護航DT時代 安全創(chuàng)世紀

文/阿里巴巴研究員 吳翰清

如今變革成為時代的主題。從IT到DT時代，需要技術的變革；DT時代的到來，更需要安全防御的變革與替代。阿里云盾就是護航DT時代的產(chǎn)品之一 。

云盾真正要做的事情是解決整個平臺滿足100%客戶的安全需求。如果涉及到垂直行業(yè)的需求，那就是各個廠商和生態(tài)的生存空間。同時阿里云的云計算和傳統(tǒng)IT的關系不是升級關系，而是徹底的替代關系。因此，云安全的云盾將在未來解決大量存在的安全需求?，F(xiàn)在很多傳統(tǒng)安全廠商正在做網(wǎng)絡基本攻防對抗，但在未來安全領域需要不斷地進行升級和替代，才能解決用戶業(yè)務安全的問題。這才是未來安全最大的一塊蛋糕。

首先，安全具有專業(yè)性和復雜性。通過第三方的監(jiān)測機構檢測出的安全漏洞非常多，目前還沒有一勞永逸的辦法杜絕漏洞，但我們可以做好漏洞管理和風險控制。專業(yè)的事情由專業(yè)的團隊去做，云盾由此而生。從IT到DT時代，云計算帶來重新定義和改變整個基礎設施環(huán)境的機會，這個機會促使很多安全需求和場景發(fā)生變化。過去，傳統(tǒng)的安全企業(yè)傾向于銷售邊界安全的設備，今天，很多安全企業(yè)的產(chǎn)品形態(tài)則以硬件設備銷售為主。除了等級保護要求規(guī)定之外，在一個托管的IDC環(huán)境里，在服務器當中預裝軟件，則會引起運維團隊擔憂預裝軟件帶來額外的風險，較難實現(xiàn)。但是，在今天云計算的環(huán)境里，通過預裝進項、自定義進項，可以實現(xiàn)軟件預裝。由此帶來了產(chǎn)品形態(tài)新的變化。在網(wǎng)絡邊界使用安全設備，則會帶來一些弊端，比如主機上的風險，有些風險只有軟件裝在硬件內(nèi)部才能看到。安全產(chǎn)品新形態(tài)會實現(xiàn)在云計算的環(huán)境里看到以前看不到的內(nèi)容，所以在安全方面看得到的一個機會，隨著云計算誕生了。云盾的定位是解決所有用戶都有的基礎攻防類的需求，面向海量用戶，而把更多的空間留給生態(tài)合作伙伴去運作。云盾的使命是建設更安全的互聯(lián)網(wǎng)，成為整個網(wǎng)絡空間基礎的安全設施。

從最近發(fā)布的云盾DDoS的趨勢報告看到，目前存在五個趨勢。第一，大流量的攻擊正變成主流趨勢；第二，游戲行業(yè)仍是整個DDoS的重災區(qū)，遙遙領先其他行業(yè)，在企業(yè)官網(wǎng)里金融行業(yè)占到了大多數(shù)；第三，國外攻擊源是越南，從數(shù)據(jù)來看，越南整體網(wǎng)絡狀況非常差，安全基礎建設很薄弱，因此越南成為DDoS和僵尸網(wǎng)絡肆虐的重災區(qū)；第四，超過70%的攻擊時間在0~30分鐘之內(nèi)，可能因為攻擊成本低，見效快的緣故，如果持續(xù)時間過長，會增大攻擊者的成本，意味著能堅持30分鐘的網(wǎng)站就沒有什么問題；第五，是來自移動端，即來自手機平板發(fā)起的攻擊，占30%。所以，DDoS攻擊不僅來自PC和服務器，也來自手機等移動端。對于后門木馬的檢測，目前還缺乏足夠的手段去保護移動設備的安全?，F(xiàn)在，通過數(shù)據(jù)可以看到，目前的攻擊是30%，我們相信未來還會持續(xù)增加。

前面談到的都是來自DDoS的觀測，DDoS的需求則是網(wǎng)絡空間基礎的安全需求，在攻防層面處于網(wǎng)絡底層，可以看到要解決的問題。DDoS防御的痛點則是成本高。DDoS防御成本主要體現(xiàn)在帶寬費用方面，DDoS瓶頸在于機房的出口帶寬，出口帶寬主要由運營商掌控，當DDoS攻擊達到100G、200G時，DDoS防御不可能有相應的帶寬儲備，這對于正常運營只需1個G或者500兆來說成本是非常高的。在2014年12月，云盾成功防御了全球互聯(lián)網(wǎng)史上最大的DDoS攻擊453G。這個事件也引發(fā)了很多安全企業(yè)的帶寬“軍備競賽”。但帶寬的“軍備競賽”并不是解決DDoS防御問題的唯一途徑。目前把業(yè)務切到CDN里大部分解決靜態(tài)圖片和文件加速，并不能解決動態(tài)問題，但云防護廠商能夠解決動態(tài)的問題。即新發(fā)布產(chǎn)品云盾安全網(wǎng)絡。

云盾安全網(wǎng)絡就是安全可靠的接入服務，能夠通過為用戶提供不同的節(jié)點，提供安全穩(wěn)定和快速的流量，無論是利用手機還是電腦，都能夠通過安全網(wǎng)絡來訪問用戶的業(yè)務。云盾安全網(wǎng)絡具備三個特性：第一個是安全，在網(wǎng)絡里同時解決DDoS、資源和Web攻防問題；第二個是穩(wěn)定，可部署多區(qū)域節(jié)點，整體可用性會達到99.99%；第三個是快速，BGD帶寬接入，跨運營商，可就近訪問。

以下通過用戶使用安全網(wǎng)絡的案例，體驗具體的安全防護。

DDoS攻擊的轉移具有時間成本，DDoS轉移一次的時間是10分鐘左右，因此，可以通過分布式的節(jié)點解決用戶DDoS問題，即所有的用戶把流量切到數(shù)百個節(jié)點上，其中一個結點被DDoS攻擊時，就把此節(jié)點所有流量均勻分配到另外一些節(jié)點上，跟攻擊者“捉迷藏”。

云盾安全網(wǎng)絡還會形成一個界面，提供各個客戶端SDK的接入，同時會讓用戶去配置他的應用和分組。對于游戲客戶來說，非常容易理解，它的戰(zhàn)斗服務器，或者跟蹤服務器對應安全網(wǎng)絡的服務組。

在我們的平臺上有一家電商客戶，受到的攻擊非常頻繁，一個月DDoS攻擊達到了161次。如果使用云盾的高防IT產(chǎn)品，他需要買一個高防IP，單線路是1.68萬元，高防是3萬多元，但他用2000元買了20個節(jié)點，沒花流量錢，還收到免費贈送的100個G，最后他解決的問題的成本是2000元。今天，大家都在談變革，云盾自己也在革自己的命，這需要非常大的勇氣。其中涉及到的高防和安全網(wǎng)絡這兩個產(chǎn)品有什么區(qū)別呢？實際是在定位上有一些區(qū)別。高防IP單價高，但SIA也非常高，適合金融等可靠性極高的行業(yè)；對于更多彈性比較強的業(yè)務，比如游戲、手機APP和電商允許有一定的彈性，更適合性價比具有彈性的解決方案，即云盾安全網(wǎng)絡。

今天講的只是安全網(wǎng)絡的一個現(xiàn)狀，但未來怎樣發(fā)展？這些都值得我們?nèi)テ诖?。從現(xiàn)實的影子可以構想未來技術發(fā)展的藍圖。在我們的構想中，希望有這樣的一張網(wǎng)，天生就隔絕了所有的攻擊，天生就保證安全的網(wǎng)絡，這是云盾安全網(wǎng)絡最終追求的一個目標，我們要建設一張這樣的網(wǎng)，今天才剛剛起步。云盾安全網(wǎng)絡是一個充滿想象的空間，能夠解決網(wǎng)絡安全的基礎設施，最終以接入服務的方式為用戶提供服務。展望未來可以想象到安全網(wǎng)絡是一個充滿黑科技，充滿想象力的安全網(wǎng)絡。