《QConShanghai2016-[魏兴国]-[弹性计算云安全现状、反思以及展望]》.pdf

QCon北京2014大会 4月25—27日 @ InfoQ infoqchina 特别感谢 QCon上海合作伙伴 弹性计算云安全 ——现状、反思以及展望 阿⾥巴巴 魏兴国（云舒） 2013 10 年 ⽉ 关于我 ´ 04年离校 国贸专业 ´ 05年绿盟 渗透测试 ´ 06年雅虎 IDC、Office安全 ´ 08年阿⾥ ´ 2008 - 2010 集团系统、⺴络安全策略 ´ 2010 - 现在 云计算安全 ⺫录 ´ 弹性计算的新⻛险 ´ 阿⾥的解决⽅案 ´ 现状的反思 ´ 未来云安全的展望 弹性计算的新⻛险 ´ 传统安全域被打破 ´ 不同⽤户混杂 ´ 不同业务混杂 ´ 来⾃内部的攻击 弹性计算的新⻛险 ´ 传统⼿段失效 ´ ACL VM ⽆法控制 间的流量 ´ ⽆法统⼀监控全⺴的攻击⾏为 弹性计算的新⻛险 ´ ⼤规模带来的问题 ´ 交换机CAM表容量不⾜ ´ ARP⼲播、NBNS⼲播⻛暴 ´ 全局性的ARP欺骗、以太⺴端⼝欺骗攻击 ´ 更频繁的外部攻击、⼊侵尝试 弹性计算的新⻛险 ´ 虚拟层穿透 ´ ⼊侵宿主机等同于⼊侵了传统的交换机 ´ 宿主机功能更复杂，更容易被⼊侵 ⼚商的解决⽅案 ´ ⺴络虚拟化标准 ´ 802.1 Qbg VEB VEPA Multi-Channel （ 、 、 ） ´ 802.1 Qbh/802.1BR VN-Tag VN-Link （ 、 ） 阿⾥的解决⽅案 ´ 为什么⾃⼰做？ ´ ⼚商⽅案本质是个⺴络模拟器 ´ 定制化更灵活、⾼效、强⼤ 阿⾥的解决⽅案 ´ ⺴络层架构 ´ 基于业务的分布式虚拟交换机 ´  ID 基于⽤户 来分组虚拟机 ´  VM 控制策略下发到宿主机，随 迁移⽽迁移 ´ 完备的安全功能 阿⾥的解决⽅案 ´ 访问控制策略 ´ 固化不可修改的全局策略 ´ 不同组默认隔离 ´  IP ARP Ethernet 动态绑定过滤 、 、 头部欺骗 ´ 带宽控制、⼲播⻛暴抑制 ´ ⽤户通过WEB API ⾃定义策略 ´ 远程控制端⼝访问源列表 ´ 其它⾃定义策略 阿⾥的解决⽅案 ´  — 云盾 服务器安全 ´ D