阿里雲雙11訪談之雲安全

雙11第一波，紅包領不停，點選看詳情：https://promotion.aliyun.com/ntms/act/pre20171111.html

摘要：在阿里雲雙11訪談雲安全專場中，阿里雲安全資深產品專家建躍、阿里雲安全高防產品經理黃犢以及阿里雲安全安騎士產品專家文宣為大家介紹了阿里雲安全團隊的發展過程以及阿里雲安全的DDoS高防IP、安騎士以及Web應用防火牆等產品的特點以及近期的發展變化。

以下內容根據訪談視訊整理而成。

阿里雲安全團隊的成長髮展史
阿里雲安全團隊從成立到現在已經經歷了十多年的發展歷程。在2005年的時候，阿里巴巴集團成立了自己的安全團隊，這就是阿里雲安全團隊的前身。阿里巴巴安全團隊成立之後，國內非常多的安全行業大牛比如肖力、雲舒都加入了阿里巴巴的安全團隊。從2005年到2008年，阿里巴巴安全團隊主要支撐了淘寶、支付寶等阿里巴巴集團所有子公司的內部安全。2009年阿里雲成立，安全團隊就開始負責整個阿里雲的安全建設工作。

到今天，阿里雲安全團隊已經經過了將近10年的發展。從維護內部的安全開始，到現在已經能夠對外提供十幾款商業化安全產品，其中就包括了DDoS高防IP、安騎士以及Web應用防火牆等。目前隨著商業化的產品越來越多，阿里雲安全團隊也將自己的產品與合作伙伴的產品進行了融合，所以現在阿里雲的客戶可以線上上選擇由阿里雲自身提供的安全產品，也可以選擇阿里雲的合作伙伴提供的非常完善的安全產品。

磨鍊：成功抵禦全球最大DDoS攻擊
提到DDoS，就不得不談到在2014年時阿里雲安全團隊成功防禦了全球最大的達到453G的DDoS攻擊。其實在2014年全球最大的DDoS攻擊到來的時候，阿里雲安全團隊面臨著一個抉擇：到底要不要去為這個使用者持續地保駕護航？這是因為那時的DDoS防禦成本是非常高昂的。但是阿里雲安全團隊最終選擇了為客戶保駕護航，並且功能抵禦住了那次的DDoS攻擊。從那次事件之後，阿里雲安全團隊更加堅定了建設更加強大的DDoS防護能力併為使用者提供最基礎的服務的信心。經過阿里雲安全團隊三年多的努力，目前阿里雲已經將DDoS防禦成本從原來的幾百萬降低到了現在的幾十萬。

DDoS高防IP簡介
在2014年的時候，阿里雲的高防IP產品還沒有上線，當時幫助雲上使用者防禦DDoS攻擊還需要花費非常高昂的成本。而目前來看，阿里雲已經把單個使用者DDoS攻擊的防禦成本從幾百萬降低到了幾十萬元的水平。同時在2016年，阿里雲高防產品也進行了一次比較大的改版，從控制檯上來看，現在將高防分成了網站防護和非網站防護兩個部分。所以現在不僅僅能夠提供通用性的針對傳統意義上的四層高防，現在針對HTTP以及HTTPS協議也提供了比較好的能力補充。這裡值得一提的就是在今年的雲棲大會上進行了重磅釋出：阿里雲高防已經能夠做到將DDoS 300G能力的防護成本降低到36萬元/年，現在的防護成本已經降低到之前十分之一的水平。

降低DDoS攻擊防禦成本，實現普惠安全防護
那麼，為什麼阿里雲要降低防禦DDoS攻擊的成本呢？其實這需要從阿里雲的一個客戶說起，這個客戶是一個以手機遊戲為主要業務的初創企業，它在今年年中的時候遭受了持續地DDoS攻擊，而且攻擊峰值達到了700G以上，這次攻擊的峰值之大在國內是非常少見的。而在這個客戶被攻擊的三到四天的時間內，阿里雲因為這個攻擊所付出的防禦成本已經達到了30萬，而客戶的所有銷售收入已經全部用於進行DDoS防禦了，已經無法支撐業務的發展了。雖然後來阿里雲幫助客戶成功溯源、定位到並且抓捕到了黑客，但是這家公司在防禦的過程中也付出了極大的代價，不僅僅業務受到了很大的影響，而防禦費用也非常高昂。

當時情況下，阿里雲高防已經為使用者提供了儘可能大的防禦能力，無論是在攻擊流量高的時候將閾值調到上T級別，還是幫助使用者進行海外的流量封禁，進行地域的、電信的、IDC的流量封禁以及跨網的流量封禁，阿里雲安全專家全程中都在幫助使用者抵抗DDoS攻擊。這個攻擊一直持續了三個星期左右，隨著黑客肉機資源能力的下降，攻擊流量也慢慢降低下來了。當最難捱的三個星期過去之後，阿里雲幫助使用者成功地定位到了黑客所在位置並且最終將攻擊終止掉了。

而在DDoS攻擊防禦的過程中其實存在兩個問題：第一、阿里云為使用者進行防禦的成本非常高昂；第二、使用者支付給阿里雲的成本也非常高。所以阿里雲安全團隊在今年決定把300G的防護能力實現普惠，真正面向所有使用者。未來，300G以下的攻擊只需要36萬元/年就可以獲取，而不是像之前300G的攻擊防護高達2萬元/天。通過現在阿里雲與運營商的合作，比如與移動合建機房，與聯通合作進行流量清洗等，阿里雲已經能夠為使用者提供T級別的防禦能力，同時也能夠將300G的能力全部普惠給雲上使用者，能夠讓這些使用者能夠感受到雲端計算所帶來的普惠能力。

安騎士簡介
當提到“安騎士”這三個字的時候，大家可能並不理解是什麼意思，其實阿里雲的安騎士是一款伺服器安全軟體。大家都知道在PC上面往往會有一些安全管理軟體，其實在ECS伺服器上面也需要這樣的主機安全防護軟體。雖然與PC上面的安全管理類似，但是伺服器安全管理所專注的事情則是不同的，接下來也為大家簡單介紹一下。

其實安騎士這款產品在阿里雲剛開始出售ECS的時候就已經存在了。在2001年的時候，阿里雲安全團隊就已經研發了主機安全產品安騎士，當時所提供的是一些免費基礎的服務，到現在已經積累了百萬級別的免費客戶，安騎士也在為大家的ECS做著一些安全防護的工作。但是隨著目前黑客攻擊的手段不斷地提高以及客戶個性化的需求不斷提出，安騎士也在不斷地進行迭代更新，並且也推出了商業化的版本，能夠幫助客戶解決一些更加棘手的安全問題。

安騎士升級改版，全新漏洞管理功能
近期，安騎士進行了一次大型改版，在整個安全管理體系中將漏洞管理提升到了一個非常重要的位置。對於PC而言，大家可能關注更多的是一些病毒防護，所以會安裝一些防病毒軟體，而之所以在ECS上面選擇了漏洞管理這個方向，是因為大家在使用PC時往往會主動地瀏覽網際網路，所訪問的網站可能本身就存在一些木馬或者非法軟體，這些一旦在我們的PC上面執行就會造成一定的損失，所以需要安裝防病毒軟體；而云上ECS是一個封閉的環境，執行的軟體非常少，並且不存在主動瀏覽網際網路的行為，只有被網際網路訪問的場景存在。而同樣的，如果黑客想要入侵伺服器則需要找到伺服器的弱點也就是漏洞所在了，只有通過漏洞，黑客才能入侵伺服器。所以安騎士將主機安全的中心放在了漏洞管理上面，現在不再提主機入侵防護而是在事前找到伺服器所有的弱點，因為到防護的時候其實可能已經晚了，這時候業務可能已經遭受了很大的損失，所以需要在事前將弱點找到，將漏洞堵住，所以安騎士推出了全新的漏洞管理功能。

對於漏洞管理而言，阿里雲之外也有很多廠家在做，但是阿里雲定位自己與其他安全廠商的區別有以下三點：

1. 全域性視角。漏洞檢測會通過主機層檢測所有安裝的軟體的安全狀況，比如版本是否需要升級，同時，外部應用、資料庫以及軟體配置等各個層面的檢測機制將漏洞觀察得更加全面。因為安全防護也存在著木桶原理，一旦有一個漏洞沒有被發現就有可能造成整個系統被入侵，所以只有全面地看到系統的弱點才能把每一個短板補足。
2. 及時。很多時候需要達到0day的漏洞響應，今天在網際網路上可能就會立即爆發一個漏洞，而為了在很短的時間內檢測到並且為使用者提供修補方案，安騎士共享了阿里雲的整個威脅情報，這樣就能夠更加方便地獲取關於漏洞的細節以及修復方案，這樣就能夠做到在24小時之內對於爆發的漏洞提供檢測和修復方案。
3. 閉環功能。對於很多漏洞檢測而言，往往只會去看這個漏洞是否存在，但是真正到漏洞的解決還存在很多步驟，比如如何修復以及修復完成之後如何驗證等這一系列的環節。目前，上述步驟都可以在安騎士的控制檯去完成，不需要去尋找更多的修復方案。

Web應用防火牆簡介
Web應用防火牆這款產品在整個雲安全產品的發展過程當中也是從阿里巴巴內部使用開始，慢慢積累了一定能力之後才對外提供服務和釋出的。Web應用防火牆產品完全是由阿里巴巴自主研發的，其在對外商業化之前支撐了整個淘寶、天貓的“雙11”活動。從2016年4月份開始，Web應用防火牆正式面向外部使用者提供服務。

WAF變革商業模式，降低使用門檻
2017年以來，Web應用防火牆最主要的變化就是將會推出按量後付費的商業模式。之前需要購買至少一個月的服務，而對於使用者而言，就往往會產生很多顧慮，比如購買了服務之後如果出現問題能否退款以及如何進行升級等。所以今年Web應用防火牆的商業模式產生了較大的變化，提供了按量付費的模式，使用者用多少就付多少。舉例而言，比如對於中小站點而言，可能每秒併發的訪問數只有10個，對於這樣的站點而言，可能需要使用到Web應用防火牆中的很多功能，但是計算一下可能只有10個QPS，對應的功能係數假設是1，那麼可能一天只需要花費10元就可以了。對於稍微大一些的站點，每秒最高的使用者訪問量可能達到300，那麼它使用了比如CC防護、業務風控等的很多功能，功能係數假設為2，那麼每天可能只需要花費500元左右。所以Web應用防火牆通過商業模式的改變，希望將Web應用防火牆的使用門檻變得更低，做到真正的完全按量使用這款產品。

阿里雲安全產品“雙11”特惠活動
在2017年中，整個阿里云云盾的產品都發生了比較大的變化，而在今年的“雙11”中，雲盾系列產品也將展開力度比較大的促銷活動。

DDos高防IP優惠：所有的存量使用者都將享受到包年的新購、續費全部7折的優惠，相當於只需要花費大概16萬的費用就可以獲得20G保底最高彈性到300G防護的套餐。另外，針對於今年在雲棲大會的釋出，300G包年將會享受特別低的折扣，優惠力度達到0.78折的產品也會在“雙11”當天釋出，但是因為這個產品的優惠力度特別大，所以在釋出時是限量100個的。這款300G保底的產品只需要36.8萬/年，而之前卻需要440萬/年，大家可以想象一下本次折扣的力度，因為這麼大的力度所以目前採用了稽核制，如果大家有需要請與對應的商務人員溝通或者致電阿里雲售前電話進行預約。同時遊戲盾也有優惠活動，只要是使用者新購買遊戲盾並且全款籤合同就可以獲得30萬的高防代金券，所以也基本可以摺合8折的優惠。

安騎士優惠：安騎士在早期是按照ECS的臺數收費的，之前安騎士企業版是200元/臺/月，近期已經進行了大幅度的調整，調整後的價格為60元/臺/月，還會支援7天的試用。並且在“雙11”活動期間，安騎士產品還會提供更多優惠，在“雙11”當天首購包年安騎士5折優惠，續費7折優惠，也就是說在“雙11”當天可以以30元/臺/月的價格購買到安騎士產品。同時因為安騎士支援7天試用，所以大家可以嘗試去試用一下，如果覺得還不錯那就趁著“雙11”大優惠趕快下單吧！

Web應用防火牆優惠：所有使用者只要包年就都能夠享受到6折優惠。

阿里雲安全其他產品的優惠活動：此外，針對內容安全產品會有一個預購送代金券的活動，具體金額大家可以去官網上檢視，證書服務也提供了首購5折的優惠，更上層的安全管理服務，比如態勢感知功能也提供了首購5折優惠。

在“雙11”期間，阿里云云盾從最底層網路、到主機再到應用和管理整個產品線都會提供非常大的優惠。也就是說，在雙11期間，雲安全加量不加價，全場5折起！

雙11第一波，紅包領不停，點選看詳情：https://promotion.aliyun.com/ntms/act/pre20171111.html