<b></b>
<b>摘要:</b>在阿裡雲雙11訪談雲安全專場中,阿裡雲安全資深産品專家建躍、阿裡雲安全高防産品經理黃犢以及阿裡雲安全安騎士産品專家文宣為大家介紹了阿裡雲安全團隊的發展過程以及阿裡雲安全的DDoS高防IP、安騎士以及Web應用防火牆等産品的特點以及近期的發展變化。
<b>以下内容根據訪談視訊整理而成。</b>
<b>阿裡雲安全團隊的成長發展史</b>
阿裡雲安全團隊從成立到現在已經經曆了十多年的發展曆程。在2005年的時候,阿裡巴巴集團成立了自己的安全團隊,這就是阿裡雲安全團隊的前身。阿裡巴巴安全團隊成立之後,國内非常多的安全行業大牛比如肖力、雲舒都加入了阿裡巴巴的安全團隊。從2005年到2008年,阿裡巴巴安全團隊主要支撐了淘寶、支付寶等阿裡巴巴集團所有子公司的内部安全。2009年阿裡雲成立,安全團隊就開始負責整個阿裡雲的安全建設工作。
到今天,阿裡雲安全團隊已經經過了将近10年的發展。從維護内部的安全開始,到現在已經能夠對外提供十幾款商業化安全産品,其中就包括了DDoS高防IP、安騎士以及Web應用防火牆等。目前随着商業化的産品越來越多,阿裡雲安全團隊也将自己的産品與合作夥伴的産品進行了融合,是以現在阿裡雲的客戶可以線上上選擇由阿裡雲自身提供的安全産品,也可以選擇阿裡雲的合作夥伴提供的非常完善的安全産品。
<b>磨煉:成功抵禦全球最大DDoS攻擊</b>
提到DDoS,就不得不談到在2014年時阿裡雲安全團隊成功防禦了全球最大的達到453G的DDoS攻擊。其實在2014年全球最大的DDoS攻擊到來的時候,阿裡雲安全團隊面臨着一個抉擇:到底要不要去為這個使用者持續地保駕護航?這是因為那時的DDoS防禦成本是非常高昂的。但是阿裡雲安全團隊最終選擇了為客戶保駕護航,并且功能抵禦住了那次的DDoS攻擊。從那次事件之後,阿裡雲安全團隊更加堅定了建設更加強大的DDoS防護能力并為使用者提供最基礎的服務的信心。經過阿裡雲安全團隊三年多的努力,目前阿裡雲已經将DDoS防禦成本從原來的幾百萬降低到了現在的幾十萬。
<b>DDoS高防IP簡介</b>
在2014年的時候,阿裡雲的高防IP産品還沒有上線,當時幫助雲上使用者防禦DDoS攻擊還需要花費非常高昂的成本。而目前來看,阿裡雲已經把單個使用者DDoS攻擊的防禦成本從幾百萬降低到了幾十萬元的水準。同時在2016年,阿裡雲高防産品也進行了一次比較大的改版,從控制台上來看,現在将高防分成了網站防護和非網站防護兩個部分。是以現在不僅僅能夠提供通用性的針對傳統意義上的四層高防,現在針對HTTP以及HTTPS協定也提供了比較好的能力補充。這裡值得一提的就是在今年的雲栖大會上進行了重磅釋出:阿裡雲高防已經能夠做到将DDoS 300G能力的防護成本降低到36萬元/年,現在的防護成本已經降低到之前十分之一的水準。
<b>降低DDoS攻擊防禦成本,實作普惠安全防護</b>
那麼,為什麼阿裡雲要降低防禦DDoS攻擊的成本呢?其實這需要從阿裡雲的一個客戶說起,這個客戶是一個以手機遊戲為主要業務的初創企業,它在今年年中的時候遭受了持續地DDoS攻擊,而且攻擊峰值達到了700G以上,這次攻擊的峰值之大在國内是非常少見的。而在這個客戶被攻擊的三到四天的時間内,阿裡雲因為這個攻擊所付出的防禦成本已經達到了30萬,而客戶的所有銷售收入已經全部用于進行DDoS防禦了,已經無法支撐業務的發展了。雖然後來阿裡雲幫助客戶成功溯源、定位到并且抓捕到了黑客,但是這家公司在防禦的過程中也付出了極大的代價,不僅僅業務受到了很大的影響,而防禦費用也非常高昂。
當時情況下,阿裡雲高防已經為使用者提供了盡可能大的防禦能力,無論是在攻擊流量高的時候将門檻值調到上T級别,還是幫助使用者進行海外的流量封禁,進行地域的、電信的、IDC的流量封禁以及跨網的流量封禁,阿裡雲安全專家全程中都在幫助使用者抵抗DDoS攻擊。這個攻擊一直持續了三個星期左右,随着黑客肉機資源能力的下降,攻擊流量也慢慢降低下來了。當最難捱的三個星期過去之後,阿裡雲幫助使用者成功地定位到了黑客所在位置并且最終将攻擊終止掉了。
而在DDoS攻擊防禦的過程中其實存在兩個問題:第一、阿裡雲為使用者進行防禦的成本非常高昂;第二、使用者支付給阿裡雲的成本也非常高。是以阿裡雲安全團隊在今年決定把300G的防護能力實作普惠,真正面向所有使用者。未來,300G以下的攻擊隻需要36萬元/年就可以擷取,而不是像之前300G的攻擊防護高達2萬元/天。通過現在阿裡雲與營運商的合作,比如與移動合建機房,與聯通合作進行流量清洗等,阿裡雲已經能夠為使用者提供T級别的防禦能力,同時也能夠将300G的能力全部普惠給雲上使用者,能夠讓這些使用者能夠感受到雲計算所帶來的普惠能力。
<b>安騎士簡介</b>
當提到“安騎士”這三個字的時候,大家可能并不了解是什麼意思,其實阿裡雲的安騎士是一款伺服器安全軟體。大家都知道在PC上面往往會有一些安全管理軟體,其實在ECS伺服器上面也需要這樣的主機安全防護軟體。雖然與PC上面的安全管理類似,但是伺服器安全管理所專注的事情則是不同的,接下來也為大家簡單介紹一下。
其實安騎士這款産品在阿裡雲剛開始出售ECS的時候就已經存在了。在2001年的時候,阿裡雲安全團隊就已經研發了主機安全産品安騎士,當時所提供的是一些免費基礎的服務,到現在已經積累了百萬級别的免費客戶,安騎士也在為大家的ECS做着一些安全防護的工作。但是随着目前黑客攻擊的手段不斷地提高以及客戶個性化的需求不斷提出,安騎士也在不斷地進行疊代更新,并且也推出了商業化的版本,能夠幫助客戶解決一些更加棘手的安全問題。
<b>安騎士更新改版,全新漏洞管理功能</b>
近期,安騎士進行了一次大型改版,在整個安全管理體系中将漏洞管理提升到了一個非常重要的位置。對于PC而言,大家可能關注更多的是一些病毒防護,是以會安裝一些防病毒軟體,而之是以在ECS上面選擇了漏洞管理這個方向,是因為大家在使用PC時往往會主動地浏覽網際網路,所通路的網站可能本身就存在一些木馬或者非法軟體,這些一旦在我們的PC上面運作就會造成一定的損失,是以需要安裝防病毒軟體;而雲上ECS是一個封閉的環境,運作的軟體非常少,并且不存在主動浏覽網際網路的行為,隻有被網際網路通路的場景存在。而同樣的,如果黑客想要入侵伺服器則需要找到伺服器的弱點也就是漏洞所在了,隻有通過漏洞,黑客才能入侵伺服器。是以安騎士将主機安全的中心放在了漏洞管理上面,現在不再提主機入侵防護而是在事前找到伺服器所有的弱點,因為到防護的時候其實可能已經晚了,這時候業務可能已經遭受了很大的損失,是以需要在事前将弱點找到,将漏洞堵住,是以安騎士推出了全新的漏洞管理功能。
對于漏洞管理而言,阿裡雲之外也有很多廠家在做,但是阿裡雲定位自己與其他安全廠商的差別有以下三點:
<b>全局視角。</b>漏洞檢測會通過主機層檢測所有安裝的軟體的安全狀況,比如版本是否需要更新,同時,外部應用、資料庫以及軟體配置等各個層面的檢測機制将漏洞觀察得更加全面。因為安全防護也存在着木桶原理,一旦有一個漏洞沒有被發現就有可能造成整個系統被入侵,是以隻有全面地看到系統的弱點才能把每一個短闆補足。
<b>及時。</b>很多時候需要達到0day的漏洞響應,今天在網際網路上可能就會立即爆發一個漏洞,而為了在很短的時間内檢測到并且為使用者提供修補方案,安騎士共享了阿裡雲的整個威脅情報,這樣就能夠更加友善地擷取關于漏洞的細節以及修複方案,這樣就能夠做到在24小時之内對于爆發的漏洞提供檢測和修複方案。
<b>閉環功能。</b>對于很多漏洞檢測而言,往往隻會去看這個漏洞是否存在,但是真正到漏洞的解決還存在很多步驟,比如如何修複以及修複完成之後如何驗證等這一系列的環節。目前,上述步驟都可以在安騎士的控制台去完成,不需要去尋找更多的修複方案。
<b>Web應用防火牆簡介</b>
Web應用防火牆這款産品在整個雲安全産品的發展過程當中也是從阿裡巴巴内部使用開始,慢慢積累了一定能力之後才對外提供服務和釋出的。Web應用防火牆産品完全是由阿裡巴巴自主研發的,其在對外商業化之前支撐了整個淘寶、天貓的“雙11”活動。從2016年4月份開始,Web應用防火牆正式面向外部使用者提供服務。
WAF變革商業模式,降低使用門檻
2017年以來,Web應用防火牆最主要的變化就是将會推出按量後付費的商業模式。之前需要購買至少一個月的服務,而對于使用者而言,就往往會産生很多顧慮,比如購買了服務之後如果出現問題能否退款以及如何進行更新等。是以今年Web應用防火牆的商業模式産生了較大的變化,提供了按量付費的模式,使用者用多少就付多少。舉例而言,比如對于中小站點而言,可能每秒并發的通路數隻有10個,對于這樣的站點而言,可能需要使用到Web應用防火牆中的很多功能,但是計算一下可能隻有10個QPS,對應的功能系數假設是1,那麼可能一天隻需要花費10元就可以了。對于稍微大一些的站點,每秒最高的使用者通路量可能達到300,那麼它使用了比如CC防護、業務風控等的很多功能,功能系數假設為2,那麼每天可能隻需要花費500元左右。是以Web應用防火牆通過商業模式的改變,希望将Web應用防火牆的使用門檻變得更低,做到真正的完全按量使用這款産品。
<b>阿裡雲安全産品“雙11”特惠活動</b>
在2017年中,整個阿裡雲雲盾的産品都發生了比較大的變化,而在今年的“雙11”中,雲盾系列産品也将展開力度比較大的促銷活動。
<b>DDos高防IP優惠:</b>所有的存量使用者都将享受到包年的新購、續費全部7折的優惠,相當于隻需要花費大概16萬的費用就可以獲得20G保底最高彈性到300G防護的套餐。另外,針對于今年在雲栖大會的釋出,300G包年将會享受特别低的折扣,優惠力度達到0.78折的産品也會在“雙11”當天釋出,但是因為這個産品的優惠力度特别大,是以在釋出時是限量100個的。這款300G保底的産品隻需要36.8萬/年,而之前卻需要440萬/年,大家可以想象一下本次折扣的力度,因為這麼大的力度是以目前采用了稽核制,如果大家有需要請與對應的商務人員溝通或者緻電阿裡雲售前電話進行預約。同時遊戲盾也有優惠活動,隻要是使用者新購買遊戲盾并且全款簽合同就可以獲得30萬的高防代金券,是以也基本可以折合8折的優惠。
<b>安騎士優惠:</b>安騎士在早期是按照ECS的台數收費的,之前安騎士企業版是200元/台/月,近期已經進行了大幅度的調整,調整後的價格為60元/台/月,還會支援7天的試用。并且在“雙11”活動期間,安騎士産品還會提供更多優惠,在“雙11”當天首購包年安騎士5折優惠,續費7折優惠,也就是說在“雙11”當天可以以30元/台/月的價格購買到安騎士産品。同時因為安騎士支援7天試用,是以大家可以嘗試去試用一下,如果覺得還不錯那就趁着“雙11”大優惠趕快下單吧!
<b>Web應用防火牆優惠:</b>所有使用者隻要包年就都能夠享受到6折優惠。
阿裡雲安全其他産品的優惠活動:此外,針對内容安全産品會有一個預購送代金券的活動,具體金額大家可以去官網上檢視,證書服務也提供了首購5折的優惠,更上層的安全管理服務,比如态勢感覺功能也提供了首購5折優惠。
在“雙11”期間,阿裡雲雲盾從最底層網絡、到主機再到應用和管理整個産品線都會提供非常大的優惠。也就是說,在雙11期間,雲安全加量不加價,全場5折起!