0
剛剛過去的2017似乎帶著不少話題烙印,而云計算作為一匹黑馬成功突圍殺入大眾視野。
相比常被大家掛在嘴邊的巨頭們,國內(nèi)新貴也不示弱,在千億級的市場蛋糕面前,分蛋糕理論早被拋之腦后,進攻才是王道。
成立于2012年的青云在2017年6月宣布獲得D輪10.8億元融資,拿到了屬于自己的那塊蛋糕。蛋糕有了,如何守好這塊蛋糕呢?為了解開這一疑惑,編輯去青云QingCloud拜訪了沈鷗——解決方案與架構(gòu)部總經(jīng)理,人稱“沈大師”。
沈鷗在 IBM 待了十八年,其中有八年是在與安全打交道。
IBM 的安全產(chǎn)品主要包括軟件及服務(wù)兩條線,軟件方面最早從防火墻做起(沒想到吧,IBM還有防火墻),之后開啟了一路撿西瓜的副本,網(wǎng)絡(luò)安全、上層身份認證,安全事件管理、以及隨后的桌面及移動安全,這頭雄獅以鯨吞之勢不斷收購安全公司以壯大自己的安全產(chǎn)品線。
沈鷗自2004年開始,參與支持華東及全國的安全軟件項目,專注在身份安全和安全管理領(lǐng)域,在 IBM 收購移動安全公司Fiberlink后,又關(guān)注移動安全產(chǎn)品線。
2012年,IBM重組大型主機和軟件業(yè)務(wù),云計算作為新業(yè)務(wù)開始被推進。羅睿蘭奔走于全球各地,甚至親自“指揮作戰(zhàn)”。沈鷗也在此時從安全產(chǎn)品線撤離轉(zhuǎn)向Cloud。
可惜的是,空中樓閣建的過高,加之產(chǎn)品變幻莫測,IBM的云計算一直無法在國內(nèi)落地。
“所以我開始考慮其它一些Cloud的公司。”
2016年,沈鷗離開IBM。
“來到青云是巧合也是必然?!痹谏蝥t還是IBM一員時已對青云有所了解,讓他記憶猶新的是他還和當時在IBM的青云QingCloud CEO黃允松一起合作過項目。
在開啟這段新征程之初,沈鷗就明確了打法,“企業(yè)用戶對于上云了解甚少,我們的職責就是讓客戶了解怎樣在云上真正做自己的Data Center(數(shù)據(jù)中心)?!?/p>
那安全在這其中扮演什么角色?
如果大刀闊斧劈開青云的云,一邊是公有云,一邊是私有云。
在公有云方面,國內(nèi)客戶對上云之后的安全措施知之甚少,他們的考慮往往簡單粗暴:我上你的云,就相當于包辦婚姻,不需要出任何力,你保護我就是了。
云服務(wù)商也是這么做的,他們給客戶強制性提供VPC(虛擬私有云),同時再輔以一堆各種自己開發(fā)的安全組件,相對而言客戶的選擇比較單一。
而青云的安全考慮更像自由戀愛,兩方需要職責分擔。沈鷗告訴雷鋒網(wǎng)宅客頻道,雙方所要承擔的責任也依據(jù)IaaS、PaaS、SaaS服務(wù)的不同有所變化。
比如在IaaS方面青云負責的是網(wǎng)絡(luò)安全以及云主機安全,網(wǎng)絡(luò)類型的選擇,以及安全配置和組件部署則由客戶根據(jù)用戶業(yè)務(wù)要求設(shè)定。在PaaS方面青云提供的不僅是基礎(chǔ)架構(gòu),還要確保PaaS服務(wù)本身應(yīng)用層的安全性,而用戶所要付出也另有不同。
也就是說青云給了用戶更多選擇,用戶可以根據(jù)業(yè)務(wù)選擇不同的網(wǎng)絡(luò)組網(wǎng)方式、保護策略、甚至來自不同廠商的安全組件。當客戶選擇將主云主機放在基礎(chǔ)網(wǎng)絡(luò)時,可以選擇青云提供的防火墻、WAF等安全產(chǎn)品進行網(wǎng)絡(luò)和應(yīng)用層的防護,同時也可以選擇青云QingCloud AppCenter中的各種安全應(yīng)用,滿足諸如數(shù)據(jù)庫安全審計等個性化的安全需求。
為何不與巨頭選擇同一條路?
沈鷗告訴雷鋒網(wǎng),這是為了在某些特定應(yīng)用場景更好的滿足用戶。
如果說公有云的安全線更多攥在青云自己手中,那私有云的安全線則主要是在客戶手中。
從2014年青云開始接觸私有云項目,最初的客戶大多是銀行,而銀行本身對安全性有極高的要求,隨后也拓展到了保險、證券、互金客戶,以及航空、政府、制造業(yè)等領(lǐng)域。
每個行業(yè)的安全規(guī)范都是不同的。以銀行為例,銀行一方面不使用公有云,在部署私有云時也需要大量的物理隔離;而保險行業(yè)的監(jiān)管相對寬松,公有云、托管云或是私有云都可采用,更關(guān)注資源部署真實節(jié)點的獲知和管理,資源隔離也可以采用虛擬防火墻技術(shù)。
所謂千人千面也可對應(yīng)行業(yè)需求,青云給出了各種實現(xiàn)方案以應(yīng)對金融行業(yè)的監(jiān)管要求。
把企業(yè)數(shù)據(jù)比作聚寶盆毫不為過,過去企業(yè)將這些數(shù)據(jù)牢牢攥在自己手中。但隨著體量的增加,上云變得迫切,數(shù)據(jù)安全卻成了一大問題。把聚寶盆放在自己夠不著的地方,還被別人眼饞著,這滋味想想就難受。
為了安客戶的心,云服務(wù)商紛紛化身大護法,使出十八般武藝保護云上的聚寶盆。
沈鷗告訴雷鋒網(wǎng),數(shù)據(jù)安全首先會涉及到可靠性,一個大規(guī)模的數(shù)據(jù)中心要求確保業(yè)務(wù)的連續(xù)性,因此就會對故障率有所要求,不能出現(xiàn)數(shù)據(jù)的丟失現(xiàn)象,還要進行數(shù)據(jù)備份以及災(zāi)備。
對公有云的客戶來講,頻頻發(fā)生的DDoS攻擊也是讓人頭疼的問題,此處就需要通過流量清洗黑洞等方式進行解決。另一個就是所謂的數(shù)據(jù)不可恢復(fù)性,一個云上的主機可能被多家公司使用,萬一我在用過之后下一個使用的是競爭對手,而數(shù)據(jù)又沒有全部刪干凈怎么辦?
青云一方面了專屬云主機和金屬裸機確??蛻魧Ψ?wù)器使用的安全性,在服務(wù)器交付給下個客戶前對數(shù)據(jù)安全敏感的客戶可以選擇硬盤內(nèi)容完全清除模式,以確保數(shù)據(jù)的不可恢復(fù);另一方面,青云在開發(fā)部署硬盤數(shù)據(jù)加密機制,數(shù)據(jù)落盤時就是加密的,從而杜絕數(shù)據(jù)可能的泄露。
最后,不論是在公有云還是私有云上都會提到的問題是:審計。
所謂君子有所為有所不為,青云提供賬戶管理和操作審計等功能,方便用戶對其各個賬戶的資源操作行為以及管理行為進行審計。用戶還可以自己對流量進行導(dǎo)出分析,但青云不會監(jiān)測用戶在自己云主機上的操作。
匹夫無罪懷璧有罪,守護多個聚寶盆的云服務(wù)商往往也被不少黑產(chǎn)惦記著,時不時發(fā)動一波攻擊。
為了防賊,青云成立了一個公有云應(yīng)急群,這是一個神龍見首不見尾的神秘組織,大知由多少人組成,只知他們24小時在線,只要監(jiān)測到攻擊或故障就會迅速采取措施。
(此處應(yīng)有截圖,但為了安全起見,沒有……于是宅宅給各位畫了一副模擬圖。)
▲出處:宅宅的腦洞
當然所謂的措施并不是一旦攻擊來了大神就扛起長槍大炮懟回去,而是要對癥下藥,沈鷗告訴宅客頻道,首先要清楚攻擊流量有多大,畢竟每一個云供應(yīng)商的帶寬是有上限的。
而針對對方拋來的流量攻擊也要考慮是直接阻攔所有還是進行流量清除后將好的流量分給被攻擊的節(jié)點。對于流量異常現(xiàn)象也需要觀察,因為有時是客戶在做一些測試,如果并非正?,F(xiàn)象則會采取各類更直接的措施。當然,這群大神會采用專業(yè)的安全工具來自動處理一些問題。
聽到此次,看熱鬧不嫌事大的宅宅八卦道,有木有沒防住down掉的情況?
沈鷗微微一笑,“沒關(guān)系,還有外援,而這個外援,還不至一個?!?/p>
沈鷗坦言,畢竟術(shù)業(yè)有專攻,安全涉及的領(lǐng)域和范圍非常廣泛,青云作為一家云服務(wù)提供商的確不可能在安全的每一個層面都做到無懈可擊,此時就需要請一群第三方安全合作伙伴來幫忙了。比如客戶需要主機的防病毒安全,青云與360就有深入的合作,如果有人需要做應(yīng)用層的流量可視化和安全防護,青云AppCenter就有下一代防火墻產(chǎn)品可以立即啟用。而如果有客戶想對數(shù)據(jù)庫所有的行為進行審計,那青云也有其他小伙伴助攻。
相當于請了一群安全圈子的專家組團打怪。
不光是打怪,青云兇起來連自己都打。沈鷗告訴雷鋒網(wǎng),青云會定期請安全公司進行攻擊檢測,讓一些白帽子來攻擊自己的產(chǎn)品來檢查平臺漏洞,之后進行相應(yīng)的修補更新,確保青云平臺本身的安全性。
而沈鷗也提到最近一次的檢測是在2017年10月份,那下一次呢?
你猜。
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。