推动能力共享 云清联盟挑起安全生态大梁
作者:星期一, 十二月 11, 20170

在信息安全领域,攻防双方间存在着资源投入的不对等,攻击方的些许增强都意味着防守方的竭力追赶。五年来,DDoS攻击数量增长了500%,现存的DDoS僵尸网络数量达790万个,充裕的攻击资源也让DDos攻击跨过了500G的门槛,T级攻击的时代已经不远。

各自为战意味着被各个击破,2015年中国电信、华为、青松联合发起了云清联盟,将全球运营商、MSSP、IDC的资源在标准推动、情报分享、协同防护、产业合作四个方面进行整合,构成一个云端的“DDoS防御生态系统”,截至今日已有海内外会员四十四家。12月8日,云清联盟召开“聚力全网 共筑安全长城”高峰论坛,公布了内部能力开放的进展和对云安全生态的设想。

2017云清高峰论坛 从左到右依次为:杨松(华为)、蒋俊(光通天下)、孙大伟(青松)、刘紫千(云堤)、孙朝晖(派网)

三位一体的第五空间防御线

网络战争被称为“第五空间战争”,因此成熟的军事模式对于网络安全也具有借鉴意义。如果把DDoS攻防比作控海权的争夺,华为等业界巨头就是航空母舰,青松等科技公司是驱逐舰等中小型舰船,云堤则是岸基的雷达站和打击系统,三者各有分工,但必须结合在一起才是完整的DDoS防御生态。

华为是云清联盟的旗舰,高屋建瓴地把握着两点大局:云安全的态势、安全圈的格局。

对于云安全态势,华为指出了三个必须应对的难题:云租户个性化的细粒度防护缺失、虚拟化环境、企业失去或部分失去了对业务应用的控制。

对此,华为采取了以监测取代管控、大数据用户感知平台等对策,凭借解决方案的整体交付能力上的优势,满足云安全对于自动化、弹性和可视的需求。

对于业界,华为云安全总经理杨松表示,华为秉持“把蛋糕做得更大”的原则,希望通过各方协作,来在日益复杂的安全形势里砥砺前行。除了通过云清联盟等形式开办会议和沙龙,华为还开放了API等技术的调用权,并通过社区公布安全案例。就在9月份,华为还发布了一份80多页的说明,详细阐述了华为公有云的技术原理、防御对象等。

云堤是云清联盟中的雷达站和打击系统,为联盟提供独有的攻击监测、近源压制和清洗能力。

中国电信建立了全球最大的固网、IPTV网、FDD-LT网,云堤继承了这种基因,利用覆盖电信全网核心路由器的NetFlow数据进行攻击监测,可以在全网所有链路上对去往目标IP所的实际攻击流量进行全面评估,因此对大型DDoS攻击的流量规模测度最为准确。

更具吸引的是,云堤还为联盟所有成员提供近源防护的能力。云堤能够准确辨个攻击的主要区域来向,可以判断是从境外发起还是从国内其他运营商发起,并定位发起点是哪一家运营商、哪一个城市甚至是IDC机房,从而在“最靠近攻击发起源”的网络节点上对攻击流量进行丢弃、限速等QoS动作。

云堤的清洗能力则可以为联盟成员提供最后一道防线,电信网络可以保证所有联盟成员“打不死”。

青松等科技公司则是云清联盟中的中小型舰船,为联盟提供差异化的能力和更广阔的情报支持。

青松的CEO孙大伟指出,业务场景的不同导致了市场的多级化,中小型的科技公司也可以找到立足之地,比如,游戏运营商等对抖动敏感的客户会选择云端的高防,其他客户则倾向于选择近源清洗。但是中小型企业也有很多问题需要通过合作解决,

从成本上看,单点的高防成本远高于多点抗D成本,从能力上看,云堤的压制能力和本地清洗达成协同,在数据等方面更是如此。因此,云企业有必要联合到一起,追寻更高的集体价值。

最后,孙大伟宣布青松新推出的“Hades”DDoS防火墙系统将免费开放给联盟成员。

从独善其身到兼济天下

5月26日19点开始,DDoS攻击木马“暗云”横扫全国,单个IP遭受黑客组织攻击的流量规模高达650G,腾讯估计,实际在线攻击地址可能达到2000万。

在暗云肆虐的过程里,IDC(网络数据中心)扮演了帮凶的角色。据云清联盟观测,IDC的木马中标率是平均概率的3-4倍,考虑到IDC的带宽要优于普通PC,其危害不言而喻。这和国内IDC粗放式的管理有关,安全感知能力分为“无感知-流量感知-会话感知-攻击感知-应用感知-泛感知”六个阶段,大部分的IDC只能做到流量或会话层面的感知,因此成为了木马爆发的重灾区。

派网软件CEO孙朝晖讲解IDC被攻击的过程

独善其身是兼济天下的前提,云堤CEO刘紫千指出,企业加入云清联盟的第一步,就是“自律”。很多IDC和信息服务提供者会有意无意地为DDoS攻击者提供资源,不论从企业发展愿景还是从云清联盟成员的责任来看,企业都有必要清理掉这些灰色流量,这也是近缘压制的重要一环。

在自律的基础上,云清联盟规定了成员的两个义务。

第一,是联合抗DDoS义务,即为远程的同盟伙伴或者联盟成员单位近缘压制部分攻击。第二,是贡献一部分数据和情报,如企业曾经遭受过的攻击的特征。

对此,三家发起单位达成了一致意见,一方面,联盟欢迎越来越多的合作伙伴的加入,另一方面,明年联盟会逐步收紧会员资格,联盟成员享有一个积分账户,该成员对联盟的贡献会折算成积分,而请求其他成员单位的帮助会扣除积分,形成一种增减平衡。每年联盟会对成员的积分状况进行核查,并清退表现糟糕的成员。

云清联盟是一个产业联盟而非商业联盟,无论是自律还是积分制度,都是为了督促云服务商担负起对云生态的责任,这就是联盟追求的普世价值。

IPv6时代,安全更紧迫

在乌镇的第四届世界互联网大会上,IPv6成为了热点。IPv6的时代肯定会到来,但是其具体过程,就像钉子户拆迁一样,可能会面临很多阻碍,因此仍需一段时间才能实现,这就给了云厂商、安全厂商准备的时间。

在IPv6时代,安全形势会劣化。事实上,在历次重大网络攻击当中,IPv4都起到了极大的保护作用。IPv4的结构能有效隔绝外来扫描,但是在IPv6时代这种单向单通的设备会大量舍弃,也就意味着PC或手机会直接暴露在互联网上。在某个IPv6的实验中,没有防护的设备仅仅在互联网上暴露半个小时就会感染病毒。此外,IPv6必然促使万物互联,每一个入网设备都会有一个IP地址,这会成倍增加攻击溯源的复杂性。

对于云厂商和安全厂商来说,无论是IPv4时代还是IPv6时代,市场都将保持分层乃至立体的生态,但是威胁是一致的,而且是日益严峻的。近期的大规模DDoS攻击带来了两点启示:

首先,只有共享清洗资源,防守方才能跟上DDoS攻击的规模增长速度,只有共享情报和能力,才能应对越来越狡猾的攻击,这就是云清联盟成立的初衷。

其次,安全不再是一个个孤立的点,而是牵一发动全身的场,双方在争夺场上的薄弱之处,在近期的DDoS事件里,大片安全意识差的IDC服务商倒向了攻击方,成为了云安全的阿喀琉斯之踵。

云清联盟建立以自律为基础的积分责任制,就是为了拨乱反正,从根本上改善云生态,确立安全对云负责、云对安全负责的普世价值。

目前云清联盟的44家会员单位:

相关阅读

华为抗DDoS业务初探 云清联盟是一盘很大的棋
抗D军团云清联盟正式成立 Dyn可能并未遭到严重攻击?

作者:阿尔梅诺

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章