狠狠撸

狠狠撸Share a Scribd company logo
弹性计算云安全
           云舒
   2012年11月22日
? 弹性计算基础安全

? 弹性计算业务安全

? 弹性计算安全的未来
凌乱的信任关系

      如此之多区域,有人
       可信?
无力的访问控制
被放大的恶意攻击


   攻击类型增多

   覆盖范围更广

   危害变大
大规模效应
? CAM表的问题
? ARP广播报文的问题
厂商的方案

802.1BR、VN-TAG




                         802.1Qbg、VEPA



                 SDN
阿里云的方案——网络安全
? 分布式访问控制      ? 动态报文检测
 – VM基于用户分组     – VM信息动态绑定
 – 策略自动迁移       – 发送端过滤


? 风暴控制
 – MAC NAT
 – ARP Proxy
阿里云的方案——系统安全
? 基线安全      ? 帐号安全
 – 安全加固镜像    – 密码破解拦截
 – 系统服务扫描    – 异地登录报警
? 弹性计算基础安全

? 弹性计算业务安全

? 弹性计算安全的未来
为什么要做业务安全
我们的思想

 零侵入性,为用户提供
个性化的安全保障,对每个
业务进行精准化的防护。
我们的思路



基于流量分析、数据挖掘的安全
我们的数据


 某云计算节点3台服务器,每秒分析
24Gbit流量,攻击发生的5秒内触发
防御体系,99.72%的攻击自动化处理
  最近叁个月内最大攻击27骋产颈迟/蝉
我们的数据

    WEB漏洞扫描系统,每天覆盖4000
万   URL地址,吞吐流量30Tbit,检测
        31 类WEB漏洞。
我们的技术架构

                                                  WEB扫描
                  UDP Server
                                Hadoop            挂马检测
           HTTP   Cluster                         WEB Shell侦测
           INFO                 离线计算              WEB攻击分析
Analyzer                                          等等……
                                           DDOS
Cluster Traffic                            规则
                  Redis Cache
           INFO                 Reporter          DDOS防
                                实时计算              御系统
                   Aliyun RDS
? 弹性计算基础安全

? 弹性计算业务安全

? 弹性计算安全的未来
分布式SDN
? 实现方式
 – 基于特定网卡芯片的主机端SDN
 – 跨越宿主机的SDN交换机核心端


? 可能的问题
 – 主机端太多的安全策略影响性能。
 – 依赖物理芯片的能力,部署起来比较困难

More Related Content

弹性计算云安全(Elastic Compute Cloud Security)