随着云计算在国内的发展,越来越多的云计算产品涌现出来。但是,由于公有云计算资源共享,资源调度的本质理念,导致安全性在公有云计算上重要性体现的异常明显。用户开始担心,代码是否安全,数据是否安全,传输是否安全。而平台提供商也要防范DDos,防范资源滥用,防范利用Web语言漏洞攻击等行为。
在QCon2012全球软件开发大会上,新浪云计算首席架构师丛磊介绍说,“新浪App Engin(SAE)从09年发展至今,针对云计算安全问题,从代码到数据,从存储到传输,从语言级解释器到系统层都做了相应的防护和改进。”
新浪云计算首席架构师丛磊
云安全是云计算特别是公有云计算研究中的重要方向,也是所有用户使用云计算都会关心的话题。人们普遍担心自己的数据放到云端没有了控制权,担心云计算服务商会泄露自己的数据。丛磊认为,云计算安全有四大特点,第一、资源共享性,由于云计算提供的服务方式就是多租户,大量用户共享服务,这就会引起一个人出现问题后而连带其他人遇到问题。第二、服务多样性,云计算的发展已经衍生出很多云服务,例如云主机、云空间、云开发、云测试等,服务种类的增加也会带来更多的风险。三、用户不可知性。四、规模不可预知性。
SAE在云安全方面分别从平台自身、用户数据、用户代码以及账户四方面考虑的。在用户的数据安全方面,以前是通过虚拟机来隔离,这样SAE承载过高,因此在2010年改进,通过三层来保护,SQL预判、并发执行时间和、以及慢查询配额。此外,SAE还提供了两种验证方式,Client Namespace-binding和SHA256 REST signature。MySQL跨应用授权可以在用户密码丢失的情况下,降低用户损失,用户可以将自己的数据库授权给一些应用,如果账号密码丢失,也没有权限访问没有授权的应用。在备份方面,SAE还提供MySQL备份机制、KVDB备份机制、TaskQueue备份机制、Counter/Rank备份机制。在应用防火墙方面,SAE提供IP黑白名单、访问频率控制、流入流出流量控制三种方式。
SAE云安全
在代码安全方面,SAE提供了PHP沙箱、Python沙箱和Java沙箱。此外,SAE还提供应用体检,查看页面性能是否有瓶颈,同时会检查漏洞,是否存在攻击隐患。在账户安全方面,SAE支持动态口令微盾,还可根据团队的项目不同角色定义不同的权限。同时,在云豆方面,还有预算设置,保护用户金钱不会被误操作而消耗光,才外,SAE还提供大额消费保护,保障用户的账户安全。
对于企业的安全,丛磊表示,新浪有7*24小时运维团队,团队成员都是拥有十多年的运维经验。同时SAE还提供SLA保证和补偿策略,对于平台自身问题所造成的平台整体性故障,SAE官方将针对平台付费用户进行一次性补偿,以弥补平台故障给用户网站及应用造成的损失。
