金山云安全技術總監李鳴雷:我眼中的云安全
文 | 史中
2017年中,金山云在國內的市場份額排名第三。
在巨頭云集的云計算市場里,金山云能連續保持兩年三位數的增長,確實出乎了很多人的意料。
金山云上坐落著很多游戲、視頻廠商,他們對安全性的要求非常嚴格。
李鳴雷作為金山云安全的技術總監,經歷了很多對黑客的攻防大戰,對于金山云安全和云計算,他也有很多有趣的認識。
受綠盟云“別人家的安全運維”實踐分享系列專題組的邀請走進金山,以下是我對李鳴雷的采訪:
本文作者史中(左)和采訪嘉賓金山云李鳴雷(右)
史中:從零開始創建金山云安全的隊伍,應該是一件挑戰很大的事情,需要很多技術上和管理上的積累。可以講一講最早你是怎樣接觸網絡安全的嗎?
李鳴雷:我1996年畢業于北京航空航天大學計算機科學與工程系,后來研究生期間研究方向是3D圖形渲染算法。可惜當時高端的三維圖形應用主要是在軍事、動畫領域,沒有走入尋常百姓家。
我的夢想是用技術影響更多的普通人。畢業以后,我加入了華為做數據通信產品的開發工作。那時候華為正好啟動了安全防火墻預研項目,我從那時候開始接觸安全,參與開發了華為的第一個防火墻產品。
那個時候華為的安全產品初創時期,是一個內部創業團隊。作為開發工程師,身兼數職,不僅要研究第三方網絡處理器的算法,研究怎樣優化達到最高性能,還要不斷進行開發、測試、版本發布、甚至外地客戶支持等等,非常辛苦。
我記得有次國慶正在超市,某地的售后緊急要求技術支持,說某運營商的防火墻出了問題,整個東北地區找不到人支持。當時從超市直接去了首都機場T2航站樓,去了東北。
到了機場,將近夜里十點,冒著大雨打車幾十公里到了客戶的縣城,半夜和網管定位問題,在機房找了4個紙箱子拼起來睡了一覺。整個國慶7天假期和北京的兄弟們一起排查問題,想想也挺有意思的。和來了金山云創業的日子非常像,現在感覺自己還有一顆年輕時候的心。
史中:最早一批的網絡安全人,有很多最終都在云安全方面做出了好成績。有什么機緣讓你走到云安全的道路?
李鳴雷:對我影響最大的,第一是華為,第二是在百度的五年時間。百度的生涯是從負責百度的滲透測試團隊開始的。2012年,360推出搜索,而且以安全作為一個重要的切入點,很大觸動了百度的利益。那個時候開始,百度開始大力投入安全,安全團隊也迎來了一個發展小高峰。2013年底,百度整合各個部門分散的安全團隊,成立了統一的云安全部。這段生活使我受益良多,也逐漸在云安全這個新興的行業。
史中:又是什么原因讓你離開百度加入金山云呢?
李鳴雷:金山云在2015年已經發展了3年時間,各方面都有了一定的規模,對安全開始非常重視。很多客戶面臨各種安全威脅,比如DDoS攻擊、web攻擊、信息泄露等等。用戶使用云計算的意愿,因為對安全的顧慮會大打折扣。金山云的這個機會讓我覺得非常有挑戰,所以我決定離開百度進入云計算領域。
史中:說到 DDoS ,很多云計算廠商都在這方面下了很大的力氣。在你看來對抗 DDoS 攻擊主要的難點是什么?
李鳴雷:DDoS的歷史非常悠久,今后的很長時間也將繼續存在下去。發展到今天,攻擊可以獲取的資源越來越廉價,能造成的損害也越來越大,攻防成本嚴重失衡。
從黑客的角度說,現在帶寬的提速、大量的IOT資源、NSA泄露的武器庫使得他們可以控制更多的電腦和設備,并且利用更大的帶寬發起攻擊;對于防御方來說,傳統上要購買更多的帶寬資源,或者出更智能的防護策略來抵抗涌過來的流量。
根據我看到的數據,從去年底到現在,DDoS 的攻擊流量已經翻倍,到年底最少還會增長60%-70%。
2016年,我們加入了云清聯盟,和華為云、青云、樂視云等等很多云計算企業一起共享威脅情報,共享近源清洗資源。
今年還有一些前沿的技術,比如在家用路由器上部署近源DDoS防御客戶端,如果攻擊流量是這個路由器后面的設備發起的,就實時就地壓制。這些新的技術我們也在研究。
史中:DDoS 面臨的形勢很嚴峻,某種程度上說明你們的對手非常強大。金山云安全在抗 DDoS 的歷次“戰役”中,有沒有驚心動魄的時刻?
李鳴雷:有一次,一個發布會正在進行的時候,攻擊者對我們做了掃段攻擊,對我們正常的服務造成了很大的影響。就是攻擊者對我們整個網段進行了逐個打擊。
我們及時調整了DDoS攻擊的防御策略,并且與運營商共同協作,成功地化解了這次攻擊,保證了發布會的正常進行。
今年年初,我們的某客戶還遇到了超過800Gbps的攻擊流量。云計算相對于傳統數據中心的防御優勢也體現出來。云資源的動態擴展、靈活調度能力,可以有效應對這類突發情況。
金山云為用戶提供免費的DDoS防御能力,可以有效提升用戶抵御DDoS的平均能力。我們同時為用戶提供高至1Tbps的高防DDoS防御能力,用戶可以根據自己的情況來靈活使用。
史中:以阿里云和騰訊云為例,他們的云安全也很強。在競爭中,金山云安全有哪方面的優勢?
李鳴雷:安全是非常龐雜的工作,對于黑客來說,1/100的機會就可以攻擊或者入侵成功。對于防御者來說,這個問題就非常復雜,要考慮到所有的可能性。“云管端”任何一個方面出現漏洞,都會造成黑客入侵。
金山云作為金山集團的子公司,有公司長期的安全積累支持。端的方面,金山毒霸和金山企業安全軟件,覆蓋了大量的用戶。管的方面,獵豹移動有非常好的移動客戶端、網址檢測以及加密傳輸技術研究。云的方面,金山云經過5年的建設,已經具有非常完善的防御體系。
所以對比阿里云、騰訊云,在第一集團云服務商里面,我們是云管端產品和技術最為全面的一家。
對客戶來說,云上的問題,可能不僅僅需要在云上解決,這個時候終端安全軟件就可以發揮作用。這些如果都是一家公司的產品,就可以在內部數據和防護策略上直接打通,這個意義還是非常大的。
客觀地說,阿里、騰訊這樣的巨頭在安全方面的投入非常大,從網絡、主機、業務安全、大數據、AI方面都有非常好的產出。
比如阿里云借助其賬號和支付的風控體系,具有數據風控、內容安全等豐富的業務安全產品。
但在底層技術上,比如DDoS防御,未來將會有同質化的趨勢,因為這些從本質上拼的是資源。大家從外界獲得的的資源不會有太大的差異。
金山云安全工作的重點,是IaaS 層面。我們和用戶有明確的安全責任邊界,金山云的基礎架構、比如網絡、主機、存儲等是我們的責任;用戶的業務由用戶自己來保障。
用戶可以選擇金山云或者第三方的安全產品,來幫助自己安全地使用云計算的服務。我們的戰略是專業的人做專業的事情,沒有一家安全廠商可以提供所有的安全產品和服務。金山云積極與第三方生態合作伙伴服務,努力為云上用戶提供業界最好的安全產品和使用體驗。
史中:我很想知道,作為一個老安全人,在你眼里云安全和云計算對于用戶的意義是什么?
李鳴雷:我一直覺得,企業不能盲目上云,上云之前應該知道云對你意味著什么。
云計算有自己的特點,比如抗 DDoS、業務彈性拓展、突發訪問高峰保障等等。
在安全方面,云安全最大的貢獻就在于,它可以提升云上企業整體的安全水平。但是,對于安全有更高要求的用戶,云服務本身還需要做很多工作。
對于安全基線較低的用戶,比如大量小企業,不可能花大價錢自己養一個安全隊伍,所以對他們來講,上云就是最好的選擇,可以有效提升業務的穩定性、連續性、安全性。
實際上云計算是一個不可阻擋的浪潮。國內外對于新的 IDC 機房審批都非常慎重,與此同時云計算的市場卻在爆炸。很多企業不上云,只是出于陌生。但是當他真正邁出上云的一步,他很可能再也回不去了。
這就是歷史的進步。
---
