云计算安全问题解决方案

云计算安全问题解决方案篇一：云安全的现状、问题及对策分析云安全的现状、问题及对策分析 摘 要随着新技术的不断发展,云安全走进了人们的生活,它利用互联网的传输及计算功能，将原来放在客户端的分析计算能力转移到了服务器端。 “云安全”技术的应用越来越广泛,这项技术将在传统的病毒防御技术的基础之上,建立起更加完备的立体型的安全防御体系。随着云技术的不断发展,将会有更多的使用群体加入进来,那时云安全技术的发展以及安全的“云”将会具有更大的影响力,将会有越来越多的用户受益于“安全云” 。此次研究探讨了国内外云安全研究现状，指出云安全当前面临的主要问题，再以主流云安全厂商为例，为未来日子里的“云安全”建设提供防护建议，对云安全检测软件也具有一定的借鉴参考作用。关键词：互联网；云安全；应对策略 绪论 选题背景和意义 云计算引起的安全事件和风险相对于传统应用要高出非常多，其原因是用户及信息资源的高度化集中。自 XX 年起，Microsoft、Amazon、Google 等 IT 企业云计算服务器发生重大安全事故使众多客户的信息服务遭受影响，这都让业界对于云计算应用安全的忧虑与日俱增。 云安全的现状、问题及对策分析 图 1-1 云安全信任危机 数据来源：杨光华 伴随着信息技术的更新换代，云安全进入了人们的视线，它运用了互联网的传输和计算功能，把分析计算能力从原来的客户端挪到了服务器端。云安全技术的应用层面越来越广，在未来，它会在传统的病毒防御技术的基础上构建起更完善的立体型安全防御体系。在不久的将来，会有更多的使用群体受益于“安全云” ，届时云安全技术的发展和安全的“云”会造成更大的影响。此次研究旨在为未来日子里的“云安全”建设提供防护建议，对云安全检测软件也具有一定的借鉴参考作用。 文献综述 从 XX 年开始， “云技术” 、 “云计算”和“云安全”等相关“云”词汇便开始进入我们生活，面对互联网新的一股技术浪潮，各界都有着自己的看法，对“云”的探讨从未停止。 SpringBoard 分析师副经理刘经纬在 XX 年表示，使用公有云的企业可以通过租用公有云服务的方式来达到减少硬件投资的目的，然而若企业对于可用性要求会高一点的话，则需要投入大量资金购买私有的基础设施等方式来构建私有云。 天云科技韦轶群在 XX 年表示，要实现较好的运算云计算中心仅仅用小型服务就可以做到，若是运算量大又要求效率高的话，大型服务器则是必须的，例如天气信息的计算等等。 曙光天演信息技术有限公司副总裁聂华在 XX 年表示，尽管云计算技术的确不够成熟，但是传统运作模式也因之被注入了更多的活力。就好像大家用的谷歌搜索引擎那 范伟,云计算及其安全问题探讨田J,保密科学技术,XX(10) 胡晓荷，云安全网页挂马的克星J，信息安全与通信保密，XX（2）:31-32. 2 样，我们可以通过购买服务等模式让生活更加简便，这也是我们看到的云计算的发展希望。应用程序安全公司 Veracode 的共同创办人及首席技术官 Chris Wysopal 在 XX 年表示，由于应用程序已经转移到云提供商的原因，现在对于应用程序在公司内部范围内能够接受的风险问题要重新慎重考虑。 CSA 的创办会员 Dennis Hurst 在 XX 年指出，之所以大多数应用程序的存储方式、数据传输的方式的安全性被认可，是因为它们都是在企业数据中心的基础上建立起来的。 Zscaler 的 Sutton 在 XX 年指出，身处云环境中时，企业使用的安全工具及服务不可以和公司内部的一样，例如网络应用防火墙等等。举个例子说明，企业使用网络应用防火墙来提高传统应用程序的安全级别，那么在云里则不能再次使用这种工具了。 惠普的 Hurst 在 XX 年表示，改善云安全状况的一个机会是将传统的应用程序挪往云环境里。 中国联通研究院研发部副经理张云勇 XX 年在接受采访时表示，云计算由传统分布式计算发展过来的，可不能说只是新瓶装旧酒。 鲍尔墨在 XX 年表示计算机领域的下一个阶段是云技术，这也是互联网赐予人类的礼物。 德国信息技术、通信及新媒体协会主席迪特尔肯普XX 年在汉诺威信息及通信技术博览会上接受新华社记者专访，说到：“单单从技术层面观看，云计算的发展是符合逻辑的；若是从调整自身基础架构和企业的应用来说，这是革命” 。 趋势科技大中华区执行副总裁张伟钦 XX 年表示：“我们公司为了中国的云计算用户给在极早期便作出了大量投资和北京的云基地谋求共同发展，给他们提供最先进的、全生命周期的混合云管理安全解决方案” 。11 吉义，沈千里，章剑林，沈忠华，平玲娣，云计算：从云安全到可信云.计算机研究与发展J.中国信息界，XX(11) 潘剑锋，主机恶意代码检测系统的设计与实现D，安徽：中国科学技术大学计算机科学与技术学院出版社，XX. 肖珑，张翠，鹿凯宁，基于趋势和瑞星云安全方法的改进设计J中国教育网络，XX，2:86-87 游项锋，打造安全的网络环境之“云安全” ，电脑编程技巧与维护J， 商务现代化，XX 年（7） 余娟娟 ，浅析“云安全”技术J，计算机安全，XX（09） 张茜，云安全环境下的恶意代码前端检测技术研究D，安徽：合肥工业大学计算机与信息学院出版社，XX. 朱芳芳，云安全实现措施的研究J，商品与质量.XX 年（6） Jon Oberheide,Evan Cooke,Farnam anivirus:Executable analysis in the network cloudC.USENIX Association,Boston,MA:2nd USENIX Workshop on Hot Topics in Security,XX-08. 11 Yan W,Ansari anti-virus products slow downn your machine?C.San Francisco,California,USA:Proceedings of 18th International Conference on Computer Communications and Network,XX. 云安全的现状、问题及对策分析 图 1-2 业界探索云计算安全体系架构 数据来源：杨光华 概念界定 云技术：即云计算（cloud computing） ，是一种分布式计算技术，通过网络自动把海量的计算处理程序拆分成无数个子程序，然后让众多服务器形成的庞大系统经过搜寻、计算、分析过后把处理的结果回传到用户手里。有了这门技术，网络服务供应商能享受到像“超级计算机”一样的超高效网络服务，在仅仅几秒内就可以处理上千万甚至上亿的信息。 表 1-1 云计算与传统方式的对比 云安全：“云安全（Cloud Security） ”，融合了未知病毒行为判断、网格计算、并行处理等技术，透过网状的海量客户端监测异常软件行为，把最新获得的木马及恶意程序交由 Server 端作分析处理并将木马病毒的解决方案发放到每一个客户端。4 图 1-3 云安全概述数据来源：杨光华 按需的自服务：云计算服务区别于传统网络服务或者普通的 IT 服务的特点是它不需要人工干预即可自助服务，比如缴费、开通服务、变更配置等等。 快速弹性架构：云计算服务的用户不必再为系统规模的扩大缩小而烦恼，这些只要点下鼠标就能轻松解决。 软件即服务（SaaS）：用户可以在服务提供商端获取完备的应用程序，只要网络连接便可以使用，但只可以对其做小幅度的改变，不能作调整。无论是前台的办公应用，还是后台的客户关系管理、数据分析，亦或业务流程管理及人力资源管理等，全能在云端取得支持。 平台即服务（PaaS）：一种能为使用者提供特定的平台、工具，将其所开发的应用程序部署到云上运行的服务。服务提供商让用户自行编写新的程序，且提供给他们一个构建、部署和管理的平台（架构与软件系统） ，从而迅速将程序部署在互联网。这种服务能让开发者省去大量软硬件成本，支持特定形式的程序语言及环境。 架构即服务（IaaS）：出租基本运算和储存能力的服务，一般来说指服务器，包括网络、CPU、储存资源、操作系统和其他的资源。云服务提供商接受企业的委托为其提供企业内部所需的架构，这样，IT 基础架构也成为了服务。用户无需对云端底层基础架构进行管理，然而还是可以对操作系统、网络、储存和所部署的应用程序有所掌握。服务提供商会为用户提供虚拟机，计价方式是以实际使用量来计算。 篇二：云计算安全问题探讨新 技 术 论 坛 论 文 陈艳华 XX30457109 10 计科 云计算在互联网中的安全问题探讨 摘要：云计算是一种基于互联网的大众参与的计算模式，其计算资源包括计算能力、存储能力、交互能力等，都是动态的，被虚拟化了的，而且是以服务的方式提供。在这个特殊的云计算环境下，如何保证存储在云上的数据的安全，将是云计算面临的一个大问题。云计算应用模式下的移动互联网安全问题及关键安全技术研究，对完善移动互联网安全技术体系保障移动互联网演进安全具有重要的意义。 关键字：云计算、互联网、安全问题 一、 引言 由于互联网的急速发展，存储、计算机能量消耗，数据急剧增长，成本也随之升高，原始的互联网系统与服务设计已经不能解决上述种种问题，互联网急需新的解决方案，同时，大型企业必须充分研究数据资源，才能支持商业行为，数据的收集与分析必须建立在一种新的平台上，于是，XX 年,一个称为“云计算”的概念首次被 Google 提出，这是一个美丽的网络应用模式。随后，这一 IT 技术风暴席卷了整个 IT 界，为全球 IT 界带来了一场全新的变革。云计算是在分布式计算(Distributed Computing)、网格计算(Grid Computing)、并行计算(Parallel Computing)等发展的基础上提出的一种新型计算模型，是一种新兴的共享基础框架的方法，它面对的是超大规模的分布式环境，核心是提供数据存储和网络服务。 由于云计算不同于现有的以桌面为核心的数据处理和应用服务都在本地计算机中完成的使用习惯，而是把这些都转移到“云”中，它将改变我们获取信息，分享内容和相互沟通的方式，于是，随之产生的是客户的重要数据和应用服务在云中的安全问题。 二、 云计算概述 1、云计算概念 近几年来，随着科技的发展， “云计算”一词正在变身一只超大容量的筐，SOA、虚拟化、SaaS、网络服务、网格都能往里装。而对计算本身而言， “云”模式让网络成为一个界面，一个标准交流插座，为用户提供更为方便的服务，而这正是新一轮技术创新的动力，也是众多厂商争相进入的因素。 目前，对于云计算还没有一个公认的统一定义。下面列举几个定义：1)、提供资源的网络被称为“云” 。 “云”计算是“计算即服务” （Computing as a Service, CaaS)，即计算资源作为“服务”可以通过互联网来获取。在“云”里可能有成千上万台计算机，但对于“云”外面的使用者来说，他看到的只是一个统一的“服务” （或接口）界面，就像在使用一台巨大的虚拟“计算机” ，用户可以通过互联网像使用本地计算机一样使用“云”计算机。 2） 、云计算就是让你把所有数据处理任务都交给网络来进行，由企业级数据中心（其功能超级强大）负责处理客户电脑上的数据任务，这样就可以通过一个数据中心向使用多种不同设备的用户提供数据服务，从而为个人用户节省硬件资源。 3） 、Gartner 对云计算的定义是：“一种计算，通过互联网技术将可扩展的弹性 IT 相关功能以服务的形式提供给客户。 ” “云计算能从各方面确保服务的灵活性、创新性、简捷性以及经济价值” 。 2、云计算特点 云计算作为一种新兴的应用计算机技术，拥有高可靠性、动态可扩展性、超强计算和存储、虚拟化技术和低成本等显著性的优点。 然而任何以互联网为基础的应用都存在着一定的危险性，云计算也不例外，云计算服务除了提供计算服务外，还必然提供了存储服务。但是云计算服务当前垄断在私人机构（企业）手中，而他们仅仅能够提供商业信用。对于政府机构、商业机构（特别像银行这样持有敏感数据的商业机构）对于选择云计算服务应保持足够的警惕。一旦商业用户大规模使用私人机构提供的云计算服务，无论其技术优势有多强，都不可避免地让这些私人机构以“数据（信息） ”的重要性挟制整个社会。对于信息社会而言，“信息”是至关重要的。另一方面，云计算中的数据对于数据所有者以外的其他用户云计算用户是保密的，但是对于提供云计算的商业机构而言确实毫无秘密可言。这就像常人不能监听别人的电话，但是在电讯公司内部，他们可以随时监听任何电话。所有这些潜在的危险，是商业机构和政府机构选择云计算服务、特别是国外机构提供的云计算服务时，不得不考虑的一个重要的前提。 三、云计算在 IT 公司的应用 Google Google 声称云计算将是其下一个梦想：目前，Google已投资建立了全球最大的数据中心，提供的云服务有：Google Apps、Google Dos 等。Google Apps 为用户提供了类似 office 的文字、电子表格功能还有电子邮件、IM、日历、网页创建等服务，可以实现协同办公。Google Docs是 Google 出品的一套在线办公软件。可以处理和搜索文档、表格、幻灯片，并可以通过网络和他人分享，有 google 的帐号就能使用。若云计算真是未来的方向，那么 浏览器才会是用户端唯一重要的软件。因此，Goosle也于 9 月 2 日推出了自己的测览器Chrome，这是Google 在云计算战略中的重要一步。由于 Google 的所有软件都是以网络应用为基础通过互联网在浏览器中运行，因此，云计算正在使 Goosle 成为这个新时代的主宰者。 IBM 过去 10 年，IBM 一直都是新概念的发明者，从“随需应变”到“全球整合企业” ，IBM 一直站在信息产业的风头浪尖。如今，却与已成为未来商业风向标的 Google 一起推广云计算这个概念。6 月 24 目一天内1BM 同时在北京和南非约翰内斯堡成立了两家云计算中心：7 月 7 日，荷兰阿姆斯特丹又有一家云计算中心诞生。IBM 计划在今年年底之前在全球建成至少 10 家云计算中心。IBM 在中国北京的云计算中心称为“蓝云” “蓝云” 。是基于 IBM Almaden 研究中一 L,(Almaden Research Center)的云基础架构，包括Xen 和 PowerVM 虚拟化、Linux 操作系统映像以及 Hadoop文件系统与并行构建。 微软 微软是 PC 时代的缔造者，微软首席软件设计师雷-奥兹表示，Web 已经取代 PC 成为数字时代的中心。所以，微软也将战略重点从“端”移到。云一一端” 。在去年 PDCXX的主题演讲中，微软首席软件架构师雷-奥兹宣布了微软的云计算战略以及云计算平台?一 Windows Azure。Windows Azure 以云技术为核心，提供了软件+服务的计算方法。微软抛出了即将在距离美国东部 130 英里处的得梅岗创建云计算数据中心的计划，以此来支持软件+服务的计算方法。 四、云计算发展过程中的安全问题 虽然云的应用和推广已经势在必行，但是从诞生开始，它的安全就一直为人们所诟病。当所有的计算行为和数据存储都散布在聚散无形虚无缥缈的云中的时候，人们将会普遍感到失控的恐慌，并毫无例外地产生云是否会破坏他们的隐私进而损害他们的权益的质疑。 由 CA 公司委托美国安全研究机构 Ponemon Institute 进行的一项最新调查表明，IT 专业人士担心，如果公司采用云计算，则敏感数据将可能落入坏人之手。同时，许多受调查者承认，一些可能已经采用云计算的公司的员工忽略了这些风险。 云的安全和传统的安全到底有多大的差异？需要在哪些方面给予特别的注意？如 CSA 在其发布的“Security Guidance for Critical Areas of Focus in Cloud Computing”中所言：在安全控制方面，云与其它 IT 环境相比并没有很大的不同；但是，在服务模型、运营模型以及用于提供服务的相关技术等方面，云可能会导致与以往不同的风险。 以云的服务模型为例，对于当前已经为人们熟知却未必非常合理的三种模型：IaaS （Infrastructure as a Service） 、PaaS（Platform as a Service）和 SaaS（Software as a Service） ，NIST为它们做的定义如下：- SaaS：为用户提供在云架构上运行的应用的服务。用户可以从多种多样的瘦客户设备经由瘦客户接口（例如web 浏览器）对应用进行访问。用户不需要管理或控制底层的云架构（包括网络、服务器、操作系统、存储，甚至包括个别的应用能力） ，而只需要关心有限的一些需要他们做特别设定的应用配置； - PaaS：为用户提供将其应用（可能是用户自己创建也可能是从别处获取）部署在云架构上的服务，而创建这些应用的编程语言和工具必须得到服务提供商的支持。用户不需要管理或控制底层的云架构（包括网络、服务器、操作系统、存储） ，但是他们需要对被部署的应用进行控制，还有可能要对应用环境进行配置； - IaaS：为用户提供处理、存储、网络以及其它基础计算资源的服务，用户可以在其上部署和运行包括操作系统和应用在内的任何软件。用户不需要管理或控制底层的云架构，但是他们需要控制操作系统、存储资源以及被部署的应用，还有可能要对某些网络部件（例如主机防火墙）进行有限的控制。 从这三种云服务模型的定义中，不难看出尽管用户已经将他们的计算和存储都托付给了云，但是在享受服务的过程中他们并不可以做甩手掌柜，特别是在安全策略方面，更是绝对不能寄希望于云提供商去解决所有的问题。三种云服务模型的安全防护在方法和责任上都有所不同：SaaS为云提供商提出了最高的安全要求，使得他们需要建立从顶层应用到底层硬件的整体防护体系以确保服务的安全，从而承担了绝大部分安全责任，但是这也限制了用户的自由发挥；相反的，IaaS 给予了用户足够的自由度构建自己所需的计算环境进而开发或部署所需的应用，但是它也要求用户必须自行管理计算系统层次架构中除底层硬件以外的所有层次，而提供商只需考虑硬件层的安全问题；PaaS位于其它两种服务模型之间，既需要服务提供商提供基本的安全防护，又需要用户针对实际需求进行有差异的安全配置，才能构成完备的防护体系，但这也使得提供商和用户之间的责任边界变得模糊。 那么云计算到底存在着哪些安全问题呢？ 1、首先，在技术方面，按照 Google 的理念，如果云计算得以实现的话，那么未来人们在本地硬盘上几乎不保存数据，所有的数据都在“云”里，一旦发生由于技术方面的因素导致的服务中断，那么用户只能束手无策。 2、其次、“云“对外部来讲其实是不透明的。云计算的服务提供商并没有对用户给出许多细节的具体说明,如其所在地、员工情况、所采用的技术以及运作方式等等。 当计算服务是由一系列的服务商来提供(即计算服务可能被依次外包)时,每一家接受外包的服务商基本上是以不可见的方式为上一家服务商提供计算处理或数据存储的服务, 这样,每家服务商使用的技术其实是不可控的, 甚至有可能某家服务商会以用户未知的方式越权访问用户数据。而且,虽然每一家云计算方案提供商都强调使用加密技术(如 SSL)来保护用户数据,但即使数据采用 SSL 技术进行加密,也仅仅是指数据在网络上是加密传输的,数据在处理和存储时的保护仍然没有解决。尤其是在数据处理的时候,由于这时数据肯定已解密,如何保护,很难解决,即使采用进程隔离类的技术一定程度解决了,也很难赢得用户的信任。三、 云计算中安全问题的应对措施 1 对保存文件进行加密 加密技术可以对文件进行加密，有密 码才能解密。加密让你可以保护数据，哪怕 是数据上传到别人在远处的数据中心时。 2 对电子邮件进行加密 电子邮件是以一种仍能够被偷窥者访 问的格式到达你的收件箱。为了确保邮件 安全，可以使用 Hushmail 或者 M utemail 之类的程序自动对你收发的所有邮件进行 加密。 3 使用信誉良好的服务 建议使用名气大的服务，它们不大可 能拿自己的名牌来冒险，不会任由数据泄 密事件发生，也不会与营销商共享数据。 4 考虑商业模式 收取费用的互联网应用服务可能比得 到广告资助的那些服务来得安全。所以在选择存储环境时，首先考虑付费存储。 5 阅读隐私声明 在将数据存储到云计算环境中的时候， 一定要阅读隐私声明，因为几乎有关互联网应用的每项隐私政策里面都有漏洞，以便在某些情况下可以共享数据。这样你就可以确定应该把哪些数据保存在云计算环境，哪些数据保存在自己的电脑中。 6 使用过滤器 Vontu、Websense 和 Vericept 等公司提供一种系统，目的在于监视哪些数据离 开了你的网络，从而自动阻止敏感数据。 7、安全传输 数据在网络传输到云中处理过程中需要得到保护，在传输过程中使用 SSL,PPTP 或 VPN 等不同的方式。 另外在云计算服务提供商层面上，也应采取相关措施让用户放心使用云计算服务。 首先，云计算服务提供商最好是本国注册且数据中心、总部或资产在本国的大规模企业，具有长久的存续能力。只有这样，才能保证其能够尊重驻在国法律并受驻在国法律的监管，长久提供稳定、安全、可靠的服务。在发生事故后，由于其总部或资产在驻在国境内，因此赔偿或追讨可以顺利进行。在中国，这样的企业或组织包括大型 IT 服务商和开发商、电信运营商、银行、保险公司、各个高新技术园区、政府机构等。 其次，云计算服务提供商应该遵循相应应用的开放标准，尽量不采用私有标准。如果没 篇三：云计算的安全问题1. 前言 云计算已经是非常火爆的概念了，涉及的服务也非常多，弹性计算服务、文件存储服务、关系数据库服务、key-value 数据库服务等等不胜枚举。本文将简要阐述一下弹性计算服务的安全问题，因为弹性计算是应用得最普遍的云服务，也是安全风险最大的云服务。 由于许多东西涉及公司机密，技术细节、实现或者新的方向，本文中不进行讲解。有兴趣的可以投一份简历过来，我们共同为云计算努力。 2. 云计算带来的新风险 在云计算之前的时代，传统 IDC 机房就面临着许多的安全风险。然后这些问题毫无遗漏的传递到了云计算时代，不仅如此，云计算独有的运作模式还带来了更多新的问题。云内部的攻击 l 安全域被打破 在对外提供云计算业务之前，互联网公司使用独立的IDC 机房，由边界防火墙隔离成内外两块。防火墙内部属于可信区域，自己独占，外部属于不可信区域，所有的攻击者都在这里。安全人员只需要对这一道隔离墙加高、加厚即可保障安全，也可以在这道墙之后建立更多的墙形成纵深防御。 但是在开始提供云计算业务之后，这种简洁的内外隔离的安全方案已经行不通了。通过购买云服务器，攻击者已经深入提供商网络的腹地，穿越了边界防火墙。另外一方面，云计算内部的资源不再是由某一家企业独享，而是几万、几十万甚至更多的互相不认识的企业所共有，当然也包含一些怀有恶意的用户。显然，按照传统的方式划分安全域做隔离已经行不通了，安全域被打破。 l 新的攻击方式 传统 IDC 时代攻击者处于边界防火墙外部，和企业服务器、路由器之间只有 IP 协议可达，也就是说攻击者所能发起的攻击，只能位于三层之上。但是对于云计算来说，情况发生了变化。在一个大二层网络里面，攻击者所控制的云服务器与云服务提供商的路由器二层相连，攻击者可以在更低的层面对这些设备发动攻击，如基于 ARP 协议的攻击，比如说常见的 ARP 欺骗攻击，甚至更底层的以太网头部的伪造攻击。关于以太网头部的伪造攻击，我曾经遇到过一次。攻击者发送的数据包非常小，仅仅包含以太网头部共 14 个字节，源和目的物理地址都是伪造的，上层协议类型为 2 个字节的随机数据，并非常见的 IP 协议或者 ARP 协议，对交换机造成了一些不良影响。 l 虚拟层穿透 云计算时代，一台宿主机上可能运行着 10 台虚拟机，这些虚拟机可能属于 10 个不通的用户。从某种意义上说，这台物理机的功能与传统 IDC 时代的交换机相当，它就是一台交换机，承担着这 10 台虚拟机的所有流量交换。 入侵了一台宿主机，其危害性与入侵了传统时代的一个交换机新党。但是与交换机相比，是这台宿主机更容易被入侵还是交换机更容易被入侵?显然是宿主机更容易入侵。首先，攻击者的 VM 直接运行在这台宿主机的内存里面，仅仅是使用一个虚拟层隔离，一旦攻击者掌握了可以穿透虚拟层的漏洞，毫不费力的就可以完成入侵，常见的虚拟化层软件如 xen、kvm 都能找到类似的安全漏洞。 其次，交换机的系统比较简单，开放的服务非常有限。而宿主机则是一台标准的 Linux 服务器，运行着标准的Linux 操作系统以及各种标准的服务，可被攻击者使用的通道也多得多。 大规模效应 l 传统攻击风险扩大 为了方便让 VM 故障漂移以及其它原因，云计算网络一般的都会基于大二层架构，甚至是跨越机房、跨越城市的大二层架构。一个 VLAN 不再是传统时代的 200 来台服务器，数量会多达几百台、几千台。在大二层网络内部，二层数据交换依赖交换机的 CAM 表寻址。当 MAC 地址的规模达到一定规模之后，甚至可能导致 CAM 表被撑爆。类似的，ARP 欺骗、以太网端口欺骗、ARP 风暴、NBNS 风暴等等二层内部的攻击手法，危害性都远远超过了它们在传统时代的影响。 l 攻击频率急剧增大 由于用户的多样性以及规模巨大，遭受的攻击频率也是急剧增大。以阿里云现在的规模，平均每天遭受数百起起 DDoS 攻击，其中 50%的攻击流量超过 5GBit/s。针对 WEB的攻击以及密码破解攻击更是以亿计算。 这种频度的攻击，给安全运维带来巨大的挑战。 安全的责任走向广义 随着更多的云用户入住，云内部署的应用也更是五花八门。安全部门的需要负责的领域也逐渐扩大，从开始的保护企业内部安全，逐渐走向更上层的业务风险。 l 云计算资源的滥用 云计算资源滥用主要包括两个方面，一是使用外挂抢占免费试用主机，甚至恶意欠费，因为云计算的许多业务属于后付费业务，恶意用户可能使用虚假信息注册，不停的更换信息使用资源，导致云服务提供商产生资损。作为安全部门，需要对这种行为进行控制。 另一方面，许多攻击者也会租用云服务器，进行垃圾邮件发送、攻击扫描、欺诈钓鱼之类的活动，甚至用来做botnet 的 C&C。安全部门需要能准确、实时的发现这种情况，并通过技术手段拦截。 l 不良信息处理 不良信息主要是指云服务器用户提供一些色情、赌博之类的服务，云服务提供商需要能够及时识别制止，防止带来业务风险。3. 技术挑战 要解决上述的这些风险，基于传统的防御思路，