【51CTO.com原创稿件】2017年5月10日,作为国内首家协同应对DDoS攻击的组织,云清联盟在京发布全网协同防护方案,华为、中国电信云堤、青松云安全作为组织发起者,针对目前DDoS日益猖獗、攻击规模及频率快速增长的现状,对方案作出详细阐述,共同探索协同防御的新思路、谋划抵御DDoS攻击的新格局。互联港湾、金山云、乐视云、云端网络、新浪云等行业知名企业的联盟会员也出席活动,为协同防护方案提供助力,共同抵御攻击,守护互联网安全。
记者一走进会场,就听到青松云安全的创始人兼CEO孙大伟打了一个比方来形容DDoS的严峻形势。他透露,如果北京天通苑范围内的所有居住者在同一时间对国内任意一家互联网公司发起DDoS攻击,那么没有一家互联网公司的网络架构可以抵御,无一例外都会陷入崩溃状态。他顿了顿,又加了一个定语,“三秒钟之内”。此言一出,大家对DDoS的严峻形势有了更为形象的认识,顿时引得台下参会者议论纷纷。
![云清联盟]( "云清联盟")
会议间隙,记者采访了云清联盟的多位成员,他们与记者分享了云清联盟这半载取得的创新成果,以及对现状及未来发展的思考。其中不少观点非常有借鉴价值,值得深思。
协作+纳新=共同承担DDoS防护责任
![云清联盟]( "云清联盟")
华为技术安全开发部部长 刘立柱
云清联盟执行主席、华为安全开发部部长刘立柱表示,云清联盟承担的最主要责任是实施DDoS的安全防护,自成立以来,他们完成了很多对接的技术标准,形成威胁情报的体系和威胁情报的服务。同时在这个架构下形成清洗、检测以及威胁情报的合作。当然,这其中每一位成员承担的责任和义务各有侧重,他举例到,有的成员例如乐视云、金山云,作为重要的云服务商,他们很重要一部分职责是在于消解掉来自本网的DDoS攻击;而像专业的安全服务商,则会承担应急响应服务,侧重于清洗工作。
记者获悉,目前云清联盟已经扩大至30家成员单位,在今年上半年,组织会员参加了标准的讨论和制订,于2月份正式发布了《云清洗对接标准接口规范 V1.0》,同时联盟也在国际的IETF组织里面做了提案,并得到了国际厂商的支持,未来联盟重要工作之一就是推进这个标准的落地。
![云清联盟]( "云清联盟")
中国电信云堤 CEO刘紫千
中国电信云堤CEO刘紫千指出,云清联盟是一个产业组织,一直在通过协作聚集产业内重要力量共同解决难题。他认真地表示,并不希望云清联盟走大而全的路线,而是期待将云清联盟的威胁情报平台做成一个实用的威胁情报中心,让更多的云厂商、安全服务提供商、设备制造商加入进来。
从被动挨打到主动防御
![云清联盟]( "云清联盟")
青松云安全创始人 孙大伟
孙大伟告诉记者,今年青松云安全与云堤有过几次深入的技术及防御实战的合作。当时他们突然遭遇了国内最大一次攻击,仅中国电信网内将近有800G的流量,整体流量已经上T。他们采用云堤的分线路压制及海外的流量压制,同时在国内通过中国电信提供的清洗池,部署了清洗防御的服务,双管齐下同时协作,十几分钟之后,就消解了这次攻击,同时也通过这次合作,把联盟实战演练的模型及技术做了很好的磨合。“目前国内超过400G的流量攻击已经非常常见,虽然上T的攻击级别仍不多见,但可能在未来两到三年之内,人们会习以为常。”
![于永涛]( "于永涛")
互联港湾解决方案与产品部售前总监 于永涛
互联港湾解决方案与产品部售前总监于永涛表示,加入云清联盟的过程,是他们从最初被动挨打变成了主动防御的过程。在早期服务合同中,DDoS攻击属于不可抗力无计可施,现在则变成了客户明确要求以服务形式交付应用,确保业务不中断无影响。对于单个公司而言,自己去做DDoS防攻击非常困难,除了成本高的因素之外,企业发挥的作用也非常有限。加入云清联盟,可以结合更好的技术产品来满足客户的需求,除了把整个防御体系建立得更好之外,还可以对整个互联网网络的安全以及恶意流量的清洗提供更好的解决方案,“协同防护,势必会推动DDoS云清洗技术的发展和普及。”他总结道。
意外!“个人自扫门前雪”也有好处
采访中,刘紫千还特别提到,其实“个人自扫门前雪”对于防DDoS攻击而言是一个不错的选择,如果每一个成员单位都能主动禁止从自己覆盖的网络对外发出攻击流量,其实就等于在自己所能控制的网络范围去帮助了受攻击者,消除这些危险。云堤有一个分布式的近源防护,但还远远不够,他希望能够借助联盟能够把所谓的近源真正地推到众成员面前,而不是等流量在某一端汇聚起来再做这个事情。
![云清联盟]( "云清联盟")
金山云网络安全架构师王生新
金山云网络安全架构师王生新也非常认可刘紫千的观点。他表示金山云认为减轻DDoS攻击并提供威胁情报共享是云服务商义不容辞的责任和业务。当发现客户被扮演了肉鸡角色时,一旦发现对外DDoS攻击,金山云可以在分钟级别隔离肉鸡机器。他介绍到,金山云有一套完整防御回溯系统,每天会统计大量的攻击源。过去回溯的攻击数据主要反馈给客户,供客户调查取证。之所以加入云清联盟,也是希望把安全能力输送出去,将这些数据输送给联盟之后,供成员单位排查,降低损失。
![云清联盟]( "云清联盟")
乐视云安全中心总经理万涛则阐述得更为具体,他表示,云环境如果变得脏乱差,就像病毒繁殖遇到温床,这样发展下去安全博弈将变得步履维艰。最好的办法就是从源头上斩断黑产发展的苗头。过去人们常说,DDOS攻击是无解的,但是在今天通过云清联盟这样一种协作机制,在技术互补、优势互补、资源互补的前提下,人们可以把黑产DDOS的发展规模速度从自己范畴先减少。由于大量的带宽资源都集中在云服务商和CDN厂商手中,因此这些厂商联合起来“自扫门前雪”,就相当于在减少黑产大量攻击资源,提高攻击成本。
他还重点指出,现在正是未雨绸缪的良机,如果能够在物联网的架构部署层面就解决安全问题,可以很大层面地降低云清联盟成员成为黑产资源的几率,联盟成员规模越大,就越有可能形成此消彼涨的良好态势。
刘紫千强调,他特别欢迎物联网设备厂商或嵌入式操作系统厂商加盟,一方面他们能够帮助联盟成员更好地去理解物联网攻击载体的变化,另外一方面,他们也能从联盟中得到一些知识,帮助他们去改进自己产品的设计和防护。
采访最后,刘立柱表示,云清联盟的威胁情报中心建好之后,下一步规划是让联盟成员既能贡献情报,也能获取情报,在威胁判定的快速清除僵尸这一场景得到足够的技术支撑。谈到未来规划时,他还表示将加快协同方案的进展,技术标准制定之后还要推动标准落地;除此之外,还将不断地促进协作和交流,让有共同理念的人走在一起,迸发出无限能量。
作者:周雪
来源:51CTO
