金山云安全技术总监李鸣雷:我眼中的云安全
文 | 史中@浅黑科技
2017年中,金山云在国内的市场份额排名第三。
在巨头云集的云计算市场里,金山云能连续保持两年三位数的增长,确实出乎了很多人的意料。
金山云上坐落着很多游戏、视频厂商,他们对安全性的要求非常严格。
李鸣雷作为金山云安全的技术总监,经历了很多对黑客的攻防大战,对于金山云安全和云计算,他也有很多有趣的认识。
受绿盟云“别人家的安全运维”实践分享系列专题组的邀请走进金山,以下是我对李鸣雷的采访:
本文作者史中(左)和采访嘉宾金山云李鸣雷(右)
史中:从零开始创建金山云安全的队伍,应该是一件挑战很大的事情,需要很多技术上和管理上的积累。可以讲一讲最早你是怎样接触网络安全的吗?
李鸣雷:我1996年毕业于北京航空航天大学计算机科学与工程系,后来研究生期间研究方向是3D图形渲染算法。可惜当时高端的三维图形应用主要是在军事、动画领域,没有走入寻常百姓家。
我的梦想是用技术影响更多的普通人。毕业以后,我加入了华为做数据通信产品的开发工作。那时候华为正好启动了安全防火墙预研项目,我从那时候开始接触安全,参与开发了华为的第一个防火墙产品。
那个时候华为的安全产品初创时期,是一个内部创业团队。作为开发工程师,身兼数职,不仅要研究第三方网络处理器的算法,研究怎样优化达到最高性能,还要不断进行开发、测试、版本发布、甚至外地客户支持等等,非常辛苦。
我记得有次国庆正在超市,某地的售后紧急要求技术支持,说某运营商的防火墙出了问题,整个东北地区找不到人支持。当时从超市直接去了首都机场T2航站楼,去了东北。
到了机场,将近夜里十点,冒着大雨打车几十公里到了客户的县城,半夜和网管定位问题,在机房找了4个纸箱子拼起来睡了一觉。整个国庆7天假期和北京的兄弟们一起排查问题,想想也挺有意思的。和来了金山云创业的日子非常像,现在感觉自己还有一颗年轻时候的心。
史中:最早一批的网络安全人,有很多最终都在云安全方面做出了好成绩。有什么机缘让你走到云安全的道路?
李鸣雷:对我影响最大的,第一是华为,第二是在百度的五年时间。百度的生涯是从负责百度的渗透测试团队开始的。2012年,360推出搜索,而且以安全作为一个重要的切入点,很大触动了百度的利益。那个时候开始,百度开始大力投入安全,安全团队也迎来了一个发展小高峰。2013年底,百度整合各个部门分散的安全团队,成立了统一的云安全部。这段生活使我受益良多,也逐渐在云安全这个新兴的行业。
史中:又是什么原因让你离开百度加入金山云呢?
李鸣雷:金山云在2015年已经发展了3年时间,各方面都有了一定的规模,对安全开始非常重视。很多客户面临各种安全威胁,比如DDoS攻击、web攻击、信息泄露等等。用户使用云计算的意愿,因为对安全的顾虑会大打折扣。金山云的这个机会让我觉得非常有挑战,所以我决定离开百度进入云计算领域。
史中:说到 DDoS ,很多云计算厂商都在这方面下了很大的力气。在你看来对抗 DDoS 攻击主要的难点是什么?
李鸣雷:DDoS的历史非常悠久,今后的很长时间也将继续存在下去。发展到今天,攻击可以获取的资源越来越廉价,能造成的损害也越来越大,攻防成本严重失衡。
从黑客的角度说,现在带宽的提速、大量的IOT资源、NSA泄露的武器库使得他们可以控制更多的电脑和设备,并且利用更大的带宽发起攻击;对于防御方来说,传统上要购买更多的带宽资源,或者出更智能的防护策略来抵抗涌过来的流量。
根据我看到的数据,从去年底到现在,DDoS 的攻击流量已经翻倍,到年底最少还会增长60%-70%。
2016年,我们加入了云清联盟,和华为云、青云、乐视云等等很多云计算企业一起共享威胁情报,共享近源清洗资源。
今年还有一些前沿的技术,比如在家用路由器上部署近源DDoS防御客户端,如果攻击流量是这个路由器后面的设备发起的,就实时就地压制。这些新的技术我们也在研究。
史中:DDoS 面临的形势很严峻,某种程度上说明你们的对手非常强大。金山云安全在抗 DDoS 的历次“战役”中,有没有惊心动魄的时刻?
李鸣雷:有一次,一个发布会正在进行的时候,攻击者对我们做了扫段攻击,对我们正常的服务造成了很大的影响。就是攻击者对我们整个网段进行了逐个打击。
我们及时调整了DDoS攻击的防御策略,并且与运营商共同协作,成功地化解了这次攻击,保证了发布会的正常进行。
今年年初,我们的某客户还遇到了超过800Gbps的攻击流量。云计算相对于传统数据中心的防御优势也体现出来。云资源的动态扩展、灵活调度能力,可以有效应对这类突发情况。
金山云为用户提供免费的DDoS防御能力,可以有效提升用户抵御DDoS的平均能力。我们同时为用户提供高至1Tbps的高防DDoS防御能力,用户可以根据自己的情况来灵活使用。
史中:以阿里云和腾讯云为例,他们的云安全也很强。在竞争中,金山云安全有哪方面的优势?
李鸣雷:安全是非常庞杂的工作,对于黑客来说,1/100的机会就可以攻击或者入侵成功。对于防御者来说,这个问题就非常复杂,要考虑到所有的可能性。“云管端”任何一个方面出现漏洞,都会造成黑客入侵。
金山云作为金山集团的子公司,有公司长期的安全积累支持。端的方面,金山毒霸和金山企业安全软件,覆盖了大量的用户。管的方面,猎豹移动有非常好的移动客户端、网址检测以及加密传输技术研究。云的方面,金山云经过5年的建设,已经具有非常完善的防御体系。
所以对比阿里云、腾讯云,在第一集团云服务商里面,我们是云管端产品和技术最为全面的一家。
对客户来说,云上的问题,可能不仅仅需要在云上解决,这个时候终端安全软件就可以发挥作用。这些如果都是一家公司的产品,就可以在内部数据和防护策略上直接打通,这个意义还是非常大的。
客观地说,阿里、腾讯这样的巨头在安全方面的投入非常大,从网络、主机、业务安全、大数据、AI方面都有非常好的产出。
比如阿里云借助其账号和支付的风控体系,具有数据风控、内容安全等丰富的业务安全产品。
但在底层技术上,比如DDoS防御,未来将会有同质化的趋势,因为这些从本质上拼的是资源。大家从外界获得的的资源不会有太大的差异。
金山云安全工作的重点,是IaaS 层面。我们和用户有明确的安全责任边界,金山云的基础架构、比如网络、主机、存储等是我们的责任;用户的业务由用户自己来保障。
用户可以选择金山云或者第三方的安全产品,来帮助自己安全地使用云计算的服务。我们的战略是专业的人做专业的事情,没有一家安全厂商可以提供所有的安全产品和服务。金山云积极与第三方生态合作伙伴服务,努力为云上用户提供业界最好的安全产品和使用体验。
史中:我很想知道,作为一个老安全人,在你眼里云安全和云计算对于用户的意义是什么?
李鸣雷:我一直觉得,企业不能盲目上云,上云之前应该知道云对你意味着什么。
云计算有自己的特点,比如抗 DDoS、业务弹性拓展、突发访问高峰保障等等。
在安全方面,云安全最大的贡献就在于,它可以提升云上企业整体的安全水平。但是,对于安全有更高要求的用户,云服务本身还需要做很多工作。
对于安全基线较低的用户,比如大量小企业,不可能花大价钱自己养一个安全队伍,所以对他们来讲,上云就是最好的选择,可以有效提升业务的稳定性、连续性、安全性。
实际上云计算是一个不可阻挡的浪潮。国内外对于新的 IDC 机房审批都非常慎重,与此同时云计算的市场却在爆炸。很多企业不上云,只是出于陌生。但是当他真正迈出上云的一步,他很可能再也回不去了。
这就是历史的进步。
end
再自我介绍一下吧。我叫史中,是一个倾心故事的科技记者。我的日常是和各路大神聊天。如果想和我做朋友,可以关注微博:@史中方枪枪,或者搜索微信:shizhongst。
不想走丢的话,你也可以关注我的自媒体公众号“浅黑科技”。
来源:freebuf.com 2018-04-04 16:41:46 by: 史中浅黑科技
请登录后发表评论
注册