云上安全如何保障?看UCloud的安全之道!
原創安全問題伴隨企業發展始終,無論是軟硬件基礎設施還是企業業務,無不仰賴于此。
在云計算的發展過程中,數據安全、漏洞攻擊、DDos防護等是企業關心的重點。近日,云計算廠商UCloud發布了《UCloud 2015公有云安全年度報告》,對全年DDoS攻擊情況,漏洞遭受攻擊情況、以及云安全發展趨勢、年度安全事件等情況等進行了總結和披露。
也許有人會質疑,云計算服務提供商發布的安全報告權威性有多大?UCloud安全中心總監方勇表示,云計算服務商在安全方面看到的內容和傳統安全企業會有所不同。云計算的用戶是海量的,平臺所承載的數據特征更集中,相對更具有代表性,這些是傳統安全廠商所看不到的,云計算廠商可以從自己的視角來評估和解決安全問題。此外,每個公有云平臺所面臨的威脅和攻擊類型存在一定差異,UCloud發布公有云安全報告,希望大家可以互相參考,互通有無,共同保護互聯網安全。
UCloud安全中心總監方勇
疑問:公有云的安全情勢究竟如何?
公有云的安全問題一直是大家最為重視的問題,也是阻礙很多企業上云的重要因素之一目前,公有云領域出現的安全問題主要有三類:
一是DDos攻擊(分布式拒絕服務,Distributed Denial of Service ),是黑客使用網絡上多個被攻陷的機器向特定的目標發動海量攻擊,在UCloud的安全報告中顯示,DDos攻擊對象主要集中在游戲、企業服務、電子商務與互聯網金融行業,攻擊流量呈現混合化,并以UDP反射型混合流量為主;
二是各種漏洞的攻擊,主要包括SQL注入攻擊、Web組件漏洞攻擊、敏感信息訪問、命令注入攻擊等;
第三是用戶面臨的業務安全問題,與企業業務相關的一些威脅。
針對于復雜的云安全問題,企業可以選擇云計算廠商提供相關產品和服務并使用混合云保障企業的云安全;此外,用戶也需要有安全意識。在企業安全問題的解決方面,方勇給出了三點建議。首先,安全是持續改進的過程,企業需要投入持續的資源和精力來維護改進;其次,安全要越早實行越好,最好在企業業務需求設計的階段就考慮安全因素,以避免之后對業務的修正,因為在業務相對成熟后,在增加安全特性時,其成本會相對較高;第三,對于高速發展的企業,需要有具備專業安全能力的人才,才能更加有效的推動安全措施落地,進而更好的保障企業的業務高速發展。
比較:傳統安全好?or 云安全好?
在安全領域,業界不乏很多專業的安全廠商,那么云計算廠商提供安全產品和服務時,又有哪些競爭優勢呢?方勇告訴51CTO記者,首先,云計算廠商比較貼近客戶,幾萬家客戶觸手可及,而傳統的安全廠商需要通過自己的渠道收集客戶多層反饋,才能觸達個別客戶;
其次是了解用戶,客戶在遇到問題時,云計算服務提供商可以很好的把握客戶的需求和痛點,并且第一時間幫助客戶來解決問題,UCloud的服務承諾是90秒響應,這一點傳統安全廠商是做不到的;
第三是成本相對較低,過去的安全設備動輒可能幾十萬,而現在在公有云平臺上可能幾百元就可以買來一個月的使用權;
第四是彈性、高效,云上的客戶可以很輕松的開啟或關閉安全措施,例如云上300G的高防服務一鍵開啟,而傳統的方式卻需要購買海量帶寬、申請試用、部署搭建、配置、調試等繁冗的流程;
第五是威脅情報的整合,發現一點,保護一面。當云上發現一個惡意IP在攻擊某個客戶時,云服務商可以在云平臺上進行風險數據挖掘,在云平臺入口處封堵該IP,阻止它攻擊其他客戶;
最后就是用戶體驗,在云計算領域,安全即服務(Security as a Service)的理念已經深入人心,除了基于KISS原則設計安全產品之外,安全人員素質培養、技術人員的快速響應水平等作為這一理念的優勢已經愈加凸顯。
除了上述優勢之外,方勇表示,“除了與底層資源和用戶隱私相關的安全領域,UCloud秉承開放的態度開放給安全的同行,一起幫助客戶來提高安全能力,與安全廠商共建安全生態,分享云計算盛宴。”
支招:UCloud的安全策略
UCloud是一家專注于IaaS的服務商,目前擁有超過3萬家企業級用戶,部署業務規模超過250億人民幣。因此,保障企業業務和數據安全成為UCloud發展的戰重點,UCloud專門組建了安全中心,集中精力攻克各種云安全難題。目前,UCloud安全團隊推出了優盾系列產品,主要從七個維度來幫助客戶解決方案問題,其中包括網絡安全、主機安全、應用安全、數據安全、內容安全、業務安全以及提供安全咨詢服務。此外安全情報、漏洞掃描、運維堡壘機、數據庫審計、加密服務等新產品也將陸續推出,并針對各個行業客戶的個性化需求推出相關安全解決方案。
眾所周知,UCloud起家是在游戲行業,然后逐漸深入到金融、O2O等行業,這些行業對于安全的強需求加速了UCloud安全產品的推出進程。游戲行業對安全需求變化相對比較快,因此游戲行業的客戶對安全的能力和效率都要求比較高;金融行業的客戶對安全的需求則相對較穩,對安全級別要求也會更高,而O2O的客戶則更加關注于自己的業務發展。因此,面對不同行業的不同需求,UCloud提供的解決方案也會有所不同。
對于游戲行業,攻防比較激烈,因此UCloud更多的會使用察打分離的思路來保護客戶的的安全。而金融行業的客戶,更加重視數據的安全及平臺運營的合規性,因此,UCloud為金融行業提供定制的專屬解決方案,比如為金融客戶提供專屬的數據中心和物理防護措施來托管服務器,部署混合云。O2O行業的客戶,對業務安全要求較高,UCloud利用人機識別等技術手段來識別訪問客戶業務的是人還是機器;同時通過海量的數據分析,黑樣本學習,數據對比等方式,打擊羊毛黨和黃牛黨。
預測:未來挑戰有哪些
安全是一個永恒的話題,攻擊技術多樣化、攻擊力度增強化以及安全需求愈加個性化,這些將是未來一段時間內云安全服務要面臨的挑戰。
