在信息安全领域，攻防双方间存在着资源投入的不对等，攻击方的些许增强都意味着防守方的竭力追赶。五年来，DDoS攻击数量增长了500%，现存的DDoS僵尸网络数量达790万个，充裕的攻击资源也让DDos攻击跨过了500G的门槛，T级攻击的时代已经不远。

各自为战意味着被各个击破，2015年中国电信、华为、青松联合发起了云清联盟，将全球运营商、MSSP、IDC的资源在标准推动、情报分享、协同防护、产业合作四个方面进行整合，构成一个云端的“DDoS防御生态系统”，截至今日已有海内外会员四十四家。12月8日，云清联盟召开“聚力全网 共筑安全长城”高峰论坛，公布了内部能力开放的进展和对云安全生态的设想。

2017云清高峰论坛 从左到右依次为：杨松（华为）、蒋俊（光通天下）、孙大伟（青松）、刘紫千（云堤）、孙朝晖（派网）

三位一体的第五空间防御线

网络战争被称为“第五空间战争”，因此成熟的军事模式对于网络安全也具有借鉴意义。如果把DDoS攻防比作控海权的争夺，华为等业界巨头就是航空母舰，青松等科技公司是驱逐舰等中小型舰船，云堤则是岸基的雷达站和打击系统，三者各有分工，但必须结合在一起才是完整的DDoS防御生态。

华为是云清联盟的旗舰，高屋建瓴地把握着两点大局：云安全的态势、安全圈的格局。

对于云安全态势，华为指出了三个必须应对的难题：云租户个性化的细粒度防护缺失、虚拟化环境、企业失去或部分失去了对业务应用的控制。

对此，华为采取了以监测取代管控、大数据用户感知平台等对策，凭借解决方案的整体交付能力上的优势，满足云安全对于自动化、弹性和可视的需求。

对于业界，华为云安全总经理杨松表示，华为秉持“把蛋糕做得更大”的原则，希望通过各方协作，来在日益复杂的安全形势里砥砺前行。除了通过云清联盟等形式开办会议和沙龙，华为还开放了API等技术的调用权，并通过社区公布安全案例。就在9月份，华为还发布了一份80多页的说明，详细阐述了华为公有云的技术原理、防御对象等。

云堤是云清联盟中的雷达站和打击系统，为联盟提供独有的攻击监测、近源压制和清洗能力。

中国电信建立了全球最大的固网、IPTV网、FDD-LT网，云堤继承了这种基因，利用覆盖电信全网核心路由器的NetFlow数据进行攻击监测，可以在全网所有链路上对去往目标IP所的实际攻击流量进行全面评估，因此对大型DDoS攻击的流量规模测度最为准确。

更具吸引的是，云堤还为联盟所有成员提供近源防护的能力。云堤能够准确辨个攻击的主要区域来向，可以判断是从境外发起还是从国内其他运营商发起，并定位发起点是哪一家运营商、哪一个城市甚至是IDC机房，从而在“最靠近攻击发起源”的网络节点上对攻击流量进行丢弃、限速等QoS动作。

云堤的清洗能力则可以为联盟成员提供最后一道防线，电信网络可以保证所有联盟成员“打不死”。

青松等科技公司则是云清联盟中的中小型舰船，为联盟提供差异化的能力和更广阔的情报支持。

青松的CEO孙大伟指出，业务场景的不同导致了市场的多级化，中小型的科技公司也可以找到立足之地，比如，游戏运营商等对抖动敏感的客户会选择云端的高防，其他客户则倾向于选择近源清洗。但是中小型企业也有很多问题需要通过合作解决，

从成本上看，单点的高防成本远高于多点抗D成本，从能力上看，云堤的压制能力和本地清洗达成协同，在数据等方面更是如此。因此，云企业有必要联合到一起，追寻更高的集体价值。

最后，孙大伟宣布青松新推出的“Hades”DDoS防火墙系统将免费开放给联盟成员。

从独善其身到兼济天下

5月26日19点开始，DDoS攻击木马“暗云”横扫全国，单个IP遭受黑客组织攻击的流量规模高达650G，腾讯估计，实际在线攻击地址可能达到2000万。

在暗云肆虐的过程里，IDC（网络数据中心）扮演了帮凶的角色。据云清联盟观测，IDC的木马中标率是平均概率的3-4倍，考虑到IDC的带宽要优于普通PC，其危害不言而喻。这和国内IDC粗放式的管理有关，安全感知能力分为“无感知-流量感知-会话感知-攻击感知-应用感知-泛感知”六个阶段，大部分的IDC只能做到流量或会话层面的感知，因此成为了木马爆发的重灾区。

派网软件CEO孙朝晖讲解IDC被攻击的过程

独善其身是兼济天下的前提，云堤CEO刘紫千指出，企业加入云清联盟的第一步，就是“自律”。很多IDC和信息服务提供者会有意无意地为DDoS攻击者提供资源，不论从企业发展愿景还是从云清联盟成员的责任来看，企业都有必要清理掉这些灰色流量，这也是近缘压制的重要一环。

在自律的基础上，云清联盟规定了成员的两个义务。

第一，是联合抗DDoS义务，即为远程的同盟伙伴或者联盟成员单位近缘压制部分攻击。第二，是贡献一部分数据和情报，如企业曾经遭受过的攻击的特征。

对此，三家发起单位达成了一致意见，一方面，联盟欢迎越来越多的合作伙伴的加入，另一方面，明年联盟会逐步收紧会员资格，联盟成员享有一个积分账户，该成员对联盟的贡献会折算成积分，而请求其他成员单位的帮助会扣除积分，形成一种增减平衡。每年联盟会对成员的积分状况进行核查，并清退表现糟糕的成员。

云清联盟是一个产业联盟而非商业联盟，无论是自律还是积分制度，都是为了督促云服务商担负起对云生态的责任，这就是联盟追求的普世价值。

IPv6时代，安全更紧迫

在乌镇的第四届世界互联网大会上，IPv6成为了热点。IPv6的时代肯定会到来，但是其具体过程，就像钉子户拆迁一样，可能会面临很多阻碍，因此仍需一段时间才能实现，这就给了云厂商、安全厂商准备的时间。

在IPv6时代，安全形势会劣化。事实上，在历次重大网络攻击当中，IPv4都起到了极大的保护作用。IPv4的结构能有效隔绝外来扫描，但是在IPv6时代这种单向单通的设备会大量舍弃，也就意味着PC或手机会直接暴露在互联网上。在某个IPv6的实验中，没有防护的设备仅仅在互联网上暴露半个小时就会感染病毒。此外，IPv6必然促使万物互联，每一个入网设备都会有一个IP地址，这会成倍增加攻击溯源的复杂性。

对于云厂商和安全厂商来说，无论是IPv4时代还是IPv6时代，市场都将保持分层乃至立体的生态，但是威胁是一致的，而且是日益严峻的。近期的大规模DDoS攻击带来了两点启示：

首先，只有共享清洗资源，防守方才能跟上DDoS攻击的规模增长速度，只有共享情报和能力，才能应对越来越狡猾的攻击，这就是云清联盟成立的初衷。

其次，安全不再是一个个孤立的点，而是牵一发动全身的场，双方在争夺场上的薄弱之处，在近期的DDoS事件里，大片安全意识差的IDC服务商倒向了攻击方，成为了云安全的阿喀琉斯之踵。

云清联盟建立以自律为基础的积分责任制，就是为了拨乱反正，从根本上改善云生态，确立安全对云负责、云对安全负责的普世价值。

目前云清联盟的44家会员单位：

相关阅读

华为抗DDoS业务初探 云清联盟是一盘很大的棋
抗D军团云清联盟正式成立 Dyn可能并未遭到严重攻击？

作者：阿尔梅诺