9月1日-2日,由工业和信息化部指导,中国信息通信研究院、中国通信标准化协会主办,数据中心联盟承办的“2016可信云大会”在京隆重召开。在云安全分论坛上,联通沃云首席安全专家高级工程师沈余锋发表了题为“可运营的云安全探索思考”的演讲。
联通沃云首席安全专家高级工程师 沈余锋
以下是演讲全文:
谢谢主办方给的这次机会,联通作为传统运营商,一直在进行转型的工作,云计算作为我们联通的一个重点,我们专门成立了一个联通的子公司叫沃云公司云数据公司。安全作为云里面最重要的一块内容,我们也做了好多的工作。
我主要在联通沃云负责云安全这块,联通我们先建的资源池,现在在全国都建了资源池,但是在安全这一块我们相对来说一直比较薄弱,现在我们想把安全这一块作为一个业务来做拓展。云计算2009年就开始,2011年有好多大会都在讲云计算,但是联通真正说云计算这个产业是在2013年开始的,我们在呼和浩特和廊坊建立云数据中心,同时发布云主机和云存储两个产品。到今年3月份的时候,我们现在已经形成了全国33个省包括七大基地,所有的资源池全部已经建立起来了,而且我们的云产品包括里面的计算存储、CDN、负载均衡,全是由我们自己云公司进行开发的。
沃云相对云来讲,云这块除了传统的IDC业务以外,整个联通集团的IDC业务全是放在我们云公司的,除了这一块我们还要在云计算领域迎头赶上,这一块现在出了几大战略,包括传统的IDC、云计算、CDN网络、大数据,其中最主要的一块是云安全,安全作为我们今年或者未来几年发展的重点里讲,我们在投入上也是比较大的。
现在整个联通的IDC资源这一块,现在集团有一个核心的占资源,有网络资源、带宽资源,在每个省的省会和重要节点全都建立了资源池,这里面绝大多数都是自建的,还有一部分是跟省分公司一块合建的。再一个,全国要建十二大基地,现在已经建了七个组网的基地群,包括廊坊、贵安、呼和浩特这样大的数据中心。作为我们联通固有的优势来讲,我们有计算和带宽,作为云来讲,我们现在已经形成7+31+N,7是七大基地,31个资源池,我们的计算能源达到50万核。
云计算作为联通的重要产品体系,云安全也是其中一部分,现在我们为用户提供的一个是云安全的服务,比如像负载均衡、虚拟防火墙、虚拟IPS入侵检测,这些产品都有,但这些东西还不够,因为在多租户的环境下,云里面的安全是多层次的需求,有的时候需要的是,比如说这个里面的扫描,有的时候需要的是运维审计,有的时候可能需要一个VPN的接入。在这个环境下我们需要有不同的丰富的产品出现,
当前我们也一直在思考一个问题,我们每个资源池里面,我们接入的用户数非常多,这些用户数有政府的、中小企业的、金融的、教育的,这些用户我们一直在做传统的基于等保三级的基础的防护,我们一直在思考一个问题,这些防护当有一个用户提出来我需要一个个性化的需求,这个在我们项目中经常遇到这个问题,比如有的用户说能不能在你的出口上给我加几道策略,一个用户可以,但是当N多用户提出来的时候,运维的难度,最后我们自己可能都会忘。这一部分需求没有办法进一步满足。同时还有一个很严重的现象,虽然用户的体量在不断增加,但是云主机,云存储很便宜,最便宜的36块钱一个月,这种情况下我们怎么样才能在存量的用户基础上再去找增量,这个也是我们要考虑的一个很核心的问题。还有一个问题,我们现在采购了好多的安全设备,在出口的地方,在审计的层面,在扫描的层面,这些设备全都有了,这些设备怎么样发挥出它更大的价值,除了保障云平台自身的价值,我还能够为我们的租户提供更多的个性化的安全需求,这个是我们一直在思考的一个问题。今年我们发展了一个战略,这个战略最近我们也在如火如荼开展中,分成两块,第一块是引入更多的合作伙伴,把社会上面或者我们第三方厂家好的有专业方向的或者说在某一个领域比较突出的安全需求或者安全产品,我们纳入到公共的合作平台上来,这个平台是开放的,标准的用户认证接口,包括工单流程,这些都做好了,你只需要通过合作的协议或者合作产品的测试,就可以扔到这个上面来,我们把用户的流量包括用户的需求信息,我们通过我们这个平台导入到相应的你的业务系统里面去或者安全模块里面去,你再提供增值服务反馈给用户。第二方面,通过这个合作,我们可以有效的把用户的行为信息包括他对安全的需求,我们做有效的统计和分析,以便于对业务和产品做改进。作为我们自己来讲,有一些平台本身要具备的,或者在底层要解决的安全问题,这些问题我不可能交给比如像第三方市面上的产品来做,必须由我们自己去打造,有的时候这些能力必须是我们所具备的,这里面我们现在包括抗DDoS、WAF、主机加固,我们还做了像网络扫描、入侵检测这样一些功能,这些功能我们不排除,我自己有,但是也不排除第三方的产品接入进来,以便给用户更多的选择权限,因为我们要考虑的问题是更多的怎么样把产品作为服务提供给用户方。
通过上面的这种架构,我们现在建立了云安全中心,运维中心在北京这边,实际上我们在每一个资源池里面都有数据收集,包括管理的小的节点在那个地方,要达到的作用是通过这样一个管理中心,统一把安全管理起来。北京这边可以对一全国的7+31+N的资源池进行运维,降低成本。这个云安全中心可以有效的为用户提供更好的增值服务,同时降低运营成本。
这是一个总体框架图,这个图里面我们可以从三个维度来看,第一个是我们这个地方最上面有个门户,将来所有的包括我们开发的产品包括第三方接入的产品,都会放到这个门户上发布出去,让用户来用。第二个我们还有个管控运营平台,这个运营平台我们要跟不同的系统去对接。最后是每一个独立的业务系统,每一个独立的业务系统我们都需要有一个自己开发的管控中心,比如像抗DDoS,全国怎么来调用,比如刚才有厂商讲到的,一个企业建一个,这种情况没有考虑到带宽引流的资源和他的占用情况,对我们来讲,这种带宽资源相对来讲比较便宜,但是对企业来讲这是非常昂贵的。包括这一层,在东西向层面要做的,比如像主机的入侵检测,主机的防火墙防病毒。
刚才我们谈到了DDoS清洗,现在有好多厂商都能做,好多厂商都建了,但是有一个致命的缺点,没有大网资格,当你这个数据中心,比如你建了100个G的清洗能力,但是如果有100个G的来的时候,你基本上很难防住,你没有办法在刚出攻击的时候就拦掉,当100个G来的时候,高防中心也解决不了。作为联通来讲,他有骨干网的节点,现在我们在骨干网上做了压制清洗,这个流量太大了,或者这个用户对我们来讲重要性比较高,他的攻击来的话,比如来自新疆、上海、广东,在它一出当地的IDC机房的时候到核心汇聚点的时候,我们就已经把这个流量给压制或清洗掉了。这样到北京的数据中心永远都是干净的有用的而且有效的流量。第二层我们要建一个高防中心,调用集团的大网的资源做所有用户的清洗是不现实的,对于一些中间的比如攻击量比较小的用户,我们现在在每个基地里面建高防中心,它将来的流量,像我们刚才谈到的,通过DNS指向等模式,都可以放到高防中心去,对中间层面的流量进行清洗、过滤、回溯。我们在最后一层,在机房里资源池里清洗设备,比如现在有10个G、20个G的处理能力,有的设备可能买的有20、30个G的处理能力。这些处理能力怎么有效利用起来,如果这个用户是很小的小用户,他的攻击量可能只有5个G,就是用本地的设备自动清洗。光有一个清洗中心不够,需要有这样一个中心,这个中心恰恰是我们所具备的,至于底层你用谁的清洗设备,比如用华为的也好,或者用腾讯的也好,不重要,重要的是你要有这样的大门。这个是我们一个示意图,我们将镜源压制,然后牵引,多级管控,通过这个可以从目的地进行,管理中心来集中进行调度,调度之后可以下方镜源清洗的命令。最后把结果上报。
还有一个是我们现在做的,因为网站的高防护和检测这些东西跟DDoS清洗非常相似,像刚才网宿的,他在CDN的基础上做WAF的,我们把WAF的模块加入到高防中心去,实际上就有了一个对网站防护、评估和检测体系,一旦用户攻击他的网站,第一个攻击的全是云安全中心,云里的用户形形色色,甚至能力参差不齐,相对来讲这样那样的问题是难免的,而且是拒绝不掉的。反过来讲,我要去改变他这种应用程序几乎是不可能的,我们只能在前面加一道篱笆,就是云安全服务中心,把基于Web应用层的过滤掉。现在还有一个问题,现在市面上WAF的设备有一部分是WAF的基本功能,还有一部分像CC攻击还有应用层的攻击它也防,好在我们跟DDoS结合以后,那些攻击全部都在云安全服务中心全部解决掉了。我们放到这个里面去的只是WAF本源的一些攻击。
还有一项服务作为我们来讲也是重头戏,现在做的是主机加固服务,这类服务现在市面上厂商非常少,而且对用户的价值来讲特别重要。我们在实际的运营中发现一个问题和一个现象,我们把虚拟机开给用户以后,我们作为一个运营商,我们是不知道用户虚拟上密码的。因为要保护用户的隐私数据,我们也不能不看他上面装了什么东西。但我们事后发现一个很严重的问题,他装了这个操作系统以后,他根本不去打补丁,密码就是1234567,这种时候它很容易成为被攻击的“肉鸡”。实际上对我们造成的影响不光是他的业务系统停掉了,他那台机器成为“肉鸡”以后,就会对我们整个云平台进行扫描,有的时候会对外发数据,把我们带宽资源、I/O资源全部耗光。我们也想了很多的办法,比如行为监测,但效果都不太好,而且工作量非常大。最后说要做主机加固,这个主机加固相当于外面是一个壳,用户说生了这个补丁以后应用用不了,这种现象也非常多。将这个做完以后,装到那个里面,他所有的数据都会送到我的云服务中心来,他登录这个云服务中心以后,他去下发主机上的策略,他可以做主机上的端口访问控制、主机上的安全基线检查、安全基线配置,甚至可以做主机上的入侵防御。这样有效的可以防住他主机上面由于存在漏洞被入侵的安全风险。如果继续有入侵,也可以把事件上传到云中心来。
除了这一类用户以外,我们还有一个用户,你什么服务前面都不买,也没有问题,你总有网站吧,对你网站的连通性,是不是能用。这些建设基于网站监测这个平台,这个平台,只要你有网站,我可以远程扫你的漏洞,有没有应用层的,甚至你的网站我去做一些检查,你有没有宽带脚本的一些明显的问题,这个可以用户提供一个报告,这个实际上是帮用户发现问题的过程。有了发现问题以后,他后面才会去买网站监测WAF,才会买主机加固的。
谢谢大家。
热门专题
