在IBM待了18年,「老將」沈鷗到青雲如何做安全
剛剛過去的2017似乎帶著不少話題烙印,而雲計算作為一匹黑馬成功突圍殺入大眾視野。
相比常被大家掛在嘴邊的巨頭們,國內新貴也不示弱,在千億級的市場蛋糕面前,分蛋糕理論早被拋之腦後,進攻才是王道。
成立於2012年的青雲在2017年6月宣布獲得D輪10.8億元融資,拿到了屬於自己的那塊蛋糕。蛋糕有了,如何守好這塊蛋糕呢?為了解開這一疑惑,編輯去青雲QingCloud拜訪了沈鷗——解決方案與架構部總經理,人稱「沈大師」。
沈鷗在 IBM 待了十八年,其中有八年是在與安全打交道。
IBM 的安全產品主要包括軟體及服務兩條線,軟體方面最早從防火牆做起(沒想到吧,IBM還有防火牆),之後開啟了一路撿西瓜的副本,網路安全、上層身份認證,安全事件管理、以及隨後的桌面及移動安全,這頭雄獅以鯨吞之勢不斷收購安全公司以壯大自己的安全產品線。
沈鷗自2004年開始,參與支持華東及全國的安全軟體項目,專註在身份安全和安全管理領域,在 IBM 收購移動安全公司Fiberlink後,又關注移動安全產品線。
2012年,IBM重組大型主機和軟體業務,雲計算作為新業務開始被推進。羅睿蘭奔走於全球各地,甚至親自「指揮作戰」。沈鷗也在此時從安全產品線撤離轉向Cloud。
可惜的是,空中樓閣建的過高,加之產品變幻莫測,IBM的雲計算一直無法在國內落地。
「所以我開始考慮其它一些Cloud的公司。」
2016年,沈鷗離開IBM。
「來到青雲是巧合也是必然。」在沈鷗還是IBM一員時已對青雲有所了解,讓他記憶猶新的是他還和當時在IBM的青雲QingCloud CEO黃允松一起合作過項目。
在開啟這段新征程之初,沈鷗就明確了打法,「企業用戶對於上雲了解甚少,我們的職責就是讓客戶了解怎樣在雲上真正做自己的Data Center(數據中心)。」
那安全在這其中扮演什麼角色?
進程如果大刀闊斧劈開青雲的雲,一邊是公有雲,一邊是私有雲。
在公有雲方面,國內客戶對上雲之後的安全措施知之甚少,他們的考慮往往簡單粗暴:我上你的雲,就相當於包辦婚姻,不需要出任何力,你保護我就是了。
雲服務商也是這麼做的,他們給客戶強制性提供VPC(虛擬私有雲),同時再輔以一堆各種自己開發的安全組件,相對而言客戶的選擇比較單一。
而青雲的安全考慮更像自由戀愛,兩方需要職責分擔。沈鷗告訴雷鋒網宅客頻道,雙方所要承擔的責任也依據IaaS、PaaS、SaaS服務的不同有所變化。
比如在IaaS方面青雲負責的是網路安全以及雲主機安全,網路類型的選擇,以及安全配置和組件部署則由客戶根據用戶業務要求設定。在PaaS方面青雲提供的不僅是基礎架構,還要確保PaaS服務本身應用層的安全性,而用戶所要付出也另有不同。
也就是說青雲給了用戶更多選擇,用戶可以根據業務選擇不同的網路組網方式、保護策略、甚至來自不同廠商的安全組件。同時又通過一些安全策略進行自動設置,如當客戶選擇將主雲主機放在基礎網路時,由於缺少VPC的保護,青雲會自動增加一些限制,如防火牆策略等。
為何不與巨頭選擇同一條路?
沈鷗告訴雷鋒網,這是為了在某些特定應用場景更好的滿足用戶。
如果說公有雲的安全線更多攥在青雲自己手中,那私有雲的安全線則主要是在客戶手中。
從2014年青雲開始接觸私有雲項目,最初的客戶大多是銀行,而銀行本身對安全性有極高的要求,隨後也拓展到了保險、證券、互金客戶,以及航空、政府、製造業等領域。
每個行業的安全規範都是不同的。以銀行為例,銀行一方面不使用公有雲,在部署私有雲時也需要大量的物理隔離;而保險行業的監管相對寬鬆,公有雲、託管雲或是私有雲都可採用,更關注資源部署真實節點的獲知和管理,資源隔離也可以採用虛擬防火牆技術。
所謂千人千面也可對應行業需求,青雲給出了個各種實現方案以應對金融行業的監管要求。
數據把企業數據比作聚寶盆毫不為過,過去企業將這些數據牢牢攥在自己手中。但隨著體量的增加,上雲變得迫切,數據安全卻成了一大問題。把聚寶盆放在自己夠不著的地方,還被別人眼饞著,這滋味想想就難受。
為了安客戶的心,雲服務商紛紛化身大護法,使出十八般武藝保護雲上的聚寶盆。
沈鷗告訴雷鋒網,數據安全首先會涉及到可靠性,一個大規模的數據中心要求確保業務的連續性,因此就會對故障率有所要求,不能出現數據的丟失現象,還要進行數據備份以及災備。
對公有雲的客戶來講,頻頻發生的DDoS攻擊也是讓人頭疼的問題,此處就需要通過流量清洗黑洞等方式進行解決。另一個就是所謂的數據不可恢復性,一個雲上的主機可能被多家公司使用,萬一我在用過之後下一個使用的是競爭對手,而數據又沒有全部刪乾淨怎麼辦?
青雲一方面了專屬雲主機和金屬裸機確保客戶對伺服器使用的安全性,在伺服器交付給下個客戶前對數據安全敏感的客戶可以選擇硬碟內容完全清除模式,以確保數據的不可恢復;另一方面,青雲在開發部署硬碟數據加密機制,數據落盤時就是加密的,從而杜絕數據可能的泄露。
最後,不論是在公有雲還是私有雲上都會提到的問題是:審計。
所謂君子有所為有所不為,青雲匯聚各類審計操作,如對其資源操作行為以及管理行為進行審計。如果用戶有需要可以自己對流量進行導出分析,但青雲不會監測用戶在自己雲主機上的操作。
作戰匹夫無罪懷璧有罪,守護多個聚寶盆的雲服務商往往也被不少黑產惦記著,時不時發動一波攻擊。
為了防賊,青雲成立了一個公有雲應急群,這是一個神龍見首不見尾的神秘組織,大知由多少人組成,只知他們24小時在線,只要監測到攻擊或故障就會迅速採取措施。
(此處應有截圖,但為了安全起見,沒有……於是宅宅給各位畫了一副模擬圖。)
出處:宅宅的腦洞
當然所謂的措施並不是一旦攻擊來了大神就扛起長槍大炮懟回去,而是先要鑒別一番,沈鷗告訴宅客頻道,首先要清楚攻擊流量有多大,畢竟每一個雲供應商的帶寬是有上限的。
而針對對方拋來的流量攻擊也要考慮是直接阻攔所有還是進行流量清除後將好的流量分給被攻擊的節點。對於流量異常現象也需要觀察,因為有時是客戶在做一些測試,如果並非正常現象則會採取各類更直接的措施。當然,這群大神也是有工具的,會自動處理一些問題。
聽到此次,看熱鬧不嫌事大的宅宅八卦道,有木有沒防住down掉的情況?
沈鷗微微一笑,「沒關係,還有外援,而這個外援,還不至一個。」
沈鷗坦言,畢竟術業有專攻,青雲作為一家雲服務提供商的確不可能如同專業的安全公司在每一層做到無懈可擊,此時就需要請一群專業安全服務商來幫忙了。比如客戶需要主機的防病毒安全,那青雲就與360合作,如果有人需要從主機到各節點之間控制那就與其他安全公司合作設置下一代防火牆。而如果有客戶想對資料庫所有的行為進行審計,那青雲也有其他小夥伴助攻。
相當於請了一群安全圈子的專家組團打怪。
不光是打怪,青雲凶起來連自己都打。沈鷗告訴雷鋒網,青雲會定期請安全公司進行攻擊檢測,讓一些白帽子來攻擊自己的產品來檢查平台漏洞,之後進行相應的修補更新,確保青雲平台本身的安全性。
而沈鷗也提到最近一次的檢測是在2017年10月份,那下一次呢?
你猜。
TAG:雷鋒網 |