“非常糟糕。創業型云計算公司為了發展業務，并沒在安全上投入精力。而且，安全是個很需要資源的行業，例如DDoS防御需要帶寬費用——而他們往往選擇了放手不管。”阿里云資深安全專家魏興國這樣評價國內的云計算安全現狀。

而大公司的優勢在于，一方面他們有著較好的帶寬能力，另一方面從防護自有業務轉向防護云產品也有基礎，會隨著云業務的成長不斷來建設防護體系，提升防護能力。“云盾”就是阿里巴巴集團安全技術研究積累的成果，它結合阿里云計算平臺的數據分析能力，提供安全漏洞檢測、網頁木馬檢測，以及面向云服務器用戶提供的主機入侵檢測、防DDoS等安全服務。云盾技術團隊的三位技術核心工程師魏興國、李爽、聶萬泉向CSDN記者講述了云盾背后的故事。

云盾的建立

走入云安全領域，對他們來說是個很自然的過程。2009年初，阿里巴巴集團研究院成立，負責云計算方面的初始研究，這就是阿里云的前身。此時魏興國從B2B公司抽調過來，負責云計算的安全預研。2009年9月成立阿里云之后，集團研究院就是阿里云的啟動人員了。從那時起，五年中他一直專注于云計算安全。他所在的團隊主要負責其中DDoS防御、網站入侵防御、網絡漏洞掃描及風險控制4個子產品的設計、開發、運營。普通開發者對“風險控制”了解較少，它可以理解成兩個部分：一個是規范云主機，禁止非法行為；二是禁止惡意搶注云主機。

李爽目前所在的是“技術保障-性能與容量”團隊，主要負責阿里巴巴基礎架構方面的規劃于成本優化。之前在網絡團隊中，他是負責人，而其中與云安全最相關的是“網絡防攻擊團隊”。2012年，他們意識到，隨著互聯網的發展，用戶寬帶不斷提速，黑客可控制的流量也越來越大，就在此時，高性能網絡組件研發團隊應運而生，“防攻擊”作為重要平臺開始了建設。2013年的防攻擊主要在自有業務方面，2014年則開始全面面向云安全。

云用戶對網絡的需求也逐漸增多，李爽提出VPC方案，一方面用于解決用戶私有網絡的需求，另外一方面從安全角度實現用戶的網絡隔離。

聶萬泉介紹說，云盾目前是阿里云的安全品牌，包含一系列子產品。它大量使用了阿里云的服務，包括ECS、ODPS、CDN、SLB等，許多服務都工作在云上，“我們是阿里云的云計算客戶，阿里云又是云盾的安全客戶。”

預想之中與預料之外

云盾并非完全沿著他們最初設想的路線發展。起先，云盾的目的單純是為了保護用戶數據不被黑客竊取，保護云服務器不被黑客入侵。但隨著業務越來越壯大，云盾的領域也逐漸擴大，例如前文提到的風險控制。因為他們發現，許多有不軌意圖的人，意識到從外部入侵困難，就直接搶注免費試用的云主機，或者直接花錢購買云主機，進行非法勾當。這就要求云盾的技術人員在更廣闊的領域思考，擴展云盾的邊沿。

云盾剛上線得到了良好的反饋，因為從無到有，用戶突然間就擁有了一道屏障，解決了他們棘手的安全問題。從技術角度，在三位工程師看來，云盾的發展過程有三個里程碑。

商業到自研：原來云盾使用了商業設備抵御DDoS攻擊，而從2012年開始全面轉向自研防攻擊平臺。

滿足到優雅：防攻擊平臺最初只為達到基本的防護能力，在防御過程中存在誤傷。新的防攻擊平臺在性能極大提升的基礎上，誤傷率大大降低，他們稱其為“優雅防護”，不打攪用戶。

虛擬網絡隔離：在關注DDoS防護的同時，從用戶的網絡角度出發，設計了VPC的體系，對不同用戶網絡進行隔離，也可以讓同一用戶的不同網絡，根據需求設計訪問控制，提供更靈活的網絡方案。

全面的防護體系技術

從技術上看，云盾依靠“數據”形成體系。如圖1所示，HIPS發現WAF遺漏并反饋；惡意行為檢測發現WAF和HIPS兩者的遺漏并反饋；WAF和HIPS報警，惡意行為監測系統重點關注指定機器的最近行為。多種產品形成合力，最終組成云盾的防御體系。而從底層網絡來看，其核心技術有兩項，一是高性能網絡處理框架，另外一個就是VPC了。

安全領域容不得百密一疏，不久前的iCloud照片泄漏事件就是典型的木桶原理——蘋果的各個接口都做了密碼嘗試次數限制，卻唯獨忽略了Find My iPhone。結果黑客利用了這一點，嘗試猜解密碼最終得到了大量的照片和隱私信息。三位專家介紹說，在阿里云，他們有著完善的SDL流程，確保每個接口都使用了一致的安全策略。

而對于云平臺的僵尸主機威脅，云盾的風控體系與之應對——首先，免費的試用主機不會被自動程序搶拍，而且控制了搶拍速率。其次，云盾還有完善的網絡控制策略，限制了云主機某些特殊報文發送速率。最后，它擁有流量監控、分析系統，能發現網絡中的異常流量，捕獲僵尸主機行為。

“我們會對網絡行為做分析，判斷用戶的行為是否正常。這是一個矛與盾較量的過程，我們在這個過程中不斷優化防護方法和措施，保證用戶的安全。云平臺像一個大的市場，無法要求每個從業者都遵紀守法，但我們會用好的監測手段發現違法亂紀者，不會手軟。”他們這樣說道。

李爽談起發生在自己身邊的故事：“有個朋友的公司會經常租用我們的云主機，一方面網絡質量較好，他用這些主機做代理，優化用戶的訪問；另一方面，在網站受攻擊時，他將域名切換至云主機，利用云盾防護，正常訪問再通過代理方式回到他自己的服務器。”

安全產品提供的只是一種安全感？

遠非如此，給用戶切實的安全是一切的基礎。在此之上，才是讓用戶知道自己安全，感受安全。用戶一定先有安全收益，才能體會安全感。從另一個角度看，用戶也希望安全產品能更好地保護自己，畢竟現今的安全形勢依然嚴峻。

談起云安全的定義，以及與傳統安全相比云安全的特點，幾位專家解釋說。

首先是規?！，F有的云業務，每周遭受的DDoS攻擊在2000次左右，而Web攻擊則在億級別，攻擊次數高過傳統安全幾個數量級。

其次是領域范圍。云安全需要做許多以前不用考慮的事情，例如用戶使用云資源發垃圾郵件，做釣魚欺詐網站等，這些都需要格外關心，并且妥善處理。

最后是技術挑戰。云中的用戶互不信任，服務商需要防止他們互相攻擊，還要防止他們攻擊外部，更要提防他們攻擊云服務商網絡。

他們認為，云安全可以與社會安全類比——他們都具有多樣性、規?；奶攸c。談到未來，他們說：“用戶使用了一段時間之后，對我們有更高的要求，需要我們從發布的60分做到80分、90分，對我們挑戰很大，我們還在繼續努力”。