立足于云，着眼安全

国内面向政企市场最重要的云计算会展 - CCS云计算高峰论坛 （ccs.d1net.com），于5月15,16日在北京国家会议中心盛大举行。同期举行的还有CENCE中国企业网络通信大会暨展览（cence.d1net.com）。

作为强调实战，重视落地的政企行业的IT盛会，历届CENCE和CCS荟萃了包括中国电信、中国移动、中国联通、法国电信、AT&T、IBM、HP、Dell 、Cisco、Avaya、微软、VMware、Oracle 、华为、中兴、NetApp、Salesforce、阿尔卡特朗讯等许多主流厂商。

今日，中国电信 亮相“云计算高峰论坛”，中国电信信息安全业务部总经理郭亮 发表精彩主题演讲，主题为“立足于云，着眼安全 ”。以下是现场速递。（声明：本稿件来源为现场速记，可能有笔误和别字，仅供参考）

中国电信系统集成有限公司信息安全业务部总经理郭亮

主持人：

下午是云应用和云安全的专场，最近几年的市场调研中，谈起云应用顾客的顾虑安全是被谈及最多的，如果安全问题失控将会是灾难性的，这被国内政企市场遥遥领先的中国电信一直在不断的被探索。

接下来有请中国电信系统集成有限公司信息安全业务部总经理郭亮先生立足于云，着眼安全。有请！

郭亮：

云计算的发展让很多草根也不会装系统，传机器，都有这样的平台应用，SIE还有中国电信等公共开源的云平台给我们带来很多的空间。回到主题，电信立足于云着眼于安全是怎么做的。

我自己讲了好几年，讲的有一点儿乏味，无非是把系统安全的问题到云这边以后，虚拟主机如何做一些防护。导来导去唯一比较强调的感觉，随着年龄的增长会算帐了，说白了从技术走向管理会算帐了，云计算就是很好的算帐工具。为什么这么说，少花钱多办事，少买服务器多给用户提供资源多赚点钱，这其实是云计算未来不可避免的趋势。同时国内一些新的观点，云计算的发展慢慢会颠覆传统的安全。因为过听说过很多政府，运营商，像阿里这样的企业都在建立云，这里边什么安全功能都有了，其实你觉得大家还会去买防火墙吗，慢慢的这些应用过去，慢慢的会越来越小，所以我觉得云计算的发展是不可避免的。

最近有一个冲击的事情，我有一个朋友他在美国待了六年，去年12月份回来想创业，带着老婆孩子回来了，结果头一个月就让他好好的吸尘，在Tiwteo上看美国大使馆PF2.5的数据。他每天在美国大使馆Tiwteo页面上抓值，两小时抓一次，在两天之后也就是抓了24次，突然画不了了，Tiwteo已经不让他IP了，但是同时可以访问Tiwteo其他的页面。这个哥们的确是我认识的技术大牛，Tiwteo每天访问量是40亿，在40亿中做这么精准的定位拒绝掉你这样的访问行为，对于Tiwteo来讲是主动防御，他说人家玩的多溜。我们探讨这个话题，到底算云应用还是云计算，还是大数据分析，无所谓是什么，有价值的是真正我们现在在一个不可遇的云计算时代如何利用好资源，去解决一些实际问题。

从09年开始我们发布的天翼云中国电信，当时做天翼云的时候比较简单，就是想把传统的换一个名，我们想怎样用云计算做安全，当时想法还是很初期，因为老有厂商忽悠说我们推出虚拟防火墙，用了一两年以后发现也蛮不是这么一回事，加上自己那个时候被洗脑洗的差不多了，大概知道云计算是怎么回事了。在2001年的时候我们搞了这么一个东西，基于云安全服务，底层还是用一些电信的资源。包括了常规的计算机，存储，还有当时的各种防火墙、防御设备。在此之上我们做了一个即插即用的接口，说白了就是把软的东西装上去了，比如说原来是一个扫描器，买你一个盒子，当时的情况全国每各省IDC装一个，搞一个界面，每个省调度扫描，这就是当时的云计算。后来觉得也没有必要买盒子，那玩意本身也是装在盒子里的，不用买也可以，而且每一台自己的CPU内存计算资源，包括后边扫描出来的报告也都受盒子本身的限制。我们搞了一个系统，某安全检测是国家单位跟我们合作的，的确实现了通过路由牵引实现了蛮像云计算的调度。在此之上越来越像云计算，后来干了一个安全管理、监控，其实无所谓干什么，实际上他就把那些实时需要调动安全资源的东西，集中到一个平台上，在这个时候就是自己用，也开始卖了，扫一次多少钱，扫多大的量多少钱，逐步的基于云安全服务模式，在电信自己内部使用，慢慢的开始孵化出来。有多好，说句心理话也说不上，在运营商总有一些机会出去听比较牛的厂商学习、学习，忽悠、忽悠。在美国Google当时给我们开玩笑说，服务器当茶几用，泡杯咖啡也没有问题，人家觉得这种自信心，包括Tiwteo的事情对我们云计算应用来讲还是有一定差距的。

这是利用云计算资源的检查检测，当时的情况，计算资源做一个监测平台，实现一个云+端的世界监测，把引擎和样本放开弄，有一点儿创新，原来安全技术在设备时代把所有样本检测权放在一起共享计算资源，这样的话你的效率是有瓶颈的，说白了是抢CPU。放到云里边以后，他的样本会变的无限大，但是他的漏洞样本也开始做一些，样本本身会根据主要监测的对象，推送一些样本到我的监测端去，这样实际上利用了云计算弹性资源，也可以做海量的计算，往监测上的引擎推，这样真的提高效率。实验测是一个数据，非常快，原来几个小时、可能几分钟。云实现了规模集群和任务调度的粗扫描，端实现了精细扫描和本地的漏洞，他把这些漏洞样本做成一个端做一个匹配，这样的模式来进行。这里边把我我们看到的集群检测的调度做到里边，他可以从资源池里边抄计算资源，比如说平时的时候，我把这些资源释放出去，到晚上12点，就跟银行结帐一样，突然把所有的资源调度起来，然后去匹配。在此之上，可能把这些数据，还有一个海量式的分析，云计算在安全监测上应用到极致。

围绕这个，我们实际上做了一个应用实例，利用全网的弹性计算资源做监测，利用他的监测技术可以在网上针对政府、中小企业、金融企业提供监测，同时又结合IDC，利用IDC闲置一些资源，同时也在IDC上赚钱了，另外给购买的宽带客户提供增值服务。这方面通过云计算做的是6000万，现在这次再做是1400万，剩了1/5。应用价值倒是比较简单，以后再去做安全的时候，或者有一些应用托管到云里边的时候，不用买防火墙，不用买扫描器，他都帮你搞定。

他的功能是监控网络安全性，他可以全国多点，每两分钟检测一次，如果你是管理人的时候，通过监控云+端的技术，比对这些流量、这些情况是不是正常，他还能做系统监控。如果我们通过一个系统来做，很简单，必须系统一直开着，一直有人盯着，还要做监测，你的系统要做在线更新，云里边老往端里推就能搞定了。你给我一个IP，在云里边打开就可以用。这就像植物大战僵尸里边的灯一样，对我们是一个保护。

云防护，你要买防火墙，安全设备，更新规则，还要承担后果，这是传统的安全模式，应对这样的Web防火墙或者网站服务器。可以想象一下，我们猜，Tiwteo应该不会买防火墙，这就很典型。我们自己在用，买设备自己的网厅系统做应用，这些东西其实都已经不重要了。云顾虑，在黑客访问的攻击过程中，通过云防护，把黑客的东西全都洗白了，这里边用了一些云的模式，比如说CDN，当用户还是黑客访问我们的目标站，实际上他首先要用的一是发起连接，第二是服务器要跟你响应，这样在网络和路由以及服务器都要提供资源做开销。现在利用网络资源CDN技术的时候，把应用、网站页面推送到离你最近的地方，一是减小了我们自己的路由开销，第二让你的应用访问变的更快，口径快很多。这种情况下我们同时可以想象，对我的计算资源，数据内容也少了，后边真正的动态资源可以靠推送过去。目前在整个云里边，中国电信大网的规模是120G，但是他跟云还不能完全无缝结合，在云里边云计算内部的路子，也有路由的模式，目前还没有办法融入进去，我们也是买这样一些当地的资源放在云里边，目前可以实现2-5个G的抗攻击能力。

这种模式就是我刚刚讲到的，云计算整个趋势不可逆，就在于三个，省钱、省时、省心，业界做云计算的公司好像一个月用1200块钱就可以给你一个市面上卖20000块钱的服务器，这是利用云计算其中的模式来做管理，有一个DNS简单的说明一下，云计算本身应用的时候他是一个后台的计算资源，目前跟我们互联网的应用结合，他是传统的互联网的协议，所以他的资源还得靠这个来用，真正云计算以后目前内部策略还是之间的一个东西。随着云桌面包括整个私有云的发展，私有云的内部，我们的调动可以利用一些私有的协议，要么把DS捆在一起做，云+端的模式，端已经把这些问题都推送进去了。这是目前我们的一个应用情况，从09年开始到2011年，目前给2500多家政企客户提供服务，这说明大家对云的认可度高了，有一些是直接用放在云里边的计算，比如说扫描，有一些是中国电信自己云主机的客户。这是目前CTSCLOUD模式，可以在这里边调度你所需要的应用资源。

如果有需求可以加我们的微信。谢谢大家！ 

关键词:立足 云安全

分享到： 0