唱吧技术负责人马星显日前接受记者的采访,针对安全技术趋势以及唱吧应对安全挑战的实践进行了解析。他认为,借助云端专业的安全服务,企业能够更好地享受到最新安全技术带来的利好。
![图片描述](/ueditor/php/upload/image/20160425/1461548061102325.jpg "\")
唱吧的安全挑战
云、数据和互联网的结合使得现代应用的触须能够延伸到世界每一个角落,同时应用边界的无限扩大也带来更严峻的安全难题。对于从社交K歌移动应用起家的唱吧公司而言也是如此。
唱吧的业务目前除了核心唱吧APP外,已经增加了唱吧直播间、线下的实体店以及唱吧麦克风硬件等多业务结合,唱吧用户也达到了亿级(按照APP装机量3亿计算),是典型的成熟型创业公司。在业务快速发展的同时,颇具规模的自建IT(5个机房数百台机器)也逐渐呈现出资源相对紧张的态势。唱吧意识到,云计算是大势所趋,其一键访问、快速扩容的能力正是业务快速发展所需要的,于是唱吧开始了阿里云之旅(唱吧CEO陈华曾供职于阿里巴巴技术部门,对阿里云团队和技术都有较深的了解和信任)。
这其中,最重要的是安全问题。首先,对于互联网公司而言,如果出现安全漏洞,用户资料泄露导致用户资产的损失,会造成严重的后果,公司的声誉也将因此受损。其次,当前泛滥的DDoS攻击,简单粗暴,却是业务处理能力和响应速度的天敌,对用唱吧的户体验和业务发展会带来严重的影响(马星显介绍,假如唱吧遭遇DDoS攻击,峰值流量可达每秒100G)。此外,对于业务的长远发展而言,内容层面的安全也是必须考虑的事情。因此,唱吧将安全视为必需品,从管理机制、技术手段各个方面保证服务的安全性。
使用了云计算资源之后,唱吧认为安全环境需要考虑更多的因素。马星显表示,在传统自建IT环境下,物理隔离限制内网访问,并由专人来做安全,可以相对放心。而采用云计算之后,首先第三方资源天然会引发唱吧和用户的不信任感,其次云计算资源和自建IT之间存在数据交换,理论上确实增加了出现安全问题的可能性。
唱吧安全体系构建思路
唱吧在快速发展阶段,并不希望在核心业务拓展之外花费太多的精力,决定采用专业且部署方便的云上安全服务。
唱吧采用了阿里云的云盾安全服务。云盾是阿里巴巴集团多年来安全技术研究积累的成果,结合阿里云计算平台强大的数据分析能力,为客户提供DDoS防护、主机入侵防护以及漏洞检测、木马检测等一整套安全服务。唱吧对其中的攻击检测、DDoS高防IP等能力很看重。其中,DDoS高防IP除了用于公共云资源的防护,还部署到了唱吧自建的机房。另外,唱吧最近还尝试了基于深度学习的云盾绿网,用来全方位检测网站内容是否违规,包括黄色图片的鉴定。
选择阿里云,首先是因为唱吧采用阿里云服务之后,双方技术团队一直保持良好的沟通,所以对阿里云团队非常信任;其次,唱吧认为阿里云在安全技术上确实有独到之处。
以DDoS的防御为例,市面上的产品很多,唱吧也考查了其他品牌的产品,最后选择阿里云盾,主要是基于以下几个方面的考虑:
性价比,一些其他厂商的解决方案虽然报价更加便宜,但综合考虑技术成熟度、服务质量,唱吧认为还是阿里云盾的性价比更好。
阿里云云盾可以和阿里云计算资源很好地结合,不用跨平台部署,非常便捷。马星显表示,决定采用阿里云云盾之后,通过自助服务,只需要一个上午就可以很容易地部署完毕。
大数据分析是阿里云的另一个优势,阿里云作为云计算资源的提供者,同时也提供防御DDoS攻击的能力,它可以掌握网络中大量的流量数据,在足够样本数据的支持下,大数据以及统计机器学习可以派上用场,用来DDoS攻击发起者控制肉鸡的规律。
马星显认为,将大数据和机器学习技术应用于在安全领域是很好的技术方向。在没有大数据和机器学习之前,应对安全挑战一般是人工发现问题,如发现IP、攻击端口,但通过机器学习训练出高精度模型之后,机器发现问题的效率比人会高很多,反应速度非人工可比。马星显还猜测,当安全公司掌握的训练数据足够,还有可能从源头上阻击DDoS攻击或入侵行为,而不是像现在等攻击流量到DDoS高防IP上才能过滤。当然,对于唱吧来说,独力研究用大数据和机器学习判断攻击者的模式,这是无法承担的,因为性价比太低,但阿里云的安全团队做起来是顺理成章的事情。
从实际使用效果来看,唱吧对阿里云盾目前的表现很满意。马星显表示,在采用阿里云盾之前,单个机房带宽资源有限,对DDoS攻击的防御能力不强。但在经受过双十一考验的阿里云盾的防护之下,即使在100GB的峰值流量之下,唱吧业务也只会受到轻微影响。
未来安全规划
安全工程师经常说,安全是一场没有终点的战役。对于唱吧而言,随着业务的发展,提供的服务不断多样化,新的安全问题必然会出现,同时随着用户规模的增大,安全的重要性还会增加。马星显表示,唱吧将会从两个方向来保证安全。
针对公司内部人员的管理,保持严格的安全和审查制度,并随着公司业务的发展和组织机构的变革及时按需更新,以保证机制上的安全。
采用专业的第三方技术服务减轻自身的安全压力,比如借助阿里云云盾这样的专业产品来协助公司实现网络安全。
对于未来的安全需求,马星显预测,除了DDoS之外,更多将会集中在UGC内容的安全方面。随着唱吧平台上图片、视频内容的增多,其中可能会带来的违规信息,会对绿网的效率提出更高的要求,希望深度学习技术能够云盾绿网带来更高效的图片和视频处理能力,从而提高业务安全的保障能力。
