| 摘要:昨日(5月15日),第六届CCS云计算高峰论坛在北京国家会议中心盛大举行,与期同时举行的还有CENCE中国企业网络通信大会,本届主题讲主要面向私有云,公有云,同时为期两天的会议还有很多专场,包括大数据专场,应用与服务专场等。中国电信系统集成有限公司信息安全业务部总经理郭亮,在现场做了发言。 |
中国电信系统集成有限公司信息安全业务部总经理郭亮,在现场做了发言,以下为全文实录:
云计算的发展让很多草根也不会装系统,传机器,都有这样的平台应用,SIE还有中国电信等公共开源的云平台给我们带来很多的空间。回到主题,电信立足于云着眼于安全是怎么做的。
我自己讲了好几年,讲的有一点儿乏味,无非是把系统安全的问题到云这边以后,虚拟主机如何做一些防护。导来导去唯一比较强调的感觉,随着年龄的增长会算帐了,说白了从技术走向管理会算帐了,云计算就是很好的算帐工具。为什么这么说,少花钱多办事,少买服务器多给用户提供资源多赚点钱,这其实是云计算未来不可避免的趋势。同时国内一些新的观点,云计算的发展慢慢会颠覆传统的安全。因为过听说过很多政府,运营商,像阿里这样的企业都在建立云,这里边什么安全功能都有了,其实你觉得大家还会去买防火墙吗,慢慢的这些应用过去,慢慢的会越来越小,所以我觉得云计算的发展是不可避免的。
最近有一个冲击的事情,我有一个朋友他在美国待了六年,去年12月份回来想创业,带着老婆孩子回来了,结果头一个月就让他好好的吸尘,在Tiwteo上看美国大使馆PF2.5的数据。他每天在美国大使馆Tiwteo页面上抓值,两小时抓一次,在两天之后也就是抓了24次,突然画不了了,Tiwteo已经不让他IP了,但是同时可以访问Tiwteo其他的页面。这个哥们的确是我认识的技术大牛,Tiwteo每天访问量是40亿,在40亿中做这么精准的定位拒绝掉你这样的访问行为,对于Tiwteo来讲是主动防御,他说人家玩的多溜。我们探讨这个话题,到底算云应用还是云计算,还是大数据分析,无所谓是什么,有价值的是真正我们现在在一个不可遇的云计算时代如何利用好资源,去解决一些实际问题。
从09年开始我们发布的天翼云中国电信,当时做天翼云的时候比较简单,就是想把传统的换一个名,我们想怎样用云计算做安全,当时想法还是很初期,因为老有厂商忽悠说我们推出虚拟防火墙,用了一两年以后发现也蛮不是这么一回事,加上自己那个时候被洗脑洗的差不多了,大概知道云计算是怎么回事了。在2001年的时候我们搞了这么一个东西,基于云安全服务,底层还是用一些电信的资源。包括了常规的计算机,存储,还有当时的各种防火墙、防御设备。在此之上我们做了一个即插即用的接口,说白了就是把软的东西装上去了,比如说原来是一个扫描器,买你一个盒子,当时的情况全国每各省IDC装一个,搞一个界面,每个省调度扫描,这就是当时的云计算。后来觉得也没有必要买盒子,那玩意本身也是装在盒子里的,不用买也可以,而且每一台自己的CPU内存计算资源,包括后边扫描出来的报告也都受盒子本身的限制。我们搞了一个系统,某安全检测是国家单位跟我们合作的,的确实现了通过路由牵引实现了蛮像云计算的调度。在此之上越来越像云计算,后来干了一个安全管理、监控,其实无所谓干什么,实际上他就把那些实时需要调动安全资源的东西,集中到一个平台上,在这个时候就是自己用,也开始卖了,扫一次多少钱,扫多大的量多少钱,逐步的基于云安全服务模式,在电信自己内部使用,慢慢的开始孵化出来。有多好,说句心理话也说不上,在运营商总有一些机会出去听比较牛的厂商学习、学习,忽悠、忽悠。在美国Google当时给我们开玩笑说,服务器当茶几用,泡杯咖啡也没有问题,人家觉得这种自信心,包括Tiwteo的事情对我们云计算应用来讲还是有一定差距的。
这是利用云计算资源的检查检测,当时的情况,计算资源做一个监测平台,实现一个云+端的世界监测,把引擎和样本放开弄,有一点儿创新,原来安全技术在设备时代把所有样本检测权放在一起共享计算资源,这样的话你的效率是有瓶颈的,说白了是抢CPU。放到云里边以后,他的样本会变的无限大,但是他的漏洞样本也开始做一些,样本本身会根据主要监测的对象,推送一些样本到我的监测端去,这样实际上利用了云计算弹性资源,也可以做海量的计算,往监测上的引擎推,这样真的提高效率。实验测是一个数据,非常快,原来几个小时、可能几分钟。云实现了规模集群和任务调度的粗扫描,端实现了精细扫描和本地的漏洞,他把这些漏洞样本做成一个端做一个匹配,这样的模式来进行。这里边把我我们看到的集群检测的调度做到里边,他可以从资源池里边抄计算资源,比如说平时的时候,我把这些资源释放出去,到晚上12点,就跟银行结帐一样,突然把所有的资源调度起来,然后去匹配。在此之上,可能把这些数据,还有一个海量式的分析,云计算在安全监测上应用到极致。
评论表单加载中...
