阿里云云计算安全详解.docx

 HYPERLINK /932?spm=5176.383338.3.5.RhxyYM 云计算安全有感——政务云安全实践介绍 作者：沈锡镛 ? 用户对云计算缺乏安全感是我们从事云安全工作以来一直从客户角度所获得的一个直观感受，而这种不安全感的产生固然和云计算的多租户的技术特点有关系，但在数据就是生产力的当下，这种不安全感可以进一步解读为对数据上云的安全顾虑。 ? 先简单介绍下阿里云的业务现状。得益于云计算的低成本、高弹性和按需付费模式的产业特点，目前基于阿里云云计算服务所构建的网站用户已达到60多万，这个其中不但有中小网站站长也有各类行业用户，其中行业用户涉及金融、政府、游戏、中小企业、电商等各个领域，考虑到政务行业在中国不但是云计算的推动者也是使用者，今天我将从政务行业用户视角解读下对制约其选择和使用云计算服务的安全困惑以及我们的安全实践??? ? 作为一个云服务商，我们在和政务客户交流中被问的最多的就是云端的数据安全如何保证，用户是否有效隔离，最好每个级别的地方政府、甚至政府里面的每个机构都能给他一个单独的物理空间、物理资源去放他的数据，这种对云端数据安全的要求可能源自于对云计算多租户业务模式的安全顾虑，但这种安全要求到底是不是政务类客户最实际的安全需求呢？我们看一组数据： 根据CNCERT发布的《2013 年我国互联网面临的安全形势和威胁报告》中“第五点、政府网站面临威胁依然严重，地方政府网站成为“重灾区”。报告中的数据显示我国境内被篡改网站数量为 24034 个，这些网站中有90%为省市级以下的地方政府，据CNCER分析这些入侵事件发生一方面是由于地方政府网站存在技术和管理水平有限、网络安全防护能力薄弱、人员和资金投入不足等问题，另一方面是越来越多的有组织高级持续性威胁（APT）攻击事件发生在我国政务类网站上，记得2013年 3 月 20 日，美、韩军事演习期间，韩国多家广播电视台和银行等金融机构遭受历史上最大规模的恶意代码攻击，导致系统瘫痪，引发韩国社会一度混乱。韩国媒体不约而同的把攻击的发起说成是中国干的，后来经过CNCERT的协助调查，才澄清了相关谣言，但是APT攻击带来的攻击目标聚焦、攻击手段隐蔽、攻击规模巨大等特点的确不是每个地方政府靠有限的人力、物力能够应对的。所以如何运用有限的人力、物力防御基于篡改网站数据为目的的安全攻击就是当下电子政务类业务最为迫切的安全需求。 ? 根据我们云平台的安全运营数据，篡改网站数据攻击途径主要有以下两种： 1、 利用Web安全漏洞写入Webshell后门； 2、 通过破解主机管理账户密码实现入侵； ? 前者我们月均扫描发现高危漏洞近100万、检测出webshell后门10000个以上；后者月均防御密码暴力破解行为10亿次以上。从入侵的途径上可以得出一个结论，真正要有效的防御网站入侵，需要全面部署应用、系统、网络等方面防入侵产品或服务，那传统安全和云安全分别是如何实现上述安全需求呢？ ? 很明显，云安全的解决方案具有低成本和安全运营的优势，但政务行业在面对大规模的复杂模式DDoS攻击和以国家为单位发动的APT攻击面前，安全防御的考量对象就不应该仅仅局限于产品和服务的安全攻防，而更应该补上IT架构这个考量对象。下面以一个实际发生的DDoS流量攻击防御案例来做下说明，如下图所示： ? 这是今年2月发生在阿里云的典型DDoS攻防案例，19点14分，在这个晚饭时间点，黑客发起DDoS攻击，攻击类型为SYN大包、攻击流量从30Gbps迅速上升到60Gbps，在19点20分黑客察觉攻击无效后变换策略，攻击类型变为SYN小包攻击、攻击流量从200万PPS升到到700万PPS，在19点27分黑客察觉到攻击依然无效后再次变换策略，攻击类型变为CC攻击、攻击流量表现为每秒HTTP请求升到到5万。但依然被我们云安全服务（云盾）自动防御成功。我今天讲这个案例是想请大家注意到当前来自于互联网大流量攻击的特点，因为这样的攻击我们每周就要防御数千起： ? 1、 攻击类型复杂并且变换速度加快，在上面的案例中13分钟攻击者就变换了3次攻击方式，基于人工响应、再行操作安全设备的方式一定无法保障业务； ? 2、 CC攻击是攻击者最后的底牌，众说周知CC攻击的防御是一个业界难题，因为不但攻击的发起来自于真实的地址，其恶意访问请求也很难从访问流量中剥离，除了通过网站服务器扩容来和攻击者比拼资源消耗外，还没有很好的方法； ? 3、 攻击规模大，60Gbps只是我们常态防御中遇到的中等攻击流量，在今年的2月我们还遭遇过160Gbps的大规模攻击，而从未来趋势来看黑客将更多地运用DNS、NTP等协议进行分布式反射放大拒绝服务攻击，能轻易把攻击流量放大几十倍到几百倍，打出几百G的流量耗尽有限的服务器资源，而政务网站现在的