阿里技术工程师讲述云盾背后的故事
发表于 15:22|
摘要：“云盾”是阿里巴巴安全技术研究积累的成果，它结合阿里云计算平台的数据分析能力,以及面向云服务器用户提供的主机入侵检测等安全服务。云盾技术团队的核心工程师魏兴国、李爽、聂万泉向记者讲述了云盾背后故事。
“非常糟糕。创业型云计算公司为了发展业务，并没在安全上投入精力。而且，安全是个很需要资源的行业，例如DDoS防御需要带宽费用——而他们往往选择了放手不管。”阿里云资深安全专家魏兴国这样评价国内的云计算安全现状。而大公司的优势在于，一方面他们有着较好的带宽能力，另一方面从防护自有业务转向防护云产品也有基础，会随着云业务的成长不断来建设防护体系，提升防护能力。“云盾”就是阿里巴巴集团安全技术研究积累的成果，它结合阿里云计算平台的数据分析能力，提供安全漏洞检测、网页木马检测，以及面向云服务器用户提供的主机入侵检测、防DDoS等安全服务。云盾技术团队的三位技术核心工程师魏兴国、李爽、聂万泉向CSDN记者讲述了云盾背后的故事。云盾的建立走入云安全领域，对他们来说是个很自然的过程。2009年初，阿里巴巴集团研究院成立，负责云计算方面的初始研究，这就是阿里云的前身。此时魏兴国从B2B公司抽调过来，负责云计算的安全预研。2009年9月成立阿里云之后，集团研究院就是阿里云的启动人员了。从那时起，五年中他一直专注于云计算安全。他所在的团队主要负责其中DDoS防御、网站入侵防御、网络漏洞扫描及风险控制4个子产品的设计、开发、运营。普通开发者对“风险控制”了解较少，它可以理解成两个部分：一个是规范云主机，禁止非法行为；二是禁止恶意抢注云主机。李爽目前所在的是“技术保障-性能与容量”团队，主要负责阿里巴巴基础架构方面的规划于成本优化。之前在网络团队中，他是负责人，而其中与云安全最相关的是“网络防攻击团队”。2012年，他们意识到，随着互联网的发展，用户宽带不断提速，黑客可控制的流量也越来越大，就在此时，高性能网络组件研发团队应运而生，“防攻击”作为重要平台开始了建设。2013年的防攻击主要在自有业务方面，2014年则开始全面面向云安全。云用户对网络的需求也逐渐增多，李爽提出VPC方案，一方面用于解决用户私有网络的需求，另外一方面从安全角度实现用户的网络隔离。聂万泉介绍说，云盾目前是阿里云的安全品牌，包含一系列子产品。它大量使用了阿里云的服务，包括ECS、ODPS、CDN、SLB等，许多服务都工作在云上，“我们是阿里云的云计算客户，阿里云又是云盾的安全客户。”预想之中与预料之外云盾并非完全沿着他们最初设想的路线发展。起先，云盾的目的单纯是为了保护用户数据不被黑客窃取，保护云服务器不被黑客入侵。但随着业务越来越壮大，云盾的领域也逐渐扩大，例如前文提到的风险控制。因为他们发现，许多有不轨意图的人，意识到从外部入侵困难，就直接抢注免费试用的云主机，或者直接花钱购买云主机，进行非法勾当。这就要求云盾的技术人员在更广阔的领域思考，扩展云盾的边沿。云盾刚上线得到了良好的反馈，因为从无到有，用户突然间就拥有了一道屏障，解决了他们棘手的安全问题。从技术角度，在三位工程师看来，云盾的发展过程有三个里程碑。商业到自研：原来云盾使用了商业设备抵御DDoS攻击，而从2012年开始全面转向自研防攻击平台。满足到优雅：防攻击平台最初只为达到基本的防护能力，在防御过程中存在误伤。新的防攻击平台在性能极大提升的基础上，误伤率大大降低，他们称其为“优雅防护”，不打搅用户。虚拟网络隔离：在关注DDoS防护的同时，从用户的网络角度出发，设计了VPC的体系，对不同用户网络进行隔离，也可以让同一用户的不同网络，根据需求设计访问控制，提供更灵活的网络方案。全面的防护体系技术从技术上看，云盾依靠“数据”形成体系。如图1所示，HIPS发现WAF遗漏并反馈；恶意行为检测发现WAF和HIPS两者的遗漏并反馈；WAF和HIPS报警，恶意行为监测系统重点关注指定机器的最近行为。多种产品形成合力，最终组成云盾的防御体系。而从底层网络来看，其核心技术有两项，一是高性能网络处理框架，另外一个就是VPC了。安全领域容不得百密一疏，不久前的iCloud照片泄漏事件就是典型的木桶原理——苹果的各个接口都做了密码尝试次数限制，却唯独忽略了Find My iPhone。结果黑客利用了这一点，尝试猜解密码最终得到了大量的照片和隐私信息。三位专家介绍说，在阿里云，他们有着完善的SDL流程，确保每个接口都使用了一致的安全策略。而对于云平台的僵尸主机威胁，云盾的风控体系与之应对——首先，免费的试用主机不会被自动程序抢拍，而且控制了抢拍速率。其次，云盾还有完善的网络控制策略，限制了云主机某些特殊报文发送速率。最后，它拥有流量监控、分析系统，能发现网络中的异常流量，捕获僵尸主机行为。“我们会对网络行为做分析，判断用户的行为是否正常。这是一个矛与盾较量的过程，我们在这个过程中不断优化防护方法和措施，保证用户的安全。云平台像一个大的市场，无法要求每个从业者都遵纪守法，但我们会用好的监测手段发现违法乱纪者，不会手软。”他们这样说道。李爽谈起发生在自己身边的故事：“有个朋友的公司会经常租用我们的云主机，一方面网络质量较好，他用这些主机做代理，优化用户的访问；另一方面，在网站受攻击时，他将域名切换至云主机，利用云盾防护，正常访问再通过代理方式回到他自己的服务器。”安全产品提供的只是一种安全感？远非如此，给用户切实的安全是一切的基础。在此之上，才是让用户知道自己安全，感受安全。用户一定先有安全收益，才能体会安全感。从另一个角度看，用户也希望安全产品能更好地保护自己，毕竟现今的安全形势依然严峻。谈起云安全的定义，以及与传统安全相比云安全的特点，几位专家解释说。首先是规模。现有的云业务，每周遭受的DDoS攻击在2000次左右，而Web攻击则在亿级别，攻击次数高过传统安全几个数量级。其次是领域范围。云安全需要做许多以前不用考虑的事情，例如用户使用云资源发垃圾邮件，做钓鱼欺诈网站等，这些都需要格外关心，并且妥善处理。最后是技术挑战。云中的用户互不信任，服务商需要防止他们互相攻击，还要防止他们攻击外部，更要提防他们攻击云服务商网络。他们认为，云安全可以与社会安全类比——他们都具有多样性、规模化的特点。谈到未来，他们说：“用户使用了一段时间之后，对我们有更高的要求，需要我们从发布的60分做到80分、90分，对我们挑战很大，我们还在继续努力”。
推荐阅读相关主题：
CSDN官方微信
扫描二维码,向CSDN吐槽
微信号：CSDNnews
相关热门文章阿里云服务器被黑客黑了咋办？
&img data-rawwidth=&767& data-rawheight=&273& src=&/ea438ecbe71c05a19ab47b7da2f66eb8_b.jpeg& class=&origin_image zh-lightbox-thumb& width=&767& data-original=&/ea438ecbe71c05a19ab47b7da2f66eb8_r.jpeg&&今天下午阿里云报了个异地登录！&img data-rawwidth=&1125& data-rawheight=&2001& src=&/aca1d0e71cb4a1d0cea91a_b.jpeg& class=&origin_image zh-lightbox-thumb& width=&1125& data-original=&/aca1d0e71cb4a1d0cea91a_r.jpeg&&然后里面所有的文件全没了！&img data-rawwidth=&1125& data-rawheight=&2001& src=&/59a3cd33b2eaca0185a68fac_b.jpeg& class=&origin_image zh-lightbox-thumb& width=&1125& data-original=&/59a3cd33b2eaca0185a68fac_r.jpeg&&对方敲我BTC咳咳咳！！！&br&&br&我貌似什么都不能做。我想了解，这个可能是什么方式做到的这一点额，阿里的话对这个有什么措施木有。只是想探讨下，了解下学习下！里面我并没什么重要的文件。&br&&br&最后我想问问&br&&br&对了我能用邮件狂轰这个邮箱吗？！！
今天下午阿里云报了个异地登录！…
按投票排序
信息安全外行表示除非你买的服务器有自动备份，否则好像没办法……另外他说一个月后将上传这些数据到各大bt站点，不涉密的话下个月用种子搜索找一下就是了 [手动滑稽 ]
ECS 是有自动快照功能的，如果黑客没进你的阿里云控制台删除掉的话，还是可以恢复到最近的版本的。
看到轮子哥关注了问题，好想提个问题azure被黑怎么办？(逃
三个比特币太黑了。。只能平时注意自己的服务器了，定时备份才是王道。隐约记得好像可以设置可登陆的IP段？现在一个比特币的价格在2700左右。重新搞数据吧亲。
这个黑客就是敲诈，我给了钱也没有给我数据，所以，丢了就丢了，吸取教训就行！！！
被黑怎么处理我不知道，但阿里的安全防护机制还不错。比如，云盾。虽然各大知名公司都有这类产品，但总体来说阿里云盾还是略胜一筹，毕竟阿里的web安全牛很多。以前用了一台阿里的服务器扫描了某个IP的端口，很快就被邮件警告了。当然腾讯云也有这样的防护。怎么感觉在推销阿里的产品，因为我没用过腾讯云
还是主动提升一下云主机的安全防护能力吧，如安全加固、避免使用弱口令、及时安装系统补丁等，将安全问题防患于未然，从而有效避免黑客入侵。
一看就是被产品经理虐得少，我们上线吧/老板让下线/业务要恢复/先停一下服务/老板说不做了/老板要上个月数据，对，服务停了也要 etc.
去ace硬盘快照把原来的快照还原吧。。。记得改密码
1.阿里云有自动快照，恢复一下就好了2.提交工单
已有帐号？
无法登录？
社交帐号登录阿里云服务器被黑客黑了咋办？
&img data-rawwidth=&767& data-rawheight=&273& src=&/ea438ecbe71c05a19ab47b7da2f66eb8_b.jpeg& class=&origin_image zh-lightbox-thumb& width=&767& data-original=&/ea438ecbe71c05a19ab47b7da2f66eb8_r.jpeg&&今天下午阿里云报了个异地登录！&img data-rawwidth=&1125& data-rawheight=&2001& src=&/aca1d0e71cb4a1d0cea91a_b.jpeg& class=&origin_image zh-lightbox-thumb& width=&1125& data-original=&/aca1d0e71cb4a1d0cea91a_r.jpeg&&然后里面所有的文件全没了！&img data-rawwidth=&1125& data-rawheight=&2001& src=&/59a3cd33b2eaca0185a68fac_b.jpeg& class=&origin_image zh-lightbox-thumb& width=&1125& data-original=&/59a3cd33b2eaca0185a68fac_r.jpeg&&对方敲我BTC咳咳咳！！！&br&&br&我貌似什么都不能做。我想了解，这个可能是什么方式做到的这一点额，阿里的话对这个有什么措施木有。只是想探讨下，了解下学习下！里面我并没什么重要的文件。&br&&br&最后我想问问&br&&br&对了我能用邮件狂轰这个邮箱吗？！！
今天下午阿里云报了个异地登录！…
按时间排序
这个黑客就是敲诈，我给了钱也没有给我数据，所以，丢了就丢了，吸取教训就行！！！
被黑怎么处理我不知道，但阿里的安全防护机制还不错。比如，云盾。虽然各大知名公司都有这类产品，但总体来说阿里云盾还是略胜一筹，毕竟阿里的web安全牛很多。以前用了一台阿里的服务器扫描了某个IP的端口，很快就被邮件警告了。当然腾讯云也有这样的防护。怎么感觉在推销阿里的产品，因为我没用过腾讯云
还是主动提升一下云主机的安全防护能力吧，如安全加固、避免使用弱口令、及时安装系统补丁等，将安全问题防患于未然，从而有效避免黑客入侵。
一看就是被产品经理虐得少，我们上线吧/老板让下线/业务要恢复/先停一下服务/老板说不做了/老板要上个月数据，对，服务停了也要 etc.
去ace硬盘快照把原来的快照还原吧。。。记得改密码
看到轮子哥关注了问题，好想提个问题azure被黑怎么办？(逃
1.阿里云有自动快照，恢复一下就好了2.提交工单
ECS 是有自动快照功能的，如果黑客没进你的阿里云控制台删除掉的话，还是可以恢复到最近的版本的。
信息安全外行表示除非你买的服务器有自动备份，否则好像没办法……另外他说一个月后将上传这些数据到各大bt站点，不涉密的话下个月用种子搜索找一下就是了 [手动滑稽 ]
三个比特币太黑了。。只能平时注意自己的服务器了，定时备份才是王道。隐约记得好像可以设置可登陆的IP段？现在一个比特币的价格在2700左右。重新搞数据吧亲。
已有帐号？
无法登录？
社交帐号登录| 时间排序
这个确实恶心啊，云盾每天9点到10点就会扫描一次，麻痹的，数据库里多了一堆shit，开始我还没反应过来，以为真被模拟攻击了，后来查了才知道，阿里云盾每天定时定点的扫描做渗透测试，各种坑啊，数据全乱了。大家有没有好的解决方法？加上校验KEY，过两天阿里云盾就又劫持到参数，然后又正常检测，靠，流量入口在人家那，根本防不住啊
这个确实恶心啊，云盾每天9点到10点就会扫描一次，麻痹的，数据库里多了一堆shit，开始我还没反应过来，以为真被模拟攻击了，后来查了才知道，阿里云盾每天定时定点的扫描做渗透测试，各种坑啊，数据全乱了。大家有没有好的解决方法？加上校验KEY，过两天阿…
深圳易维信就可以申请SSL证书，并且服务贴心，专业证书使用内技术支持，7*24小时全人工
深圳易维信就可以申请SSL证书，并且服务贴心，专业证书使用内技术支持，7*24小时全人工
楼上说出了真相啊，不过还得补充一点，下单后需要填写证书信息提交审核，审核通过后才能获取证书哦。
楼上说出了真相啊，不过还得补充一点，下单后需要填写证书信息提交审核，审核通过后才能获取证书哦。
看到阿里云官网确实上线了CA证书服务，用的是沃通CA的SSL证书，有免费SSL证书、DV SSL证书、OV SSL证书和EV SSL证书四类，支持通配域名和多域名。但是现在多域名只能按页面的提示选择，不能自定义。在线选择好SSL证书的类型、域名个数、证书有效期，下单购买支付后，就可以到后台证书管理列表里查看SSL证书状态，申请成功后点击“推送”，上传私钥文件，推送到云产品中自动安装部署HTTPS，就可以了。
看到阿里云官网确实上线了CA证书服务，用的是沃通CA的SSL证书，有免费SSL证书、DV SSL证书、OV SSL证书和EV SSL证书四类，支持通配域名和多域名。但是现在多域名只能按页面的提示选择，不能自定义。在线选择好SSL证书的类型、域名个数、证书有效期，下单购…
截图中提到的是云盾的“端口安全检测”和“Web漏洞检测”两种服务，现在这俩服务已经合并到云盾“态势感知”产品当中(&a href=&///?target=https%3A///product/sas& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&态势感知_安全大数据分析&i class=&icon-external&&&/i&&/a&)。&br&“端口安全检测”即对高风险和高危险端口进行扫描，具体描述见（&a href=&///?target=https%3A///knowledge_detail/5974862.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&端口安全检测端口列表&i class=&icon-external&&&/i&&/a&）；检测仅仅是测试一下端口是否开放，不会向端口发送额外的数据，理论上不会影响该端口对应的服务正常运行。“Web漏洞检测”即对网站进行SQL注入，XSS等通用web漏洞和第三方开源程序漏洞检测。检测使用的payload都由云盾工程师线下测试通过，且确认无害后才提供给用户使用。&br&&br&LZ截图展示的问题，应该是由于程序不能解析漏洞检测发送的请求导致的报错。如果这个报错影响到应用正常运行，建议先关闭上述服务，或是屏蔽云盾扫描相关的IP，然后提交工单联系客服解决。&br&&br&对于@&a class=&& href=&/people/qie-ge& data-editable=&true& data-title=&且歌&&且歌&/a& 提到的“为什么云盾总是能知道api地址以及对应参数”，是因为漏洞扫描系统是在机房入口进行流量分析的，程序会自动对流量进行漏洞分析与测试。&b&需要说明的是，这些信息仅会用来测试用户自己ECS，不会发送到第三方，云盾也不会保存这些信息。&/b&在“阿里云帮助中心”里面也有相关的说明：&br&&a href=&///?target=https%3A///knowledge_detail/5974730.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&云盾扫描获取网站敏感信息的说明&i class=&icon-external&&&/i&&/a&&br&&a href=&///?target=https%3A///knowledge_detail/6554913.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&云盾扫描我的网站，获取到了我网站路径的敏感参数数值，请问为什么？&i class=&icon-external&&&/i&&/a&&br&&a href=&///?target=https%3A///knowledge_detail/5974733.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&云盾访问我网站的接口URL触发后端操作问题&i class=&icon-external&&&/i&&/a&&br&&br&在“态势感知”产品上线（2015年11月）之前，云盾所有的免费安全服务都是默认开启的，因此也包括这两种服务。但在“态势感知”产品上线之后，原有的服务已经暂停，所有的服务都由用户&b&主动开启&/b&，开启后也可以自行关闭（&a href=&///?target=https%3A///knowledge_detail/6671427.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&如何关闭云盾扫描&i class=&icon-external&&&/i&&/a&，与原关闭方式一致）。如果还是遭受到类似的扫描，而又没有使用云盾相关产品，可以提工单找客服处理。&br&&br&PS. 发起上述行为的IP可以通过下面的URL找到：&br&&a href=&///?target=https%3A///knowledge_detail/5975223.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&云盾正常扫描云服务器的IP是什么？&i class=&icon-external&&&/i&&/a&
截图中提到的是云盾的“端口安全检测”和“Web漏洞检测”两种服务，现在这俩服务已经合并到云盾“态势感知”产品当中()。“端口安全检测”即对高风险和高危险端口进行扫描，具体描述见（）；检测仅仅是测试一下…
建议改用小鸟云
建议改用小鸟云
可可苏玛 你脑子有问题么? 明显我是在顾着你说
可可苏玛 你脑子有问题么? 明显我是在顾着你说
这个云盾扫描很恶心。我让你扫了吗？你想扫就扫？万一我们的代码很烂，被你一扫数据被删除了这责任算谁的？
这个云盾扫描很恶心。我让你扫了吗？你想扫就扫？万一我们的代码很烂，被你一扫数据被删除了这责任算谁的？
阿里云本身是收购旧万网的服务，其实是一个以销售团队推导的业务模式，而且其所谓的云盾，其实是破解了各大OS，在后台监控，使用户实际得到的内存和CPU不如其实，说白了就是改性能参数骗小白。&br&这一点，我做了10年IDC，也有不少用户在阿里云上受骗，可以很负责的说，就是这么一回事。&br&但又为什么有人喜欢用阿里云？&br&原因是：&br&1、促销门槛很低，对于那些天天洗脑的农民企业家们是一个选择。&br&2、过度迷恋淘宝，其实淘宝哪有让商家赚到钱。&br&&br&真正技术高手不会用阿里云。
阿里云本身是收购旧万网的服务，其实是一个以销售团队推导的业务模式，而且其所谓的云盾，其实是破解了各大OS，在后台监控，使用户实际得到的内存和CPU不如其实，说白了就是改性能参数骗小白。这一点，我做了10年IDC，也有不少用户在阿里云上受骗，可以很负…
这怎么能叫bug呢，这叫feature&a href=&///people/e52a75e759dc7& data-hash=&e52a75e759dc7& class=&member_mention& data-tip=&p$b$e52a75e759dc7&&@阿里云&/a&
这怎么能叫bug呢，这叫feature
欢迎使用百度公有云
欢迎使用百度公有云
怎么没人用我巨硬的Azure呢？俄罗斯冬奥会背后就是Azure的云服务在支撑好么
怎么没人用我巨硬的Azure呢？俄罗斯冬奥会背后就是Azure的云服务在支撑好么
我应该遇到了和楼主一样的问题，这不是&不稳定&，是阿里的云盾服务在做渗透测试&br&&br&他们的IP范围：&br&&a href=&///?target=http%3A///knowledge_detail.htm%3FknowledgeId%3Dpos%3D2& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&云盾正常扫描云服务器的IP是什么&i class=&icon-external&&&/i&&/a&&br&&br&前天早上，我的测试设备忽然收到了几十条push消息，且收到的内容很奇怪。于是去看了日志，发现有人请求api，用了很奇怪的参数。&br&?platform=1&title=../../../../../../../../windows/win.ini&br&?platform='& onreadystatechange=document.createElement('script').src=...&br&?check=123DFASFFASDF'&&&iframe onload=alert()&&platform=1&br&&br&妈蛋，这是谁在用工具扫我。&br&&br&但是又一想，我在阿里云上只部署了这几个文件，是接收主服务器那边的请求，专门用来代理发push的。谁TM能知道这个api地址呢，这不科学。&br&&br&难道是主服务器这边被攻陷了？回去看主服务器日志，并没有请求过那么多次的记录。&br&&br&不解，认为是因为某些未知情况，api地址被泄露了。&br&于是给pushapi加了个check字段，用一个固定的key做校验。这样再扫我可就过不去了。呵呵。（事实证明，图样图森破）&br&&br&同时加了请求日志，是的，阿里云的ACE，不提供http请求日志，只能手动往errorlog里写。&br&&br&第二天，好像没事了，也没人请求。&br&&br&今天早上，又收到了一堆push。&br&去看记录的日志，妈蛋啊，真是代码泄露了吗，丫请求的时候还知道带着那个check字段和我写在程序里的key。&br&&br&想了很多。。。难道是目录里没使用的thinkphp框架有漏洞？难道有人监听了这台机器的网络请求？&br&&br&后来想还是找客服要请求日志吧，没准能发现高人是怎么入侵的。顺便提供了我记录的请求日志。&br&&br&&b&然后，客服说，这是我们的云盾在做入侵检测。&/b&&br&我们的云盾在做入侵检测。&br&云盾在做入侵检测。&br&在做入侵检测。&br&入侵检测。&br&测。&br&&br&测尼玛啊！&br&&br&我这api没有任何入口，完全是内部使用啊？&br&还知道用我历史请求的参数去请求，挺智能啊？&br&我要是有套自用的维护api呢，你也挨个去请求一遍啊？&br&我要是把所有服务都放这边，是不是发帖加好友点赞后台删除用户删除内容，你都得挨个请求一遍啊，你还能模拟登陆状态对不对啊？&br&&br&。。。&br&&br&当然，你说我这安全级别不够，就是应该给每个api，每个管理界面都加上校验，避免你这种没头没脑的请求。其实我也能理解。&br&&br&但是要是tm黑客都做到这一步了，都知道我每个页面，每个请求的参数了，他还模拟请求个蛋啊。。。&br&&br&且，检测也行，你倒是提前说一声啊。。。&br&&br&楼主，不是服务不稳定，是你也被检测了。
我应该遇到了和楼主一样的问题，这不是"不稳定"，是阿里的云盾服务在做渗透测试他们的IP范围：前天早上，我的测试设备忽然收到了几十条push消息，且收到的内容很奇怪。于是去看了日志，发现有人请求api，用了很奇怪的参数。?…
昨晚9月12日晚是登陆之夜&br&&br&&br&&br&&br&&br&&br&(哎这个不是说腾讯？)
昨晚9月12日晚是登陆之夜(哎这个不是说腾讯？)
“老子服务就这样，你有本事别用啊”
“老子服务就这样，你有本事别用啊”
已有帐号？
无法登录？
社交帐号登录}