文档讨论了弹性计算云安全的多方面，包括基础安全、业务安全和未来发展。重点介绍了阿里云提出的网络和系统安全方案，强调零侵入性和个性化保护。文档还提供了关于流量分析和攻击防护的数据和技术架构信息。

1. 弹性计算云安全
云舒
2012年11月22日

2. • 弹性计算基础安全
• 弹性计算业务安全
• 弹性计算安全的未来

3. 凌乱的信任关系
如此之多区域，有人
可信？

4. 无力的访问控制

5. 被放大的恶意攻击
攻击类型增多
覆盖范围更广
危害变大

6. 大规模效应
• CAM表的问题
• ARP广播报文的问题

7. 厂商的方案
802.1BR、VN-TAG
802.1Qbg、VEPA
SDN

8. 阿里云的方案——网络安全
• 分布式访问控制 • 动态报文检测
– VM基于用户分组 – VM信息动态绑定
– 策略自动迁移 – 发送端过滤
• 风暴控制
– MAC NAT
– ARP Proxy

9. 阿里云的方案——系统安全
• 基线安全 • 帐号安全
– 安全加固镜像 – 密码破解拦截
– 系统服务扫描 – 异地登录报警

10. • 弹性计算基础安全
• 弹性计算业务安全
• 弹性计算安全的未来

11. 为什么要做业务安全

12. 我们的思想
零侵入性，为用户提供
个性化的安全保障，对每个
业务进行精准化的防护。

13. 我们的思路
基于流量分析、数据挖掘的安全

14. 我们的数据
某云计算节点3台服务器，每秒分析
24Gbit流量，攻击发生的5秒内触发
防御体系，99.72%的攻击自动化处理
最近三个月内最大攻击27Gbit/s

15. 我们的数据
WEB漏洞扫描系统，每天覆盖4000
万 URL地址，吞吐流量30Tbit，检测
31 类WEB漏洞。

16. 我们的技术架构
WEB扫描
UDP Server
Hadoop 挂马检测
HTTP Cluster WEB Shell侦测
INFO 离线计算 WEB攻击分析
Analyzer 等等……
DDOS
Cluster Traffic 规则
Redis Cache
INFO Reporter DDOS防
实时计算 御系统
Aliyun RDS

17. • 弹性计算基础安全
• 弹性计算业务安全
• 弹性计算安全的未来

18. 分布式SDN
• 实现方式
– 基于特定网卡芯片的主机端SDN
– 跨越宿主机的SDN交换机核心端
• 可能的问题
– 主机端太多的安全策略影响性能。
– 依赖物理芯片的能力，部署起来比较困难

19. 混合式SDN ？
• 实现方式
– VEPA引流到网络
– SDN控制网络流向
• 可能的问题
– 缺乏在物理通道上区分逻辑通道的能力，在防
御ARP类攻击时比较困难