9月1日-2日，由工业和信息化部指导，中国信息通信研究院、中国通信标准化协会主办，数据中心联盟承办的“2016可信云大会”在京隆重召开。在云安全分论坛上，网宿科技安全规划与产品高级经理王枭卿发表了题为“如何打造安全可信的云安全服务平台”的演讲。

网宿科技安全规划与产品高级经理 王枭卿

以下是演讲全文：

各位嘉宾，大家下午好，下面我为大家带来的题为“如何打造安全可信的云平台”这样一个演讲。

现在云计算都是炒得比较火的，慢慢越来越多的企业把我们的主机、网络搬到了云上面，这个变化对其他的方面带来的影响，比如说建设，在我们初期去建设我们的IT系统、建设业务系统的时候，可能会涉及到机房的选择、机柜、带宽、服务器等等一系列的，在这个过程中如果说我们把这些搬到云上，搬到云计算的环境里，会有一些跟传统的建设机房或者托管的时候有一样的地方。之后是运维，把这个东西搬到云上，我们在做运维的时候，我们所关注的这些主要是设备的状态，比如说设备数据的、故障处理等等，这些方面会跟传统的IDC托管这种形式会有所区别。

在云平台或者在云计算环境里，安全我们认为包含很多方面，比如说组织架构，运营流程，操作规范，对于人的管理，包括技术手段，等等这些都会对我们的云计算平台方面的安全会产生比较大的影响。下面从安全、技术的角度来看一下会什么样的影响。

把云计算安全分两部分，里面这个圈我们认为是作为一个云计算的服务提供商，给用户提供最小范围的服务，所需要的安全条件，为了支撑这些安全特性需要做的一些事情。系统的安全，比如说我们镜像本身，系统本身是否有漏洞，里面是否会有一些软件。另外一个是配置，主要是初始配置，这些配置会不会有不安全的地方、存在的隐患，在第一次加载的时候，这个时候是不是相对来说比较安全的状态。另外一个是平台，为用户提供云服务的控制台。在传统的IDC或者传统的环境里，像边界安全，像防火墙、IPS，这些东西在云计算环境下怎么样去部署。之后是内网安全，部署在内网的一些安全设备，比如像IPS等。之后是主机安全，另外是来自互联网侧的安全，对这一方面更多的会讲到的是对于DDOS的伯虎。对于云计算安全，主要是从这两方面，一个是作为云计算服务提供商自己在个平台里可以做到的，另外是用户，在云计算平台上，我们服务的用户可以提供的内容。

下面是云计算安全在内部做的一些安全措施及手段。一个是减少暴露面，尽量减少不必要的软件、配置。第二是补丁升级，包括我们的平台系统以及为用户提供的镜像，需要及时去打补丁包括升级，同时也需要给用户做一些推送，来提醒我们用户可能会存在哪些安全风险。另外一部分是配置上的加固，对用户很多软件以及系统的默认配置去做修改，来提升系统和软件在初始的安全级别，保证他以一个相对安全的状态对外提供服务。之后是规划设计，这个是最根本的一点，很多安全问题的产生都是在最开始的规划和设计过程中没有考虑到的。之后是定期评估审计，在我们这套系统上线之后，其实是一个动态的过程，本身软件是不停在变化，外部安全的威胁以及漏洞的变化，现在的系统状态以及外部的威胁状态是什么样的，需要做一个定期的评估包括审计，来对当前安全的水平做一个评估，包括以此为基础看是否需要做下一步的改进。之后是资源储备，这方面主要讲的是对于DDOS类的保护，对于DDOS保护很大一部分是要依赖于大量的带宽节点资源来做保护，这个时候有充足的资源来支撑对于这些攻击和威胁的防护。最后一个是专用防护系统，如果说可以在我们现有基础上把这些安全做到最好，在软件已经发布之后，在后期的维护过程中，对于这些安全问题的修复往往会有比较高的成本，包括时间以及金钱上的。这个时候一套外部的专用的网络系统，相对独立的为我们提供安全的保护，就会给防护上争取到比较多的时间。

下面是云计算安全从外部，我们可以给用户提供什么样的安全。像传统的防火墙、IPS，实际上没有办法直接以硬件的形式部署到网络里。这时候需要做改变，往往产生的改变有两点，一方面有些厂家把设备做虚拟化，可以把它虚拟成多台设备，包括SDN等等技术，为我们的用户提供接入和服务。第二，直接做到虚拟化，把它做到虚机里面，在云计算环境里跑起来，以这种形式为用户提供保护。还有一种是基于云的安全服务，最大的好处一方面是会有比较丰富的资源，另一方面是比较丰富的布局以及在线的比较流畅的运维过程。

下面看一下网宿科技在做安全方面是如何进行实践的。这里面展示的是我们自建的完全自主研发的一套云安全系统，这套系统对于DDoS攻击或者DNS安全或者WAF的攻击都可以做比较有效的保护。这套系统应用于我们对外给客户提供服务的控制平台上，也会用于CDN，之后还会为DNS提供相应的保护。这套系统也可以为我们网宿云计算的客户提供服务。

现在要介绍的是这套安全系统所具备的优势，第一点列出来的是资源储备，网宿科技因为是做CDN、云计算、IDC的，节点遍布全球，目前带宽储备已经达到了15个T以上。通过把这些CDN的、云计算的、IDC的资源统一做整合，可以为我们的DDoS攻击防护提供比较高的带宽储备。之后是经验的积累与复用，我们网宿科技在之前一直从事CDN、云计算以及IDC托管的这些业务，在这个过程中，包括我们自己以及我们的用户，也频繁遭受各式各样的攻击。我们自己的这些控制平台经常遭受到外部应用层的攻击、扫描，以及也会有些DDoS的、应用层的攻击。对于CDN上的，这部分主要是针对CDN上面的用户，CDN上面同样会产生DDoS攻击，以及透过CDN企图对源站外部攻击的，以及对DNS做的主要是DDoS的攻击。对历史上大量的攻击做防护经验，被我们积累起来，固化形成这套安全的防护系统。现在网宿科技可以把这一套安全系统以及我们的安全团队，把他们的安全能力作为服务提供给我们多云计算本身以及云计算的用户。

下面是关于网宿的，CDN这边做加速的优点，在我们传统的安全防护工作中，因为加入了各种各样的判断，除了IPS完全旁路的这些检测方式，只要是在线的检测和保护，势必会对我们的访问延时造成一些影响。网宿科技利用自身做加速的优势，在我们防护的是可以为用户提供加速的服务，无论是动态页面的静态页面的，甚至对移动媒体业务的，针对这些业务的加速能力，与我们的防护叠加在一起，最终使得防护的延迟没有升反而下降了。由此也给用户提供了更多的选择，这个时候是用户可以考虑的一套异构的防护方案。任何的防护措施、防护设备，往往在用户的网络里面不属于一套一个类型的防护设备，对用户来说已经是极限了，因为这个时候比较多会考虑到延迟，另外会考虑到可靠性。网宿科技的这套系统对延迟没有影响，反而使我们用户的延迟降低，这时候用户又多了一个选择，是不是可以在本身的网络里面再加一套防护的设备或者系统，提升安全等级以及防护能力。

下面向大家介绍一下网宿科技在之前做的这些防护过程中通过这些积累的经验形成的上半年的安全报告。这些数据主要来自于我们自己的这套安全防护系统，下面是几个Logo，其实我们的安全数据都是从上面采集到的。在2016年的上半年，网宿科技监测到2000余次DDoS攻击，其中规模最大的峰值达到了495Gbps。对于比较小规模的小于50Gbps的DDoS的攻击，攻击时间相对来说持续比较短，呈现短平快的趋势。对于规模相对来说比较大的，比如像400Gbps以上的，发现DDoS攻击时间比较长，呈现拉锯战的趋势。在Web应用攻击网站中有79%，21%是HTTPS站点，相对来说对HTTPS站点的攻击并没有我们想象的那么多。之后是敏感信息下载、SQL注入和恶意扫描这三类攻击，对于敏感信息下载，识别的时候，主要是对一些文件，可能一些本身是存在威胁的文件的下载，如果这些文件存在，可能会让攻击者获得更多的网站数据或者漏洞来进行下一个攻击。

下边是50G以上的DDoS攻击的主要行业，游戏行业为主，攻击的目标主要还是恶意竞争。对于Web应用攻击对象主要是政府类，对于政府网站的攻击我们看到的更多是敏感信息的下载、扫描，这种是我们看到的一个主要的趋势。下面跟大家分享几个防护的案例，这个是459G攻击防护的一个案例。从25号到28号持续三天，其中最大的峰值达到495G。之后是Web攻击防护案例，这是针对于政府网站的，政府主要是以敏感信息下载为主。下面是攻击电商的，攻击对象主要是短信、订单接口。下面是我们列出的不同行业存在的差异，对不同的行业用户也需要提供相应的安全解决方案，来满足他们的安全诉求。

最后是网宿科技下一步，在我们看来做安全分户之后的趋势是越来越贴近客户的业务，所以我们的目标其中之一就是防护技术贴合客户业务，比如现在的风险控制，之后是服务自动化、智能化、可视化。这是我们网宿科技的愿景目标，传输、存储、计算、安全。

谢谢大家。