阿里云双11访谈之云安全

  1. 云栖社区>
  2. 博客>
  3. 正文

阿里云双11访谈之云安全

场景研读 2017-11-06 15:09:44 浏览3264
展开阅读全文

双11第一波,红包领不停,点击看详情:https://promotion.aliyun.com/ntms/act/pre20171111.html


摘要:在阿里云双11访谈云安全专场中,阿里云安全资深产品专家建跃、阿里云安全高防产品经理黄犊以及阿里云安全安骑士产品专家文宣为大家介绍了阿里云安全团队的发展过程以及阿里云安全的DDoS高防IP、安骑士以及Web应用防火墙等产品的特点以及近期的发展变化。


以下内容根据访谈视频整理而成。


阿里云安全团队的成长发展史
阿里云安全团队从成立到现在已经经历了十多年的发展历程。在2005年的时候,阿里巴巴集团成立了自己的安全团队,这就是阿里云安全团队的前身。阿里巴巴安全团队成立之后,国内非常多的安全行业大牛比如肖力、云舒都加入了阿里巴巴的安全团队。从2005年到2008年,阿里巴巴安全团队主要支撑了淘宝、支付宝等阿里巴巴集团所有子公司的内部安全。2009年阿里云成立,安全团队就开始负责整个阿里云的安全建设工作。

到今天,阿里云安全团队已经经过了将近10年的发展。从维护内部的安全开始,到现在已经能够对外提供十几款商业化安全产品,其中就包括了DDoS高防IP、安骑士以及Web应用防火墙等。目前随着商业化的产品越来越多,阿里云安全团队也将自己的产品与合作伙伴的产品进行了融合,所以现在阿里云的客户可以在线上选择由阿里云自身提供的安全产品,也可以选择阿里云的合作伙伴提供的非常完善的安全产品。

磨炼:成功抵御全球最大DDoS攻击
提到DDoS,就不得不谈到在2014年时阿里云安全团队成功防御了全球最大的达到453G的DDoS攻击。其实在2014年全球最大的DDoS攻击到来的时候,阿里云安全团队面临着一个抉择:到底要不要去为这个用户持续地保驾护航?这是因为那时的DDoS防御成本是非常高昂的。但是阿里云安全团队最终选择了为客户保驾护航,并且功能抵御住了那次的DDoS攻击。从那次事件之后,阿里云安全团队更加坚定了建设更加强大的DDoS防护能力并为用户提供最基础的服务的信心。经过阿里云安全团队三年多的努力,目前阿里云已经将DDoS防御成本从原来的几百万降低到了现在的几十万。

DDoS高防IP简介
在2014年的时候,阿里云的高防IP产品还没有上线,当时帮助云上用户防御DDoS攻击还需要花费非常高昂的成本。而目前来看,阿里云已经把单个用户DDoS攻击的防御成本从几百万降低到了几十万元的水平。同时在2016年,阿里云高防产品也进行了一次比较大的改版,从控制台上来看,现在将高防分成了网站防护和非网站防护两个部分。所以现在不仅仅能够提供通用性的针对传统意义上的四层高防,现在针对HTTP以及HTTPS协议也提供了比较好的能力补充。这里值得一提的就是在今年的云栖大会上进行了重磅发布:阿里云高防已经能够做到将DDoS 300G能力的防护成本降低到36万元/年,现在的防护成本已经降低到之前十分之一的水平。

降低DDoS攻击防御成本,实现普惠安全防护
那么,为什么阿里云要降低防御DDoS攻击的成本呢?其实这需要从阿里云的一个客户说起,这个客户是一个以手机游戏为主要业务的初创企业,它在今年年中的时候遭受了持续地DDoS攻击,而且攻击峰值达到了700G以上,这次攻击的峰值之大在国内是非常少见的。而在这个客户被攻击的三到四天的时间内,阿里云因为这个攻击所付出的防御成本已经达到了30万,而客户的所有销售收入已经全部用于进行DDoS防御了,已经无法支撑业务的发展了。虽然后来阿里云帮助客户成功溯源、定位到并且抓捕到了黑客,但是这家公司在防御的过程中也付出了极大的代价,不仅仅业务受到了很大的影响,而防御费用也非常高昂。

当时情况下,阿里云高防已经为用户提供了尽可能大的防御能力,无论是在攻击流量高的时候将阈值调到上T级别,还是帮助用户进行海外的流量封禁,进行地域的、电信的、IDC的流量封禁以及跨网的流量封禁,阿里云安全专家全程中都在帮助用户抵抗DDoS攻击。这个攻击一直持续了三个星期左右,随着黑客肉机资源能力的下降,攻击流量也慢慢降低下来了。当最难捱的三个星期过去之后,阿里云帮助用户成功地定位到了黑客所在位置并且最终将攻击终止掉了。

而在DDoS攻击防御的过程中其实存在两个问题:第一、阿里云为用户进行防御的成本非常高昂;第二、用户支付给阿里云的成本也非常高。所以阿里云安全团队在今年决定把300G的防护能力实现普惠,真正面向所有用户。未来,300G以下的攻击只需要36万元/年就可以获取,而不是像之前300G的攻击防护高达2万元/天。通过现在阿里云与运营商的合作,比如与移动合建机房,与联通合作进行流量清洗等,阿里云已经能够为用户提供T级别的防御能力,同时也能够将300G的能力全部普惠给云上用户,能够让这些用户能够感受到云计算所带来的普惠能力。

安骑士简介
当提到“安骑士”这三个字的时候,大家可能并不理解是什么意思,其实阿里云的安骑士是一款服务器安全软件。大家都知道在PC上面往往会有一些安全管理软件,其实在ECS服务器上面也需要这样的主机安全防护软件。虽然与PC上面的安全管理类似,但是服务器安全管理所专注的事情则是不同的,接下来也为大家简单介绍一下。

其实安骑士这款产品在阿里云刚开始出售ECS的时候就已经存在了。在2001年的时候,阿里云安全团队就已经研发了主机安全产品安骑士,当时所提供的是一些免费基础的服务,到现在已经积累了百万级别的免费客户,安骑士也在为大家的ECS做着一些安全防护的工作。但是随着目前黑客攻击的手段不断地提高以及客户个性化的需求不断提出,安骑士也在不断地进行迭代更新,并且也推出了商业化的版本,能够帮助客户解决一些更加棘手的安全问题。

安骑士升级改版,全新漏洞管理功能
近期,安骑士进行了一次大型改版,在整个安全管理体系中将漏洞管理提升到了一个非常重要的位置。对于PC而言,大家可能关注更多的是一些病毒防护,所以会安装一些防病毒软件,而之所以在ECS上面选择了漏洞管理这个方向,是因为大家在使用PC时往往会主动地浏览互联网,所访问的网站可能本身就存在一些木马或者非法软件,这些一旦在我们的PC上面运行就会造成一定的损失,所以需要安装防病毒软件;而云上ECS是一个封闭的环境,运行的软件非常少,并且不存在主动浏览互联网的行为,只有被互联网访问的场景存在。而同样的,如果黑客想要入侵服务器则需要找到服务器的弱点也就是漏洞所在了,只有通过漏洞,黑客才能入侵服务器。所以安骑士将主机安全的中心放在了漏洞管理上面,现在不再提主机入侵防护而是在事前找到服务器所有的弱点,因为到防护的时候其实可能已经晚了,这时候业务可能已经遭受了很大的损失,所以需要在事前将弱点找到,将漏洞堵住,所以安骑士推出了全新的漏洞管理功能。

对于漏洞管理而言,阿里云之外也有很多厂家在做,但是阿里云定位自己与其他安全厂商的区别有以下三点:
  1. 全局视角。漏洞检测会通过主机层检测所有安装的软件的安全状况,比如版本是否需要升级,同时,外部应用、数据库以及软件配置等各个层面的检测机制将漏洞观察得更加全面。因为安全防护也存在着木桶原理,一旦有一个漏洞没有被发现就有可能造成整个系统被入侵,所以只有全面地看到系统的弱点才能把每一个短板补足。
  2. 及时。很多时候需要达到0day的漏洞响应,今天在互联网上可能就会立即爆发一个漏洞,而为了在很短的时间内检测到并且为用户提供修补方案,安骑士共享了阿里云的整个威胁情报,这样就能够更加方便地获取关于漏洞的细节以及修复方案,这样就能够做到在24小时之内对于爆发的漏洞提供检测和修复方案。
  3. 闭环功能。对于很多漏洞检测而言,往往只会去看这个漏洞是否存在,但是真正到漏洞的解决还存在很多步骤,比如如何修复以及修复完成之后如何验证等这一系列的环节。目前,上述步骤都可以在安骑士的控制台去完成,不需要去寻找更多的修复方案。

Web应用防火墙简介
Web应用防火墙这款产品在整个云安全产品的发展过程当中也是从阿里巴巴内部使用开始,慢慢积累了一定能力之后才对外提供服务和发布的。Web应用防火墙产品完全是由阿里巴巴自主研发的,其在对外商业化之前支撑了整个淘宝、天猫的“双11”活动。从2016年4月份开始,Web应用防火墙正式面向外部用户提供服务。

WAF变革商业模式,降低使用门槛

2017年以来,Web应用防火墙最主要的变化就是将会推出按量后付费的商业模式。之前需要购买至少一个月的服务,而对于用户而言,就往往会产生很多顾虑,比如购买了服务之后如果出现问题能否退款以及如何进行升级等。所以今年Web应用防火墙的商业模式产生了较大的变化,提供了按量付费的模式,用户用多少就付多少。举例而言,比如对于中小站点而言,可能每秒并发的访问数只有10个,对于这样的站点而言,可能需要使用到Web应用防火墙中的很多功能,但是计算一下可能只有10个QPS,对应的功能系数假设是1,那么可能一天只需要花费10元就可以了。对于稍微大一些的站点,每秒最高的用户访问量可能达到300,那么它使用了比如CC防护、业务风控等的很多功能,功能系数假设为2,那么每天可能只需要花费500元左右。所以Web应用防火墙通过商业模式的改变,希望将Web应用防火墙的使用门槛变得更低,做到真正的完全按量使用这款产品。

阿里云安全产品“双11”特惠活动
在2017年中,整个阿里云云盾的产品都发生了比较大的变化,而在今年的“双11”中,云盾系列产品也将展开力度比较大的促销活动。

DDos高防IP优惠:所有的存量用户都将享受到包年的新购、续费全部7折的优惠,相当于只需要花费大概16万的费用就可以获得20G保底最高弹性到300G防护的套餐。另外,针对于今年在云栖大会的发布,300G包年将会享受特别低的折扣,优惠力度达到0.78折的产品也会在“双11”当天发布,但是因为这个产品的优惠力度特别大,所以在发布时是限量100个的。这款300G保底的产品只需要36.8万/年,而之前却需要440万/年,大家可以想象一下本次折扣的力度,因为这么大的力度所以目前采用了审核制,如果大家有需要请与对应的商务人员沟通或者致电阿里云售前电话进行预约。同时游戏盾也有优惠活动,只要是用户新购买游戏盾并且全款签合同就可以获得30万的高防代金券,所以也基本可以折合8折的优惠。

安骑士优惠:安骑士在早期是按照ECS的台数收费的,之前安骑士企业版是200元/台/月,近期已经进行了大幅度的调整,调整后的价格为60元/台/月,还会支持7天的试用。并且在“双11”活动期间,安骑士产品还会提供更多优惠,在“双11”当天首购包年安骑士5折优惠,续费7折优惠,也就是说在“双11”当天可以以30元/台/月的价格购买到安骑士产品。同时因为安骑士支持7天试用,所以大家可以尝试去试用一下,如果觉得还不错那就趁着“双11”大优惠赶快下单吧!

Web应用防火墙优惠:所有用户只要包年就都能够享受到6折优惠。

阿里云安全其他产品的优惠活动:此外,针对内容安全产品会有一个预购送代金券的活动,具体金额大家可以去官网上查看,证书服务也提供了首购5折的优惠,更上层的安全管理服务,比如态势感知功能也提供了首购5折优惠。

在“双11”期间,阿里云云盾从最底层网络、到主机再到应用和管理整个产品线都会提供非常大的优惠。也就是说,在双11期间,云安全加量不加价,全场5折起!


双11第一波,红包领不停,点击看详情:https://promotion.aliyun.com/ntms/act/pre20171111.html

网友评论

登录后评论
0/500
评论
场景研读
+ 关注