用戶(hù)對云計算缺乏安全感是我們從事云安全工作以來(lái)一直從客戶(hù)角度所獲得的一個(gè)直觀(guān)感受,而這種不安全感的產(chǎn)生固然和云計算的多租戶(hù)的技術(shù)特點(diǎn)有關(guān)系,但在數據就是生產(chǎn)力的當下,這種不安全感可以進(jìn)一步解讀為對數據上云的安全顧慮。
先簡(jiǎn)單介紹下阿里云的業(yè)務(wù)現狀。得益于云計算的低成本、高彈性和按需付費模式的產(chǎn)業(yè)特點(diǎn),目前基于阿里云云計算服務(wù)所構建的網(wǎng)站用戶(hù)已達到60多萬(wàn),這個(gè)其中不但有中小網(wǎng)站站長(cháng)也有各類(lèi)行業(yè)用戶(hù),其中行業(yè)用戶(hù)涉及金融、政府、游戲、中小企業(yè)、電商等各個(gè)領(lǐng)域,考慮到政務(wù)行業(yè)在中國不但是云計算的推動(dòng)者也是使用者,今天我將從政務(wù)行業(yè)用戶(hù)視角解讀下對制約其選擇和使用云計算服務(wù)的安全困惑以及我們的安全實(shí)踐。
作為一個(gè)云服務(wù)商,我們在和政務(wù)客戶(hù)交流中被問(wèn)的最多的就是云端的數據安全如何保證,用戶(hù)是否有效隔離,最好每個(gè)級別的地方政府、甚至政府里面的每個(gè)機構都能給他一個(gè)單獨的物理空間、物理資源去放他的數據,這種對云端數據安全的要求可能源自于對云計算多租戶(hù)業(yè)務(wù)模式的安全顧慮,但這種安全要求到底是不是政務(wù)類(lèi)客戶(hù)最實(shí)際的安全需求呢?我們看一組數據:
根據CNCERT發(fā)布的《2013 年我國互聯(lián)網(wǎng)面臨的安全形勢和威脅報告》中“第五點(diǎn)、政府網(wǎng)站面臨威脅依然嚴重,地方政府網(wǎng)站成為“重災區”。報告中的數據顯示我國境內被篡改網(wǎng)站數量為 24034 個(gè),這些網(wǎng)站中有90%為省市級以下的地方政府,據CNCER分析這些入侵事件發(fā)生一方面是由于地方政府網(wǎng)站存在技術(shù)和管理水平有限、網(wǎng)絡(luò )安全防護能力薄弱、人員和資金投入不足等問(wèn)題,另一方面是越來(lái)越多的有組織高級持續性威脅(APT)攻擊事件發(fā)生在我國政務(wù)類(lèi)網(wǎng)站上,記得2013年 3 月 20 日,美、韓軍事演習期間,韓國多家廣播電視臺和銀行等金融機構遭受歷史上最大規模的惡意代碼攻擊,導致系統癱瘓,引發(fā)韓國社會(huì )一度混亂。韓國媒體不約而同的把攻擊的發(fā)起說(shuō)成是中國干的,后來(lái)經(jīng)過(guò)CNCERT的協(xié)助調查,才澄清了相關(guān)謠言,但是APT攻擊帶來(lái)的攻擊目標聚焦、攻擊手段隱蔽、攻擊規模巨大等特點(diǎn)的確不是每個(gè)地方政府靠有限的人力、物力能夠應對的。所以如何運用有限的人力、物力防御基于篡改網(wǎng)站數據為目的的安全攻擊就是當下電子政務(wù)類(lèi)業(yè)務(wù)最為迫切的安全需求。
根據我們云平臺的安全運營(yíng)數據,篡改網(wǎng)站數據攻擊途徑主要有以下兩種:
1、 利用Web安全漏洞寫(xiě)入Webshell后門(mén);
2、 通過(guò)破解主機管理賬戶(hù)密碼實(shí)現入侵;
前者我們月均掃描發(fā)現高危漏洞近100萬(wàn)、檢測出webshell后門(mén)10000個(gè)以上;后者月均防御密碼暴力破解行為10億次以上。從入侵的途徑上可以得出一個(gè)結論,真正要有效的防御網(wǎng)站入侵,需要全面部署應用、系統、網(wǎng)絡(luò )等方面防入侵產(chǎn)品或服務(wù),那傳統安全和云安全分別是如何實(shí)現上述安全需求呢?
很明顯,云安全的解決方案具有低成本和安全運營(yíng)的優(yōu)勢,但政務(wù)行業(yè)在面對大規模的復雜模式DDoS攻擊和以國家為單位發(fā)動(dòng)的APT攻擊面前,安全防御的考量對象就不應該僅僅局限于產(chǎn)品和服務(wù)的安全攻防,而更應該補上IT架構這個(gè)考量對象。下面以一個(gè)實(shí)際發(fā)生的DDoS流量攻擊防御案例來(lái)做下說(shuō)明,如下圖所示:
這是今年2月發(fā)生在阿里云的典型DDoS攻防案例,19點(diǎn)14分,在這個(gè)晚飯時(shí)間點(diǎn),黑客發(fā)起DDoS攻擊,攻擊類(lèi)型為SYN大包、攻擊流量從30Gbps迅速上升到60Gbps,在19點(diǎn)20分黑客察覺(jué)攻擊無(wú)效后變換策略,攻擊類(lèi)型變?yōu)镾YN小包攻擊、攻擊流量從200萬(wàn)PPS升到到700萬(wàn)PPS,在19點(diǎn)27分黑客察覺(jué)到攻擊依然無(wú)效后再次變換策略,攻擊類(lèi)型變?yōu)镃C攻擊、攻擊流量表現為每秒HTTP請求升到到5萬(wàn)。但依然被我們云安全服務(wù)(云盾)自動(dòng)防御成功。我今天講這個(gè)案例是想請大家注意到當前來(lái)自于互聯(lián)網(wǎng)大流量攻擊的特點(diǎn),因為這樣的攻擊我們每周就要防御數千起:
