剛剛過去的2017似乎帶著不少話題烙印，而云計(jì)算作為一匹黑馬成功突圍殺入大眾視野。

相比常被大家掛在嘴邊的巨頭們，國內(nèi)新貴也不示弱，在千億級(jí)的市場(chǎng)蛋糕面前，分蛋糕理論早被拋之腦后，進(jìn)攻才是王道。

成立于2012年的青云在2017年6月宣布獲得D輪10.8億元融資，拿到了屬于自己的那塊蛋糕。蛋糕有了，如何守好這塊蛋糕呢？為了解開這一疑惑，編輯去青云QingCloud拜訪了沈鷗——解決方案與架構(gòu)部總經(jīng)理，人稱“沈大師”。

過往

沈鷗在 IBM 待了十八年，其中有八年是在與安全打交道。

IBM 的安全產(chǎn)品主要包括軟件及服務(wù)兩條線，軟件方面最早從防火墻做起（沒想到吧，IBM還有防火墻），之后開啟了一路撿西瓜的副本，網(wǎng)絡(luò)安全、上層身份認(rèn)證，安全事件管理、以及隨后的桌面及移動(dòng)安全，這頭雄獅以鯨吞之勢(shì)不斷收購安全公司以壯大自己的安全產(chǎn)品線。

沈鷗自2004年開始，參與支持華東及全國的安全軟件項(xiàng)目，專注在身份安全和安全管理領(lǐng)域，在 IBM 收購移動(dòng)安全公司Fiberlink后，又關(guān)注移動(dòng)安全產(chǎn)品線。

2012年，IBM重組大型主機(jī)和軟件業(yè)務(wù)，云計(jì)算作為新業(yè)務(wù)開始被推進(jìn)。羅睿蘭奔走于全球各地，甚至親自“指揮作戰(zhàn)”。沈鷗也在此時(shí)從安全產(chǎn)品線撤離轉(zhuǎn)向Cloud。 

可惜的是，空中樓閣建的過高，加之產(chǎn)品變幻莫測(cè)，IBM的云計(jì)算一直無法在國內(nèi)落地。

“所以我開始考慮其它一些Cloud的公司?！?/p>

2016年，沈鷗離開IBM。

“來到青云是巧合也是必然?！痹谏蝥t還是IBM一員時(shí)已對(duì)青云有所了解，讓他記憶猶新的是他還和當(dāng)時(shí)在IBM的青云QingCloud CEO黃允松一起合作過項(xiàng)目。

在開啟這段新征程之初，沈鷗就明確了打法，“企業(yè)用戶對(duì)于上云了解甚少，我們的職責(zé)就是讓客戶了解怎樣在云上真正做自己的Data Center（數(shù)據(jù)中心）。”

那安全在這其中扮演什么角色？

進(jìn)程

如果大刀闊斧劈開青云的云，一邊是公有云，一邊是私有云。

在公有云方面，國內(nèi)客戶對(duì)上云之后的安全措施知之甚少，他們的考慮往往簡(jiǎn)單粗暴：我上你的云，就相當(dāng)于包辦婚姻，不需要出任何力，你保護(hù)我就是了。

云服務(wù)商也是這么做的，他們給客戶強(qiáng)制性提供VPC（虛擬私有云），同時(shí)再輔以一堆各種自己開發(fā)的安全組件，相對(duì)而言客戶的選擇比較單一。

而青云的安全考慮更像自由戀愛，兩方需要職責(zé)分擔(dān)。沈鷗告訴雷鋒網(wǎng)宅客頻道，雙方所要承擔(dān)的責(zé)任也依據(jù)IaaS、PaaS、SaaS服務(wù)的不同有所變化。

比如在IaaS方面青云負(fù)責(zé)的是網(wǎng)絡(luò)安全以及云主機(jī)安全，網(wǎng)絡(luò)類型的選擇，以及安全配置和組件部署則由客戶根據(jù)用戶業(yè)務(wù)要求設(shè)定。在PaaS方面青云提供的不僅是基礎(chǔ)架構(gòu)，還要確保PaaS服務(wù)本身應(yīng)用層的安全性，而用戶所要付出也另有不同。

也就是說青云給了用戶更多選擇，用戶可以根據(jù)業(yè)務(wù)選擇不同的網(wǎng)絡(luò)組網(wǎng)方式、保護(hù)策略、甚至來自不同廠商的安全組件。當(dāng)客戶選擇將主云主機(jī)放在基礎(chǔ)網(wǎng)絡(luò)時(shí)，可以選擇青云提供的防火墻、WAF等安全產(chǎn)品進(jìn)行網(wǎng)絡(luò)和應(yīng)用層的防護(hù)，同時(shí)也可以選擇青云QingCloud AppCenter中的各種安全應(yīng)用，滿足諸如數(shù)據(jù)庫安全審計(jì)等個(gè)性化的安全需求。

為何不與巨頭選擇同一條路？

沈鷗告訴雷鋒網(wǎng)，這是為了在某些特定應(yīng)用場(chǎng)景更好的滿足用戶。

如果說公有云的安全線更多攥在青云自己手中，那私有云的安全線則主要是在客戶手中。

從2014年青云開始接觸私有云項(xiàng)目，最初的客戶大多是銀行，而銀行本身對(duì)安全性有極高的要求，隨后也拓展到了保險(xiǎn)、證券、互金客戶，以及航空、政府、制造業(yè)等領(lǐng)域。

每個(gè)行業(yè)的安全規(guī)范都是不同的。以銀行為例，銀行一方面不使用公有云，在部署私有云時(shí)也需要大量的物理隔離；而保險(xiǎn)行業(yè)的監(jiān)管相對(duì)寬松，公有云、托管云或是私有云都可采用，更關(guān)注資源部署真實(shí)節(jié)點(diǎn)的獲知和管理，資源隔離也可以采用虛擬防火墻技術(shù)。

所謂千人千面也可對(duì)應(yīng)行業(yè)需求，青云給出了各種實(shí)現(xiàn)方案以應(yīng)對(duì)金融行業(yè)的監(jiān)管要求。

數(shù)據(jù)

把企業(yè)數(shù)據(jù)比作聚寶盆毫不為過，過去企業(yè)將這些數(shù)據(jù)牢牢攥在自己手中。但隨著體量的增加，上云變得迫切，數(shù)據(jù)安全卻成了一大問題。把聚寶盆放在自己夠不著的地方，還被別人眼饞著，這滋味想想就難受。

為了安客戶的心，云服務(wù)商紛紛化身大護(hù)法，使出十八般武藝保護(hù)云上的聚寶盆。

沈鷗告訴雷鋒網(wǎng)，數(shù)據(jù)安全首先會(huì)涉及到可靠性，一個(gè)大規(guī)模的數(shù)據(jù)中心要求確保業(yè)務(wù)的連續(xù)性，因此就會(huì)對(duì)故障率有所要求，不能出現(xiàn)數(shù)據(jù)的丟失現(xiàn)象，還要進(jìn)行數(shù)據(jù)備份以及災(zāi)備。

對(duì)公有云的客戶來講，頻頻發(fā)生的DDoS攻擊也是讓人頭疼的問題，此處就需要通過流量清洗黑洞等方式進(jìn)行解決。另一個(gè)就是所謂的數(shù)據(jù)不可恢復(fù)性，一個(gè)云上的主機(jī)可能被多家公司使用，萬一我在用過之后下一個(gè)使用的是競(jìng)爭(zhēng)對(duì)手，而數(shù)據(jù)又沒有全部刪干凈怎么辦？

青云一方面了專屬云主機(jī)和金屬裸機(jī)確保客戶對(duì)服務(wù)器使用的安全性，在服務(wù)器交付給下個(gè)客戶前對(duì)數(shù)據(jù)安全敏感的客戶可以選擇硬盤內(nèi)容完全清除模式，以確保數(shù)據(jù)的不可恢復(fù)；另一方面，青云在開發(fā)部署硬盤數(shù)據(jù)加密機(jī)制，數(shù)據(jù)落盤時(shí)就是加密的，從而杜絕數(shù)據(jù)可能的泄露。

最后，不論是在公有云還是私有云上都會(huì)提到的問題是：審計(jì)。

所謂君子有所為有所不為，青云提供賬戶管理和操作審計(jì)等功能，方便用戶對(duì)其各個(gè)賬戶的資源操作行為以及管理行為進(jìn)行審計(jì)。用戶還可以自己對(duì)流量進(jìn)行導(dǎo)出分析，但青云不會(huì)監(jiān)測(cè)用戶在自己云主機(jī)上的操作。

作戰(zhàn)

匹夫無罪懷璧有罪，守護(hù)多個(gè)聚寶盆的云服務(wù)商往往也被不少黑產(chǎn)惦記著，時(shí)不時(shí)發(fā)動(dòng)一波攻擊。

為了防賊，青云成立了一個(gè)公有云應(yīng)急群，這是一個(gè)神龍見首不見尾的神秘組織，大知由多少人組成，只知他們24小時(shí)在線，只要監(jiān)測(cè)到攻擊或故障就會(huì)迅速采取措施。

（此處應(yīng)有截圖，但為了安全起見，沒有……于是宅宅給各位畫了一副模擬圖。）

▲出處：宅宅的腦洞

當(dāng)然所謂的措施并不是一旦攻擊來了大神就扛起長槍大炮懟回去，而是要對(duì)癥下藥，沈鷗告訴宅客頻道，首先要清楚攻擊流量有多大，畢竟每一個(gè)云供應(yīng)商的帶寬是有上限的。

而針對(duì)對(duì)方拋來的流量攻擊也要考慮是直接阻攔所有還是進(jìn)行流量清除后將好的流量分給被攻擊的節(jié)點(diǎn)。對(duì)于流量異常現(xiàn)象也需要觀察，因?yàn)橛袝r(shí)是客戶在做一些測(cè)試，如果并非正常現(xiàn)象則會(huì)采取各類更直接的措施。當(dāng)然，這群大神會(huì)采用專業(yè)的安全工具來自動(dòng)處理一些問題。

聽到此次，看熱鬧不嫌事大的宅宅八卦道，有木有沒防住down掉的情況？

沈鷗微微一笑，“沒關(guān)系，還有外援，而這個(gè)外援，還不至一個(gè)?！?/p>

沈鷗坦言，畢竟術(shù)業(yè)有專攻，安全涉及的領(lǐng)域和范圍非常廣泛，青云作為一家云服務(wù)提供商的確不可能在安全的每一個(gè)層面都做到無懈可擊，此時(shí)就需要請(qǐng)一群第三方安全合作伙伴來幫忙了。比如客戶需要主機(jī)的防病毒安全，青云與360就有深入的合作，如果有人需要做應(yīng)用層的流量可視化和安全防護(hù)，青云AppCenter就有下一代防火墻產(chǎn)品可以立即啟用。而如果有客戶想對(duì)數(shù)據(jù)庫所有的行為進(jìn)行審計(jì)，那青云也有其他小伙伴助攻。

相當(dāng)于請(qǐng)了一群安全圈子的專家組團(tuán)打怪。

不光是打怪，青云兇起來連自己都打。沈鷗告訴雷鋒網(wǎng)，青云會(huì)定期請(qǐng)安全公司進(jìn)行攻擊檢測(cè)，讓一些白帽子來攻擊自己的產(chǎn)品來檢查平臺(tái)漏洞，之后進(jìn)行相應(yīng)的修補(bǔ)更新，確保青云平臺(tái)本身的安全性。

而沈鷗也提到最近一次的檢測(cè)是在2017年10月份，那下一次呢？ 

你猜。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。