阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 5892阅读
  • 8回复

[安全漏洞公告专区]云平台建设者的责任和义务

级别: 新人
发帖
1
云币
22
LaFZ?7@|}  
云平台建设者的责任和义务
>`RRP}u=u  
>H][.@LyR  
                最近看到一些点评阿里的帖子,分析下来大体可分为3类: 4vnUN  
        一类是主机被DDoS,触发了云盾系统的黑洞阈值而不能提供服务了。 +|cI:|H>  
        另一类是主机被入侵了,对外有恶意的扫描、DDoS、暴力破解等异常行为被封停了。 E$s/]wnr[  
        最后一类是客户购买了阿里云的云主机服务,很然的认为云主机的安全也就应该是阿里云全部负责。 #Il_J\#  
        看起来都和安全相关,作为阿里云.云盾的一员,很出来想说点什么。  l~s7Ae  
='?:z2lJ  
一、黑洞阈值 ed 59B)?l  
什么是黑洞阈值?
       首先科普一下: 当客户受到攻击时,攻击流量超过某个设定值,该用户的IP进入BGP黑洞路由,这个值就是黑洞阈值! 触发这个黑洞阈值后导致后果是:阿里云会屏蔽被攻击IP的访问,客户的业务将对外停止服务30-120分钟,这对于客户的业务来说,后果是非常严重的。
DPgm%Xq9(!  
2.uA|~qH  
为什么要黑洞阈值?
     互联网上没有绝对的自由,为了保证大部分客户的利益,因此产生了黑洞阈值技术。
举例来说,阿里云有100万客户,当其中万分之一的客户,也就是100个客户同时受到10G流量攻击时,则因DDoS消耗了1T的带宽,这将严重影响其它客户业务的使用;
有同学问,财大气粗的阿里云多申请点带宽不就可以轻松解决DDoS问题了吗? 好吧,其实阿里云本身并不生产带宽,阿里云只是带宽的搬运工,带宽资源都来自运营商,并且带宽是需要巨额成本的。而且羊毛出在羊身上,你懂的!如果因为少部分同学A被DDoS,成本被摊到其它未被DDoS攻击的同学上,作为同学C来说,心里是非常纠结的。
因此才需要采用黑洞阈值技术,保障大部分客户的业务连续性。
yY{kG2b,  
二、恶意主机 >zvY\{WY  
 %V G/  
什么是恶意主机? B0}~G(t(  
   当阿里云系统判定您的主机存在如下行为之一时,将判定您的主机为恶意主机: jjs&`Fy,  
   1、云服务器对外有扫描、DDoS攻击、暴力破解等恶意行为。 ~!iQ6N?PY  
   2、或由于云服务器存在钓鱼欺诈行为,被第三方投诉。
   3、或由于云服务器存在严重的发送垃圾邮件的行为,被第三方投诉。  
 }alj[)  
pcS+o  
判定为恶意主机后的后果是什么?   }l0&a!C  
    当云服务器被判定为恶意主机时,阿里云将进行了封禁,36小时内我们将关停该主机6小时。客户可以通过控制台申请解锁进行解封,解封后您需要第一时间停止恶意行为,如您的云服务器再次因恶意行为被封禁,则无法再解封。  P\m7 -  
   kTIYD o  
    有同学抱怨阿里云管得太多了,我的云服务器被黑客入侵,对被人进行攻击,为何要关停我?何况我又不知情,我也是受害者L Xt/Ksw"wn  
    而又有其它客户又认为安全就应该阿里云平台全部负责。那么阿里云和客户的安全边界该如何界定 }-p[V$:S  
7v}x?I  
三、阿里云和客户的安全责任 Wl"0m1G  
   从上面对黑洞阈值和恶意主机的分析来看,阿里云作为云平台的建设者,为了大部分用户的体验,必须要承担大量的平台秩序维护工作。 S0/usC[r  
   云平台的安全环境,不仅依靠云平台的基础设施安全,同时也严重依赖在其上的租户的行为。 {QaNAR=)  
l;X|=eu'  
Ds8 EMtS  
OKOu`Hz@  
+t)n;JHN  
1^J`1  
就好比在一个餐厅就餐, 如果餐厅放纵顾客大声喧哗的行为,势必会影响其它顾客就餐的感受。但如果过分限制顾客的行为,又可能矫枉过正。因此,云平台的建设者必须要有足够的智慧同时也必须具备足够的技术手段,去制定云技术环境下的安全新秩序。 8y';\(;  
就比如针对黑洞阈值,为了改善首次防护体验,给用户赢得应对DDoS的时间, 阿里云.云盾 推出了安全信誉防护联盟计划。客户免费加入该计划后,依据安全信誉评估结果,获得阿里云提供的动态的DDoS攻击防御能力以及更短黑洞时长。时,针对经常遭受DDoS攻击的客户,我们也推出了商业化的DDoS高防产品,帮助用户更好更稳定地防护DDoS。 's x\P[a  
u`:hMFTID  
其实根据中国市场安全的实际情况 ,阿里云在安全上已经被国外的云平台做得更多!比如:在网络安全层面,提供了基础的免费抗DDoS服务。 在服务器安全层面,也提供了免费的服务器安全客户端,并且在安全管理方面也提供了免费的态势感知系统。 &NZfJs  
    那么有了阿里云提供的这些免费基础安全组件之后, 是否就意味着阿里云包办了所有的安全呢? |+IZS/W"  
其实不是这样的,相反阿里云通过云安全市场联合了国内外数十家细分领域的顶级安全公司,来共同为云上的客户提供安全服务,其中阿里云.云盾也是云市场中的一员。 9.O8/0w7LV  
]uL +&(cr  
~}ml*<z@  
4pU>x$3$  
9Mm!%Hu  
O%!5<8Xrb  
好比一个小区的治安,针对整个小区的门卫,监控,巡逻 属于云平台提供的安全服务,而业主室内的安全仍然需要客户自己去完善,同时为了整个小区的安全,每一个业主也需要尽到自己的基础责任。 NVV}6TUV  
OK|qv[  
四、阿里云为何不帮用户缺省解决所有的安全问题 [&S}dQ"  
7sNw  
C&\5'[*  
有同学问题:阿里云为何不帮用户解决所有的安全问题。嗯,这是一个好问题,但这不是一个技术问题,而是一个原则问题。这个原则就是: 8G%yB}pa  
AF,BwLN  
Br>Fpe$q4  
&Bb<4R  
就比如云盾的态势感知功能,必须要客户明确授权后,态势感知才会去分析客户的数据。再比如,云盾提供的态势感知只对攻击进行报警不做拦截。再比如云盾提供的木马文件查杀、高危漏洞修复等功能,也只做告警和修复建议,未得到客户的授权不做自动的查杀、修复动作。 ^D67y%  
作为一个阿里云云盾的产品经理,我们日常在对产品和功能进行设计时,一直遵循这个原则和底线。 ~q +[<xR\  
=TvzS%U  
以上就是阿里云.云盾普普通通一名产品经理的一些分享。我们很愿意倾听到客户的声音,无论是表扬还是批评,鲜花或是鸡蛋。特别是作为云平台安全的管控者拿捏好非常之精准,向前一步是深渊,向后一步是悬崖,左右都不是,只好为难了自己。。。 0"k |H&  
@MR?6n*k  
我们将怀着对客户的感恩之心,在风雨中继续前行,为中国的云环境安全贡献出自己的一腔热血。 >"3>s%  
9X<OJT;3J  
[ 此帖被勇戈在2016-07-08 16:20重新编辑 ]
本帖最近评分记录: 2 条评分 云币 +20
宝商科技 云币 +10 您的帖子很精彩!希望很快能再分享您的下一帖! 2016-08-27
ivmmff 云币 +10 讲解的不错! 2016-07-08
级别: 论坛版主
发帖
9349
云币
14165
只看该作者 沙发  发表于: 2016-07-08
讲解的不错!
级别: 程序猿
发帖
390
云币
309
只看该作者 板凳  发表于: 2016-07-12
##### ... #####
[ 此帖被碧血微剑在2016-07-12 20:42重新编辑 ]
级别: 新人
发帖
6
云币
8
只看该作者 地板  发表于: 2016-07-20
Re云平台建设者的责任和义务
简单明了
级别: 论坛版主
发帖
1030
云币
855
只看该作者 4楼 发表于: 2016-07-24
good
免费提供阿里云各类产品及服务相关技术/非技术问题咨询
级别: 小白
发帖
28
云币
36
只看该作者 5楼 发表于: 2016-07-25
Re云平台建设者的责任和义务
讲解好清楚哦~
级别: 论坛版主
发帖
1030
云币
855
只看该作者 6楼 发表于: 2016-08-27
您的帖子很精彩!希望很快能再分享您的下一帖!
级别: 小白
发帖
22
云币
20
只看该作者 7楼 发表于: 2016-09-01
Re云平台建设者的责任和义务
其实最让人恼火的是明明提示有安全漏洞,非要你去花钱买他服务才给你看,其实重点还是赚钱,而这个费用不是一般用户能承受的起的 {qa Aq%'  
0/oyf]HR  
,11H.E Z  
阿里云作为云平台,肯定要赚钱的,但是以安全为名来阻碍安全,比较可耻了 z'EajBB\f  
}O4^Cc6  
比如态势感知里的主机漏洞,他非要提醒有几个漏洞,却不允许你看,想看就得花钱升级,这不是以安全为名来阻碍安全吗 0p\@!Z H  
^R@j=_8}  
难道就不能允许看什么漏洞,自己能修复的就自己修复,没那能力的再花钱吗
级别: 新人
发帖
1
云币
1
只看该作者 8楼 发表于: 2018-05-20
回 7楼edims的帖子
你的回复很精辟,感觉这些条款有些流氓。看样子还是要加强自己的技术,以及安全意识。
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)