CTF(),也被称为信息安全领域的旗赢比赛。它起源于1996年的美国拉斯维加斯,主要分为解决问题和攻防两种形式,全面考验白帽队的技术、战略和能力。
由于CTF在现实中非常接近网络安全的攻防,被国际安全界普遍认可为培养安全人才的重要手段,在热爱网络安全技术的年轻人中也相当流行。多年来,CTF从来不缺少热血、坚持、自我突破的故事,一批拥有网络安全的白帽精英诞生了。
我出生在一顶白色的帽子里。阿里巴巴云平台安全总监兼云产品安全主管牛吉磊对CTF事件并不陌生。“2014年加入阿里后,我接触的第一件事就是人才培养和团队建设。当时对于应届毕业生的招聘,京、成、武、Xi、安等城市都走遍了,但是效率还是比较低的。通常只有1-2个面试适合100人,然后去实习阶段,最后一半都是留不住。"
事实上,这种产学脱钩已经在行业内凸显出来,学校的课程设置和专业与用人企业的需求脱节。所以从2015年到2016年,阿里巴巴云也是跟着CTF竞争招聘人才,招聘效率确实高很多,但是后来发现有一定的缺陷。
因为真正的“真实”并不是来自竞争本身,而是来自真实的商业场景。正如东厂所说,“CTF通常是纯粹竞争的,这些问题本身就有答案。经过阿里巴巴云的竞争,我们提供了真实的环境,场景更加逼真,反馈能力更加接近。实战。”
对于这场比赛,阿里巴巴云首次开启了真正的在线运行环境,在云上挑选了ECS(云服务器)、数据库(数据库)和大数据计算服务三大核心产品,接受选手的挑战。“我们习惯于从内部角度看待问题,而CTF团队则从外部角度看待问题。虽然有蓝军专门在阿里巴巴云挖坑,但会邀请业内顶尖团队出击。但我们仍然希望CTF的精英们能够帮助我们反馈真实的问题。”
据了解,作为世界上第一个也是唯一一个为公共云真正销售级产品设计竞赛标题的竞赛,这一挑战不仅向广大白帽子开放了阿里巴巴云相关产品,也让这些顶级玩家通过实战验证了阿里巴巴云产品的安全性和稳定性。比赛还专门设立了总奖金高达500万元的奖金池和高达60万元的单项奖,打破了以往的奖金纪录。
双11用阿里巴巴云技术互试验证
今年双十一,天猫创下了2684亿元的营业额新纪录。有了新的交易记录,阿里巴巴云面临的高峰记录也一笔一笔被打破,每秒创造54.4万笔交易,实时计算的高峰消息处理次数为亿条/秒,高峰消息系统处理次数为百万条/秒,当日批量计算数据量达到双11。
如果说每年的双11都是阿里巴巴云技术的试验田,安全也不例外。双11经历了怎样的24小时?
阿里巴巴云安全发布的官方数据显示,在双11期间,云平台自动识别并拦截了来自184个国家的60亿次攻击;对于天猫、淘宝等平台应用,拦截了来自17种不同方式的473万次攻击和2.9万次恶意攻击,成功防御1917次DDoS攻击。云原生DDoS保护包商业解决方案完美支持IPv4和IPv6双栈流量;为国内外100家双11活动提供全面保障,分析处理2000万业务请求,在云端为客户提供2亿风险识别服务,确保客户安全。
东厂表示,“双11最大的挑战是峰值压力,既要满足业务需要,又要保证安全无问题。在平时,安全策略在正常情况下是没有问题的,但是双11的巨大流量会极大考验云安全能力,在保证安全的同时支持业务
事实上,许多传统的安全策略在洪峰时期往往会失败。以DDoS攻击为例,通过日常场景中的安全算法可以很容易的识别流量攻击。但是在双11高峰流量下,如何区分正常流量和攻击流量是一个挑战:要保证任何正常真实的流量不被误杀,不放过任何安全威胁,这样安全算法和能力才会最终得到验证。
事实上,阿里巴巴云甚至在其日常安全策略上也达到了极致。东厂总结如下:一、如何做好预防保健;二、如何检测威胁事件;三、事件被发现后如何处理。
首先,在安全保护方面。阿里巴巴云在全球的服务器规模是百万,最大的挑战是它的资产,所以要用云的手段来解决问题。东厂表示:“我们有近300款云产品,需要在不同场景下解决很多安全问题。当然,我们仍然面临来自新技术的许多挑战。没有现成的安全防护方案可供我们参考。阿里巴巴云在中国的业务运行过快。我们面前没有学习的对象,需要踩坑探索。”
其次,在安全威胁检测方面。阿里巴巴云的每日日志都是PB级的,需要从这些日志中发现异常,解决可能出现的误报。如此大量的日志检测和大量日志的处理实际上得益于阿里巴巴云自主开发的天妃系统。更容易通过云中的能力来处理,然后求解算法和规则。
第三,在事件处理方面。阿里巴巴云给自己定了一个新目标:日志进来1分钟,警报出来5分钟,处置10分钟。“目前,我们手动处理安全事件的时间限制是15分钟。之所以敢于突破自己的极限,设定更高的目标,正是因为可以利用阿里巴巴云的云计算能力、大数据能力、数据库能力等重要技术。优势。”
客观来说,从安全防护到威胁检测再到事件处理,整套运营逻辑最大限度地体现了阿里巴巴云的整体技术优势。
我们还发现,阿里巴巴云为客户提供的云产品,默认会将安全功能嵌入到ECS、数据库、RDS等云产品中,在事件发生前做安全,而不是事件发生后做安全。通过安全人员的思维模式和概念,增强业务的安全性并帮助产品
解决业务问题。不得不说的数据安全
其实,数据安全仅仅是阿里云当中一个组成部分。但对公共云服务商来说,数据安全又是绝对的重中之重。
东厂告诉我,阿里云对数据安全,已经形成了一个完整闭环。
第一,数据安全是红线。阿里云有完善的数据安全保护体系,基于实践,从技术角度,对数据进行分类分级保护。而数据分类分级保护之后,任何人包括员工在内都必须在严格的控制授权监控下才能处理数据。“我们要求必须在合规的情况下处理数据,目前已经形成了从云到管道,再到终端最全面的数据安全管理机制。”东厂说。
第二,阿里云设计了全链路的数据加密。客户可以将数据加密后放在阿里云上。密钥仍然放在客户手上,为客户完全所有。这样就可以让客户放心,只有客户自己才能看到自己的数据。
什么是全链路加密?就是从网络传输加密,到计算加密,存储加密,数据库加密,以及还有硬件级别的加密服务,形成云上数据的全链路加密。
第三,在合规性方面,阿里云已经成为亚洲权威合规资质最全的云服务商,除此之外,还开创性的推出了内部操作透明化服务,所有内部运维相关操作,都会以日志形式记录下来,透明化给客户。
目前云厂商都在提供各种各样的数据保护方案,但东厂说,“阿里云的系统是基于飞天,是自研系统,代码可控。我们的云原生软件是自己开发的,服务器自己定制的,所以我们可以做到更高等级的安全。”
简单总结,网络安全的能力搭建从没有捷径,必须是建立在足够的实践经验,和优秀的攻防技术的基础上的,而对阿里云安全来说,背靠阿里巴巴的整体技术体系,并通过双11这样的试炼场磨砺而出的宝剑必然是锋芒毕露。
相关阅读
版权声明:内容来源于互联网和用户投稿 如有侵权请联系删除
标签: #阿里云安全最新动态