阿里技术工程师讲述云盾背后的故事

51七星瓢虫

“非常糟糕。创业型云计算公司为了发展业务，并没在安全上投入精力。而且，安全是个很需要资源的行业，例如DDoS防御需要带宽费用——而他们往往选择了放手不管。”阿里云资深安全专家魏兴国这样评价国内的云计算安全现状。

而大公司的优势在于，一方面他们有着较好的带宽能力，另一方面从防护自有业务转向防护云产品也有基础，会随着云业务的成长不断来建设防护体系，提升防护能力。“云盾”就是阿里巴巴集团安全技术研究积累的成果，它结合阿里云计算平台的数据分析能力，提供安全漏洞检测、网页木马检测，以及面向云服务器用户提供的主机入侵检测、防DDoS等安全服务。云盾技术团队的三位技术核心工程师魏兴国、李爽、聂万泉向CSDN记者讲述了云盾背后的故事。

云盾的建立
走入云安全领域，对他们来说是个很自然的过程。2009年初，阿里巴巴集团研究院成立，负责云计算方面的初始研究，这就是阿里云的前身。此时魏兴国从B2B公司抽调过来，负责云计算的安全预研。2009年9月成立阿里云之后，集团研究院就是阿里云的启动人员了。从那时起，五年中他一直专注于云计算安全。他所在的团队主要负责其中DDoS防御、网站入侵防御、网络漏洞扫描及风险控制4个子产品的设计、开发、运营。普通开发者对“风险控制”了解较少，它可以理解成两个部分：一个是规范云主机，禁止非法行为；二是禁止恶意抢注云主机。

李爽目前所在的是“技术保障-性能与容量”团队，主要负责阿里巴巴基础架构方面的规划于成本优化。之前在网络团队中，他是负责人，而其中与云安全最相关的是“网络防攻击团队”。2012年，他们意识到，随着互联网的发展，用户宽带不断提速，黑客可控制的流量也越来越大，就在此时，高性能网络组件研发团队应运而生，“防攻击”作为重要平台开始了建设。2013年的防攻击主要在自有业务方面，2014年则开始全面面向云安全。

云用户对网络的需求也逐渐增多，李爽提出VPC方案，一方面用于解决用户私有网络的需求，另外一方面从安全角度实现用户的网络隔离。

聂万泉介绍说，云盾目前是阿里云的安全品牌，包含一系列子产品。它大量使用了阿里云的服务，包括ECS、ODPS、CDN、SLB等，许多服务都工作在云上，“我们是阿里云的云计算客户，阿里云又是云盾的安全客户。”

预想之中与预料之外
云盾并非完全沿着他们最初设想的路线发展。起先，云盾的目的单纯是为了保护用户数据不被黑客窃取，保护云服务器不被黑客入侵。但随着业务越来越壮大，云盾的领域也逐渐扩大，例如前文提到的风险控制。因为他们发现，许多有不轨意图的人，意识到从外部入侵困难，就直接抢注免费试用的云主机，或者直接花钱购买云主机，进行非法勾当。这就要求云盾的技术人员在更广阔的领域思考，扩展云盾的边沿。

云盾刚上线得到了良好的反馈，因为从无到有，用户突然间就拥有了一道屏障，解决了他们棘手的安全问题。从技术角度，在三位工程师看来，云盾的发展过程有三个里程碑。

商业到自研：原来云盾使用了商业设备抵御DDoS攻击，而从2012年开始全面转向自研防攻击平台。

满足到优雅：防攻击平台最初只为达到基本的防护能力，在防御过程中存在误伤。新的防攻击平台在性能极大提升的基础上，误伤率大大降低，他们称其为“优雅防护”，不打搅用户。

虚拟网络隔离：在关注DDoS防护的同时，从用户的网络角度出发，设计了VPC的体系，对不同用户网络进行隔离，也可以让同一用户的不同网络，根据需求设计访问控制，提供更灵活的网络方案。

全面的防护体系技术
从技术上看，云盾依靠“数据”形成体系。如图1所示，HIPS发现WAF遗漏并反馈；恶意行为检测发现WAF和HIPS两者的遗漏并反馈；WAF和HIPS报警，恶意行为监测系统重点关注指定机器的最近行为。多种产品形成合力，最终组成云盾的防御体系。而从底层网络来看，其核心技术有两项，一是高性能网络处理框架，另外一个就是VPC了。

安全领域容不得百密一疏，不久前的iCloud照片泄漏事件就是典型的木桶原理——苹果的各个接口都做了密码尝试次数限制，却唯独忽略了Find My iPhone。结果黑客利用了这一点，尝试猜解密码最终得到了大量的照片和隐私信息。三位专家介绍说，在阿里云，他们有着完善的SDL流程，确保每个接口都使用了一致的安全策略。

而对于云平台的僵尸主机威胁，云盾的风控体系与之应对——首先，免费的试用主机不会被自动程序抢拍，而且控制了抢拍速率。其次，云盾还有完善的网络控制策略，限制了云主机某些特殊报文发送速率。最后，它拥有流量监控、分析系统，能发现网络中的异常流量，捕获僵尸主机行为。

“我们会对网络行为做分析，判断用户的行为是否正常。这是一个矛与盾较量的过程，我们在这个过程中不断优化防护方法和措施，保证用户的安全。云平台像一个大的市场，无法要求每个从业者都遵纪守法，但我们会用好的监测手段发现违法乱纪者，不会手软。”他们这样说道。

李爽谈起发生在自己身边的故事：“有个朋友的公司会经常租用我们的云主机，一方面网络质量较好，他用这些主机做代理，优化用户的访问；另一方面，在网站受攻击时，他将域名切换至云主机，利用云盾防护，正常访问再通过代理方式回到他自己的服务器。”

安全产品提供的只是一种安全感？
远非如此，给用户切实的安全是一切的基础。在此之上，才是让用户知道自己安全，感受安全。用户一定先有安全收益，才能体会安全感。从另一个角度看，用户也希望安全产品能更好地保护自己，毕竟现今的安全形势依然严峻。

谈起云安全的定义，以及与传统安全相比云安全的特点，几位专家解释说。

首先是规模。现有的云业务，每周遭受的DDoS攻击在2000次左右，而Web攻击则在亿级别，攻击次数高过传统安全几个数量级。

其次是领域范围。云安全需要做许多以前不用考虑的事情，例如用户使用云资源发垃圾邮件，做钓鱼欺诈网站等，这些都需要格外关心，并且妥善处理。

最后是技术挑战。云中的用户互不信任，服务商需要防止他们互相攻击，还要防止他们攻击外部，更要提防他们攻击云服务商网络。

他们认为，云安全可以与社会安全类比——他们都具有多样性、规模化的特点。谈到未来，他们说：“用户使用了一段时间之后，对我们有更高的要求，需要我们从发布的60分做到80分、90分，对我们挑战很大，我们还在继续努力”。

阿里巴巴集团2015校园招聘-“安全工程师”职位的报名仍在进行中！投递简历请前往阿里校招官网http://campus.alibaba.com/；
有疑问请咨询官网客服http://t.cn/RhD1NX2。