弹性计算云安全

云舒2012年11月22日

• 弹性计算基础安全

• 弹性计算业务安全

• 弹性计算安全的未来

凌乱的信任关系

如此之多区域，有人可信？

无力的访问控制

被放大的恶意攻击

攻击类型增多

覆盖范围更广

危害变大

大规模效应

• CAM表的问题

• ARP广播报文的问题

厂商的方案

802.1BR、VN-TAG

802.1Qbg、VEPA

SDN

阿里云的方案——网络安全

• 分布式访问控制

– VM基于用户分组

– 策略自动迁移

• 动态报文检测

– VM信息动态绑定

– 发送端过滤

• 风暴控制

– MAC NAT

– ARP Proxy

阿里云的方案——系统安全

• 基线安全

– 安全加固镜像

– 系统服务扫描

• 帐号安全

– 密码破解拦截

– 异地登录报警

• 弹性计算基础安全

• 弹性计算业务安全

• 弹性计算安全的未来

为什么要做业务安全

我们的思想

零侵入性，为用户提供

个性化的安全保障，对每个

业务进行精准化的防护。

我们的思路

基于流量分析、数据挖掘的安全

我们的数据

某云计算节点3台服务器，每秒分析

24Gbit流量，攻击发生的5秒内触发

防御体系，99.72%的攻击自动化处理

最近三个月内最大攻击27Gbit/s

我们的数据

WEB漏洞扫描系统，每天覆盖4000

万 URL地址，吞吐流量30Tbit，检测

31 类WEB漏洞。

我们的技术架构

AnalyzerCluster

UDP ServerCluster

Reporter实时计算

Hadoop离线计算

Redis Cache

Aliyun RDS

HTTP INFO

TrafficINFO DDOS防

御系统

WEB扫描

挂马检测

WEB Shell侦测

WEB攻击分析

等等……

DDOS规则

• 弹性计算基础安全

• 弹性计算业务安全

• 弹性计算安全的未来

分布式SDN

• 实现方式

– 基于特定网卡芯片的主机端SDN

– 跨越宿主机的SDN交换机核心端

• 可能的问题

– 主机端太多的安全策略影响性能。

– 依赖物理芯片的能力，部署起来比较困难

混合式SDN ？

• 实现方式

– VEPA引流到网络

– SDN控制网络流向

• 可能的问题

– 缺乏在物理通道上区分逻辑通道的能力，在防

御ARP类攻击时比较困难