足够的手段去保护移动设备的安全。现在,通过数据可以看到,目前的攻击是30%,我们相信未来还会持续增加。

前面谈到的都是来自DDoS的观测,DDoS的需求则是网络空间基础的安全需求,在攻防层面处于网络底层,可以看到要解决的问题。DDoS防御的痛点则是成本高。DDoS防御成本主要体现在带宽费用方面,DDoS瓶颈在于机房的出口带宽,出口带宽主要由运营商掌控,当DDoS攻击达到100G、200G时,DDoS防御不可能有相应的带宽储备,这对于正常运营只需1个G或者500兆来说成本是非常高的。在2014年12月,云盾成功防御了全球互联网史上最大的DDoS攻击453G。这个事件也引发了很多安全企业的带宽“军备竞赛”。但带宽的“军备竞赛”并不是解决DDoS防御问题的唯一途径。

目前把业务切到CDN里大部分解决静态图片和文件加速,并不能解决动态问题,但云防护厂商能够解决动态的问题。即新发布产品云盾安全网络。

云盾安全网络就是安全可靠的接入服务,能够通过为用户提供不同的节点,提供安全稳定和快速的流量,无论是利用手机还是电脑,都能够通过安全网络来访问用户的业务。云盾安全网络具备三个特性:第一个是安全,在网络里同时解决DDoS、资源和Web攻防问题;第二个是稳定,可部署多区域节点,整体可用性会达到99.99%;第三个是快速,BGD带宽接入,跨运营商,可就近访问。

以下通过用户使用安全网络的案例,体验具体的安全防护。

DDoS攻击的转移具有时间成本,DDoS转移一次的时间是10分钟左右,因此,可以通过分布式的节点解决用户DDoS问题,即所有的用户把流量切到数百个节点上,其中一个结点被DDoS攻击时,就把此节点所流量均匀分配到另外一些节点上,跟攻击者“捉迷藏”。

云盾安全网络还会形成一个界面,提供各个客户端SDK的接入,同时会让用户去配置他的应用和分组。对于游戏客户来说,非常容易理解,它的战斗服务器,或者跟踪服务器对应安全网络的服务组。

在我们的平台上有一家电商客户,受到的攻击非常频繁,一个月DDoS攻击达到了161次。如果使用云盾的高防IT产品,他需要买一个高防IP,单线路是1.68万元,高防是3万多元,但他用2000元买了20个节点,没花流量钱,还收到免费赠送的100个G,最后他解决的问题的成本是2000元。今天,大家都在谈变革,云盾自己也在革自己的命,这需要非常大的勇气。其中涉及到的高防和安全网络这两个产品有什么区别呢?实际是在定位上有一些区别。高防IP单价高,但SIA也非常高,适合金融等可靠性极高的行业;对于更多弹性比较强的业务,比如游戏、手机APP和电商允许有一定的弹性,更适合性价比具有弹性的解决方案,即云盾安全网络。

今天讲的只是安全网络的一个现状,但未来怎样发展?这些都值得我们去期待。从现实的影子可以构想未来技术发展的蓝图。在我们的构想中,希望有这样的一张网,天生就隔绝了所有的攻击,天生就保证安全的网络,这是云盾安全网络最终追求的一个目标,我们要建设一张这样的网,今天才刚刚起步。云盾安全网络是一个充满想象的空间,能够解决网络安全的基础设施,最终以接入服务的方式为用户提供服务。展望未来可以想象到安全网络是一个充满黑科技,充满想象力的安全网络。(本文摘录整理自作者在2015杭州云栖大会上阿里巴巴研究员 吴翰清的发言报道)

DDoS高防IP更多介绍:https://www.aliyun.com/product/ddos/

该日志由 91aliyun 于2015年12月17日发表在 经验分享 分类下, 你可以发表评论,并在保留原文地址及作者的情况下引用到你的网站或博客。

转载请注明:阿里云盾:护航DT时代 安全创世纪

关键词:云盾
分享到:

阿里云盾:护航DT时代 安全创世纪:目前有1 条留言

  1. 沙发
    eeli:

    OH,GOOD BLOG.

    2015-12-19 下午 3:28 [回复]

发表评论


快捷键:Ctrl+Enter