弹性计算云安全(Elastic Compute Cloud Security)
-
Upload
imyunshu -
Category
Technology
-
view
1.404 -
download
11
description
Transcript of 弹性计算云安全(Elastic Compute Cloud Security)
弹性计算云安全
云舒2012年11月22日
• 弹性计算基础安全
• 弹性计算业务安全
• 弹性计算安全的未来
凌乱的信任关系
如此之多区域,有人可信?
无力的访问控制
被放大的恶意攻击
攻击类型增多
覆盖范围更广
危害变大
大规模效应
• CAM表的问题
• ARP广播报文的问题
厂商的方案
802.1BR、VN-TAG
802.1Qbg、VEPA
SDN
阿里云的方案——网络安全
• 分布式访问控制
– VM基于用户分组
– 策略自动迁移
• 动态报文检测
– VM信息动态绑定
– 发送端过滤
• 风暴控制
– MAC NAT
– ARP Proxy
阿里云的方案——系统安全
• 基线安全
– 安全加固镜像
– 系统服务扫描
• 帐号安全
– 密码破解拦截
– 异地登录报警
• 弹性计算基础安全
• 弹性计算业务安全
• 弹性计算安全的未来
为什么要做业务安全
我们的思想
零侵入性,为用户提供
个性化的安全保障,对每个
业务进行精准化的防护。
我们的思路
基于流量分析、数据挖掘的安全
我们的数据
某云计算节点3台服务器,每秒分析
24Gbit流量,攻击发生的5秒内触发
防御体系,99.72%的攻击自动化处理
最近三个月内最大攻击27Gbit/s
我们的数据
WEB漏洞扫描系统,每天覆盖4000
万 URL地址,吞吐流量30Tbit,检测
31 类WEB漏洞。
我们的技术架构
AnalyzerCluster
UDP ServerCluster
Reporter实时计算
Hadoop离线计算
Redis Cache
Aliyun RDS
HTTP INFO
TrafficINFO DDOS防
御系统
WEB扫描
挂马检测
WEB Shell侦测
WEB攻击分析
等等……
DDOS规则
• 弹性计算基础安全
• 弹性计算业务安全
• 弹性计算安全的未来
分布式SDN
• 实现方式
– 基于特定网卡芯片的主机端SDN
– 跨越宿主机的SDN交换机核心端
• 可能的问题
– 主机端太多的安全策略影响性能。
– 依赖物理芯片的能力,部署起来比较困难
混合式SDN ?
• 实现方式
– VEPA引流到网络
– SDN控制网络流向
• 可能的问题
– 缺乏在物理通道上区分逻辑通道的能力,在防
御ARP类攻击时比较困难