弹性计算云安全的反思与展望.pdf

弹性计算云安全 ——现状、反思以及展望 阿里巴巴 魏兴国（云舒） 2013年10月 关于我 04年离校 国贸专业 05年绿盟 渗透测试 06年雅虎 IDC、Office安全 08年阿里 2008 - 2010 集团系统、网络安全策略 2010 - 现在 云计算安全 目录 弹性计算的新风险 阿里的解决方案 现状的反思 未来云安全的展望 弹性计算的新风险 传统安全域被打破 不同用户混杂 不同业务混杂 来自内部的攻击 弹性计算的新风险 传统手段失效 ACL无法控制VM间的流量 无法统一监控全网的攻击行为 弹性计算的新风险 大规模带来的问题 交换机CAM表容量不足 ARP广播、NBNS广播风暴 全局性的ARP欺骗、以太网端口欺骗攻击 更频繁的外部攻击、入侵尝试 弹性计算的新风险 虚拟层穿透 入侵宿主机等同于入侵了传统的交换机 宿主机功能更复杂，更容易被入侵 厂商的解决方案 网络虚拟化标准 802.1 Qbg （VEB、VEPA、Multi-Channel） 802.1 Qbh/802.1BR （VN-Tag、VN-Link） 阿里的解决方案 为什么自己做？ 厂商方案本质是个网络模拟器 定制化更灵活、高效、强大 阿里的解决方案 网络层架构 基于业务的分布式虚拟交换机 基于用户ID来分组虚拟机 控制策略下发到宿主机，随VM迁移而迁移 完备的安全功能 阿里的解决方案 访问控制策略 固化不可修改的全局策略 不同组默认隔离 动态绑定过滤IP、ARP、Ethernet头部欺骗 带宽控制、广播风暴抑制 用户通过WEB API自定义策略 远程控制端口访问源列表 其它自定义策略 阿里的解决方案 云盾—服务器安全 DDoS防御系统 主机入侵防御系统 网站安全防御系统 服务器健康扫描系统 WEB应用 网页挂马 端口与服务 阿里的解决方案 云盾的效果 每天100起DDoS攻击，最大流量80Gbps， 10%的攻击超过5Gbps，99.99%自动处理 每天200亿次密码猜解，99.99%防御成功 每天1000万次WEB攻击，100%防御 平均每周捕获一个0Day （未公开漏洞）！ 阿里的解决方案 业务安全 云服务器对外攻击检测 过滤伪造报文 BPS、PPS、QPS、Connection检测 恶意行为检测 对外扫描WEB漏洞 密码破解 垃圾邮件发送 黄赌毒应用的检查 阿里的解决方案 用户隐私问题 没有云服务器系统权限 不分析应用数据，只做宏观的统计测量 云安全现状的反思 关于用户区域划分 三层隔离是最好的选择么？ 多条防欺骗策略是否有损性能？ 云安全现状的反思 关于分