再看一下清洗中心要干的事情。这个中心是相对复杂的机制,检测结果已经送达到这个地方的时候,对引过来的流量还要做进一步分析,最终返回给用户干净的流量,这叫清洗。运营层面的考虑,DDOS在很多层面无论是小网站、数据中心本身还是运营商本身,最终会站到运营的角度看,经济上要考虑成本,问题集中在两点,一个是传统的本地化清洗方案已经很难满足上游管道拥塞问题的解决,大部分运营商都在云端寻找流量的清洗方案,运营商在微观上可以采取更多更好的异构设备,在更高层面控制DDOS流量的清晰。这里面要解决的问题具体来说是从外部供给网络的流量怎么处理,第二是本网内往外攻击的流量怎么处理,要解决这两个问题。
我们提出云清联盟这个思想,安全圈里提联盟的特别多,昨天又看到云安全服务的联盟在成立。这个联盟里我们希望有哪些成员在里面,一个是全球TOP50的运营商,第二是数据中心服务提供商,第三是抗击设备提供商,第三是专门搞安全服务运营的,华为这种做云安全的厂商。这个联盟的核心组件是三个,一是云安全的SOC,这是云查杀云的这端,核心是去感知资源,了解客户的需求,通过技术的手段确定流量迁移的方向和自费的这些技术。清洗中心要解决清洗的带宽能力,拥有ATP的协议,把各地闲散的或者本来就要用来做清洗的资源整合起来,共同来应对威胁。应急响应中心,所有的成员在里面都会按照固定的指令或者规则做整体的防御。云清联盟的全球化部署,我们希望构建全球化的网络,这个网络有一个云清洗的中心,这个中心可能是虚拟的,全球会有很多的分中心,加入联盟的成员有两种状态,一个他本身就是接受服务的,还有一种他本身有检测和清洗的能力,能够把闲散的资源贡献出来,为其他的客户提供服务。在这个时候某个成员在本地的时候,内部的DDOS系统去监控到的DDOS带宽如果超过他的处理能力,他就会把攻击检测发到云SOC,由云SOC来调度最靠近检测跟清洗的成员,启动防护。
在这样一个联盟的运作方式里,大家享受到不同的利益,一方面有些成员可以通过更强大的抗击能力服务于自身的联盟内的成员跟客户,资源在很大程度上90%的时候可能都是闲置的,闲置的时候可以贡献出来给大家。有一种好的模式,可以构建全球化的十个以上的清洗中心,通过大数据的智能调度完成清洗的任务。这个联盟里如果想要取得成功,需要让成员取得长期的价值跟短期的价值。短期就是让这个成员为自己的客户解决DDOS的清洗问题,通过服务来获得收益。长期可以在更大视野里获得全球的攻击数据跟趋势分析,也可以借助大平台将自己对安全服务能力推向更多的用户。如果我们在国内做得很好,如果说有这个联盟,清洗的能力、服务的能力能够通过平台收到全球其他的平台。
我把清洗的工作流程整理成四步,第一步很简单,在云清洗的管理平台里为客户提供清洗的服务提供商,这个可以针对用户的特点,因为用户对防御的级别或者自己应用的特点以及区域性会有些服务商的倾向,通过客户的本地检测设备实时的监控,如果一旦监控到超大流量的攻击,这个阈值设在这儿,云清的平台会把攻击事件实时上传,也会动态检测攻击流量可能达到的攻值,来判断需不需要调动云清外部资源来协同。这个时候会针对用户的流量来启动云清洗。清洗结果很简单,流量的分析报告里有一块相当于承担了清洗的总和,干净的流量要返回给客户,中间的流量差是攻击流量,攻击流量可以看到更加明细的东西,可以看到流量的内部,它的构成是什么。对于客户来说,他可以通过客户化的Portal看到所有运作的过程和攻击的效果,实时地反馈用户的数据和相关的请求及攻击的数据。
整个工作流程看起来非常简单,现在的困难主要是怎么构建商业的联盟,本质上是商业的联盟,支撑这个商业联盟的后端有很多技术,底层有检测的技术,检测技术在不断的变化,我们必须要更跟进威胁变化的方式,为客户提供更好的检测服务。全球化的清洗中心,运营商和一些数据中心都可以加入进来,最后为全网的用户提供网络层面的安全共同体。联盟更像全网的协作机制,这种机制能够为互联网所有处在这个系统里的人,有能力的提供更多的能力服务于其他的人员,有问题的,全球有更多资源来响应,通过这种机制抗力的问题在一定程度上会持续得到抑制,未来网络演进也会帮助我们有更好的办法去帮助我们解决,谢谢大家!