杨培峰，奥菲数据:对数据中心三维安全防护的思考

本篇文章5590字，读完约14分钟

杨培峰，奥菲数据:对数据中心三维安全防护的思考 在IDC数据中心的安全保护方面，IDC企业如何与传统安全公司或安全设备制造商更好地合作？ 中国国际数据中心圈12月28日报道，第11届中国国际数据中心行业年会(IDCC2016)于12月20日至22日在北京国家会议中心隆重举行。在中国信息与通信研究院、发展与政策论坛和联盟的指导下，本次会议由中国国际数据中心行业年会组委会主办，中国国际数据中心圈主办，得到了众多媒体的大力支持。

作为中国云计算和数据中心领域最大、最具影响力的标志性事件，IDC中国行业年会已经成功举办了10次。本次会议的规格和规模都是“上一层楼”，吸引了全部现场人员，其影响力涵盖了数据中心、互联网、云计算等所有领域。

会上，奥菲数据首席运营官、副总经理杨培峰出席了IDC服务大会，并在当天的安全运维分论坛上发表了“数据中心三维安全防护思考”的主旨演讲。

OFDI数据首席运营官兼副总经理杨培峰

以下是这次演讲的文字记录:

在IDC数据中心的安全保护方面，IDC企业如何与传统安全公司或安全设备制造商更好地合作？事实上，我们也有自己的想法。安全厂商更注重技术设计和产品实现。作为国际数据中心或互联网公司，他们更关注产品如何面向用户，如何简单地使用它，如何满足整个产品的简单使用，或者如何高性能地使用它。我们也遵循这个想法。我们的重点是考虑如何保护产品以及如何成功推出产品。第二种盲从是针对安全操作和维护，针对我们内部的云系统甚至是互联网系统。我们如何从内部发现问题并在内部解决它们？我也想和你们分享一些OFI和主流制造商之间的合作例子，或者我们目前准备推出的产品。

让我们先看看安全形势。这是我在网上搜索的数据。如你所见，近年来，攻击的规模、持续时间和目的变得越来越多样化。自2016年以来，袭击规模已达1T。众所周知，在10月份，整个美国互联网上将近一半的脸书在东海岸和西海岸都无法使用。根据我在美国较好的安全公司的朋友的交流，他们分析说，攻击来自互联网设备，因为它是嵌入式软件，但它受到一些安全威胁，并打开了漏洞。这次攻击的流量接近1 t，但据他们统计，提供的流量只占设备容量的不到30%，也就是说，如果是全面攻击，攻击流量可能会达到3 t以上，这是一个非常疯狂的数据。

让我们再来看看DDoS的趋势。事实上，我们可以看到，在2015年全年的统计数据中，攻击总数已经超过2750万。我们每天都会面临许多不同的攻击。被攻击的目标网站数量已经超过78万。平均攻击时间为35分钟，经济损失为180亿，业务影响占50%。我们的结论是，超过70%的攻击需要不到10分钟的时间，但有一种情况是，海外组织或黑市产业链的交通攻击商业模式非常成熟，特别是当海外组织超过5000家时。你可以看看一些攻击来源的统计数据，包括中国占30%，美国占22%，英国占16%，以及一些互联网发达的国家和互联网用户较多的国家。

让我们来看看目前我们在保护过程中遇到的问题，这也是我们在早期安全过程中遇到的一些问题，包括制造商的选择和整体解决方案。

首先是保护能力。让我们先看看中国的安全制造商。我们都非常清楚，运营商层面的制造商，包括企业层面和数据中心层面的制造商，只做得好一些。此外，与同一城市的其他制造商相比，投资距离和产品产出距离相对较大。在中国，这是一个安全产品寡头垄断经济的时代。当我们选择时，我们没有太多的选择，但是我们会考虑成本差异和技术应用差异，并且我们会更加头疼地考虑这些问题。正如我刚才所说，制造商投资开发安全产品是关键。

第二个是策略，产品可以保护多少攻击，以及它可以保护哪些类似的攻击。我们发现，近年来出现了新的攻击应用，而且是大流量攻击中夹带的，或者多个应用攻击一起影响系统，因此制造商的策略必须不断改变，通过数据库、人员、研发的各种条件必须不断改进。

第三是保护不及时。有时会发现问题或存在攻击。然而，制造商的产品和策略无法找到数据中心或云平台的业务。目前，这种应用的许多方法只能相对强硬或相对僵硬地封锁一些业务，但这非常影响我们的业务。

刚才我谈到了设备、制造商和解决方案方面的一些问题。即使解决了几个问题，也可能无法保护整个系统，因为我们都知道，整个互联网的安全从源头到攻击结束都受到保护。让我们来看看。当我们作为数据中心工作时，当我们作为高安全性警卫工作时，或者当我们作为安全警卫产品工作时，我们通常在每个数据中心的出口处部署一些防火墙，100克、200克或更多。但是，由于数据中心的一些互联网出口或客户提供的线路带宽总是有限的，因此不可能提供无限的带宽。我们经常在数据中心遭到数百次G级攻击。没有一个国际数据中心的计算机房能经受得住数百次G级攻击。为了预防和控制，单独出口是非常昂贵的。一旦发现200G攻击，我的设备可以得到保护，但是我上面的流量已经饱和，整个数据中心下面的业务也将受到影响。

第二是一些复杂的攻击。我们发现每年有5%-10%的应用程序攻击是新类型的攻击。我们需要不断发现它的数据库。我们需要与设备供应商和制造商一起分析哪些攻击会影响业务，然后不断升级。这也是一个令人头痛的问题，我们会一直关注它。然而，当这个问题出现时，我们可能会觉得没有办法，所以我们会更加关注这个领域，实时更新这些数据库，并实时学习这些模型。这些是我们关注的方向。

刚才我们说的是来自外部的流量攻击，但数据中心也有一些安全模块，换句话说，我们的设备和主机可能会变成肉机和僵尸机，被黑客控制来攻击其他人。我们认为这次攻击比前一次更阴险，更具威胁性。你为什么这么说？事实上，作为一个数据中心，包括游戏、视频和社交网站，里面有更多的信息。如果这些信息被入侵并向公众开放，它将比任何明确的攻击产生更大的影响。攻击是暂时的，但信息安全是长期的影响。

为什么我们不能主动发现问题？首先，可能会有一些我们的员工在处理问题时不能充分考虑的异常发现，只有公司在操作和工厂处理时不能充分考虑安全。第二，我们可能不知道在黑客入侵后有许多裂缝被打开。此时，我们的高安全性应用程序无法知道我们的主机是否会受到影响。第二个方面是漏洞管理。第三个方面是威胁。防火墙可以生成大量日志，但它发现的并不是关键。许多关键的东西还没有找到，而且它也没有任何精力去检查所有的设备。这需要很长时间来处理，并且在及时性方面也存在一些问题。

我之前所说的是背景，我之后所说的是我们所做的一些实践。我们正在与一些制造商就用户的创新需求或及时的大容量数据中心安全解决方案进行合作。这是我们的总体结构，也是我们计划的一些指导思想。我们可以看到它是两部分的结合。为什么它是三维的，一个是外部保护，另一个是内部保护，对客户负责，对整体内部网络安全负责。在内部，我们将一步一步地阐述。

首先，对于一些大流量，我们都知道这不是一个产品设计问题，而是一个总体部署计划问题。我的产品能力可能很强，可以承载100克和200克，但整个出口不能承载200克的中心。首先，数据中心业务必须确保正常，我必须使流量为零。当攻击来自一个方向时，我们通常在多个出口拨号。对于保护服务，我们在多个出口同时拨号。这是与一些供应商的联系。我们尽力粉碎一些攻击。攻击流量分布在不同的点，设备具有清洗能力。但是，我不得不分散承担这些风险，这些风险不会集中在一个电路中，影响整个数据中心的业务安全。

第二是与中国主流的IDC安全制造商建立联系。我们将根据各种机房的系统能力和高防御能力，与各种厂商的云清洗平台相连接。一旦发现大流量攻击，可能会超出所有线路的支持水平或设备的处理能力，我们将与他们联系。规模超过一吨的保护规模。这是一种更加碎片化的处理方法，允许我们的攻击耗尽数据中心的出口，或者允许攻击在到达数据中心之前被碎片化并分布到不同的出口，以便我们能够确保大流量和新的应用。当某些应用的现有设备无法处理或识别时，我们会将怀疑受到攻击的流量放在云清洗平台上进行识别，同时将其数据模型发送给设备，以便我们的设备能够实时识别和更新该威胁，包括后续处理。

在我们制定了这些计划之后，这些产品确实有一些好处或优势。首先是出口处没有拥堵。这些位于后面的分布式排水或云连接可以在更大程度上降低单个数据中心的清洁能力或出口承载能力。第二是精确的政策保护。对应用层的保护可能是单个独立设备或单个独立系统无法实时处理不断更新和不断生成的新应用程序攻击。但是，我们在与云平台交互时会有实时策略，而且我们会有最新的模型库，这是我们解决单一制造商或我们自己处理能力不足的更好方法。第三种是集成链接，但所有链接都是基于预先安排在设备或系统中的策略。所有这些都是实时连接，可以在不到10 G的数据中心中解决，50 G以上分布在不同的数据中心中，100 G以上在云系统中解决。还有一些关键业务是独立处理的。例如，该客户的业务非常重要。这可能是一个在线交易。在攻击期间，可能有多种业务。这项业务需要通过单一渠道进行清理。我们会给它一个单独的装置和一个单独的平台来清洗。这样，整个过程将与其他攻击隔离开来。还有一些定制服务。我们定制某些产品的策略是，更重要的是，任务是分解客户的需求并将这些需求形成一个产品，该产品将与制造商和合作单位一起研究，以制定一个客户可以更简单使用的策略。对于一些安全产品，我们可能会继续将难度和技术实现中最困难的环节推回，可能会推回给IDC、产品制造商和芯片开发商，这样用户在使用这项服务时会倾向于简化，但整体背景相对较强，有完善架构的产品支持，以便更快地满足客户的需求。

这是我们正在制造的新产品，也是由在安全操作方面做得更好的制造商制造的。同时，我们必须考虑我们自己的安全系统、一些机柜系统、身份验证系统和重要的生产系统，包括客户在我们的计算机房中托管的许多主机和云。我们必须发现他们有异常情况。我们无法检查所有设备。一个是工作的难度，另一个是设备的安全性。客户不会给你太多的操作权限。

怎么做？让我们简单地谈谈。当服务器进入网络时，一个是身份识别，相当于注册、客户和流量，包括以下不太重要的词语。我们将分析这个设备每天运行多少流量，它的流量模型如何，它使用的流量是多少，应用层的域名更精细。这个模型对于不同的客户有不同的模型，并且我们将在建模中对于不同的应用有不同的模型。在收集之后，我们将有一个每个设备和每个IP地址设备的情况的粗略模型，什么是流量，应用程序断开和访问域名之间的区别是什么。我们通常的理解是，一周七天之间的波动不会超过20%，包括是否有针对端口、应用程序和流量的监控基准。我们认为波动不超过20%是正常的。这是在没有任何设备的情况下进行的扫描，目标是通过中间的流量和流量数据包的扫描。这对我们来说更容易操作。

第二是威胁发现。有一天，我们看到这个设备的端口突然超过20，000，突然更多。此时，我们发现黑客不断发送请求和攻击。此时我们不需要真的找到任何东西。当然，这不是一个完全准确的位置，但它为我们提供了这个设备异常的基础。无论客户是否做了导致这些异常的操作，我们至少有了第一判断条件。这是关键，但这只是一个简单的例子。包括当我们提前做一些安全工作时，我们的在线客户通常会访问网页，基本上一个月只有几个，不会有大的区别。突然有一天，一个未知的域名被提到很高。这个域名更可疑吗？我们都知道，当僵尸主机可以控制时，命令是通过域名发送的。此时，系统中肯定会有一些日志和日志。此时，我们将看看这个域名是否有问题，因为通常它不会进入前100名。几千年后，它可能会突然出现在前50名或前20名。这一次非常关键。这个域名肯定是出了问题。让我们找出哪些用户访问了这些域名以及数据中心。如果确定这个域名是黑客的域名，不管这些被访问的主机是否中毒，我们都会有更好的办法。

这些是我们制作的一些模型，一个是视觉分析，另一个是处理。我们总结了5V特性，第一个是高速日志收集，第二个是多样化，支持半结构化和非结构化数据类型。第三是容量。我们专门做了一些大容量存储来分析日志。要建立数据库，一些数据可以在短时间内使用，但运行数据可能需要更长的时间。第四个是价值，即在大量数据中的价值，如何判断一些攻击，或者当系统不仅要安全而且要给客户更详细的操作价值时，在数据包中的应用层，包括端口层以上的信息，例如下面的传输层，由客户进行分析和流动。它的价值是基于安全，但它不仅仅是安全的能力。最后一个是可视化。我们尽力将客户使用的这些系统和方法形象化和简化。

这是我们的模型。我们会提醒内部网络流量。我们通过交通分析顾客的安全。这样，我们将分析内部网络流量，看看是否有任何异常。然后，当某个IP的型号与我们之前确定的型号不同时，我们将向其发出警报。二是内外网异常流量报警。这是每个人都清楚的。内部网络流量很大。监控主机流量列表。对于有这项服务的客户，我们可以提供知识产权。他监控这个流量，但他也可以接收警报并判断是否有任何问题。最后一个是制定一些监控规则。在此期间，客户将关注哪些端口的应用、我必须确保哪些端口以及他将关注哪些端口。我们将更详细地为他的港口制作一些模型。

这是一个过程，包括安全监控、漏洞检测和威胁分析。我们把交通安全系统作为一个整体来做，包括IP、主机端口、域名、漏洞、威胁和建模。

这是整个安全系统，不仅是我刚才提到的两部分，而且从物理层、网络层、应用层、观察层和安全层，我们都会有一些安全建议。

这是我们对整个数据中心安全系统的建议。我们都知道，没有一家IDC公司能够独立应对如此强大的网络规模的攻击。因此，我们希望在国际数据中心运营商和用户之间建立一个安全的社区。我们在技术、攻击场景和合作方面都负有一定的责任，以确保互联网服务和国际数据中心服务的健康发展。