启用新博客http://www.icylife.net/blog/

感谢wofeiwo大牛的帮助，替我做了数据转换。

这个blog最初是4ngel写的sablog，然后被我改的乱七八糟，现在已经难以忍受了。

开始寻求一个方案，直接迁移到wordpress。

应xkungfoo的邀请，22号去了上海，在会上做了点简单的交流。并不是什么新东西，也不是我最想讲的，但是也只能如此了。ppt放在http://www.slideshare.net/im_yunshu/http-flood-and-mobile-app了，依旧是一贯风格，简单，内容都在讲话中。

大会就那么进行着，有意思的反而是出租车司机。22号晚上去找benjurry吃饭，打不到车。后来试了试快的打车，承诺加5块钱，很快有人接单。悲剧的是等接单司机到来期间，路过好几辆空车，本着守信的原则，一直哆哆嗦嗦的等着。上车司机就和我聊起打车应用，说快的打车不错。强生出租车公司也出了个app，宣扬的卖点是发布打车信息时不用告诉目的地。但是这个大力宣传的卖点恰恰是出租车司机最鄙视的，认为做得太差。我猜测做这个功能的本意是防止司机因为距离近不去接单，提升成交率。但是相反的，因为没有目的地，任何单出租车司机都没兴趣接，他们不想去冒险。这样看来，做设计还是多和用户谈谈吧。另外也说明，透明才是力量。

另一个出租车司机，大力表扬习老板，理由是长相稳重霸气，而且第一夫人也端庄漂亮，最后说到体育，狂骂刘翔，认为丢了上海人的脸，挺有意思的。

回杭州的高铁，组委会给我买了特等座的票，第一次坐，震撼到我了。而且我是情侣座噢，途中上来了个美女，估计是买到情侣座中的另一个位置，让我把我的包拿开，不过她坐了一会儿觉得尴尬，看看旁边的单人座是空的，就换过去了。—_—!!

又是好久不写日记了。前些时候忙，但是最近好了些，春暖花开，出去转了转。

前一篇博文描述了我2013年新的工作方向，主要思想是通过弹性主机和弹性网络进行安全设备的虚拟化。应tony之约，2013年1月12日在OWASP杭州的岁末沙龙上了做一个演讲，阐述了一下我的这个想法，这还是第一次在外部描述我的这个东西。在场的厂商和甲方还是挺有兴趣的，结束后和我聊了不少。不过在场也有很多是做渗透的，根本不知道我说了些什么东西，有点遗憾，也许过几年他们就知道了。

PPT可以在http://www.slideshare.net/im_yunshu/ss-15969834找到，不过需要翻墙，OWASP也提供了PDF版本，在http://www.owasp.org.cn/OWASP_Events/hangzhou20130112阅读。

在早期安全厂商不会真的支持，我没法一个人主导一场变革，只是一厢情愿而已。但是不管怎么样，我会尽力在阿里云先做起来，不管成败。

就我理解，弹性计算云（EC2）让计算能力成为资源，存储服务（S3）让存储成为资源，但是网络依旧是传统的模式，控制在服务提供商的手里，由他们给用户划分。

SDN能够用一种开放的模式让网络也成为用户可以立即获得的资源，按照自己的需要更改网络结构，不再局限于物理布线。在安全上，我们能通过这种技术让扁平的虚拟化网络变得立体起来，将安全设备虚拟化部署进弹性计算云网络中。这个过程充满了无数的机会，也是我下面要做的事情。

SDN只是一种思想，让网络流变成软的可随意折向，同时可以跨厂商跨设备互操作。我们可以用不对基础架构做大变动的其它技术实现流控制，代价是放弃掉开放性。

让用户安全，并且让用户感觉到安全，并且让用户知道外面很危险但是我们这儿很安全。好了，进入正题。

昨晚躺在床上拿ipad刷腾讯微博，看到一个测试三年后月薪的小游戏，就点过去看了看。微博app打开一个新的层，这个新的层展示了一个页面，让输入QQ帐号和密码。到这里，我就开始纠结了。因为在ipad上，是看不到这个页面的URL地址的——虽然它看起来非常像腾讯的oAuth认证页面，但是万一是钓鱼的怎么办？不但打开后的页面看不到地址，微博上发出的那个的URL也被缩短了看不到实际地址，被钓鱼的风险还是很高的。再退一步，即使腾讯在这里做了钓鱼防御，但是用户不知道，用户本能的感受到了威胁，没有被保护的感觉。

回到PC上，这里又没有太大问题，浏览器里面清楚的显示了页面的地址——当然，这也很挫，眼神儿总有不靠谱的时候。oAuth就不是个好东西！

随着移动客户端的兴起，安全不好做啊，很多PC上正常的东西换到这里就不成，最近我是颇多感受。

9号在杭州海外海的阿里云开发者大会上介绍了一下我们在弹性计算云环境中做的安全方面的工作。这里稍微讲一下要点，PPT就不贴了——我写的PPT一般都没什么意义。

在弹性计算云中，传统的网络策略会遇到很多挑战。第一，传统的网络中，用户比较单纯，就是内部业务。而现在信任破裂了，用户与云服务提供者、用户与用户、用户与外部都是互为潜在攻击者——黑暗森林状态。第二，以前攻击者在企业网外部，而现在则可能直接深入企业内部，发起一些以前难以进行的攻击，如ARP欺骗、以太网头部欺骗等等。第三，大二层网络结构，宿主机承担部分交换功能，让ARP欺骗、以太网头部欺骗、DDOS攻击威力变大。第四，并不是所有流量都经过交换机，以前的集中控制失效，让前三点风险更难应付。

我们的梦想是让每一个用户住单间，并且在每个单间加一个锁，防止别人打进来，也防止用户打出去。而现实是弹性计算架构只能提供通铺（宿主机），通铺上住好几个人（VM），他们半夜直接就可以滚床单了。

为了解决这些问题，厂商和业界有许多新的解决方案。思科的方案是私有的VN-TAG以及802.1BR标准。VN-TAG做法是通过VMM或者网卡驱动把所有的包都强制转发到交换机，并在以太网报文中插入一帧代表不同VM，用以寻址。HP的方案是VEPA以及基于VEPA的802.1Qbg，类似思科的强制转发，但是不改动以太网报文结构而是修改生成树协议实现发卡弯。对这两种技术，我的观点是它们只不过是个模拟器，将分布式的云网络模拟层传统网络然后再使用传统控制。

额外的，openflow技术的SDN网络是目前最热门的技术。我个人的看法是，SDN的好处在于物理结构不再重要，管理人员看到的是逻辑结构。相比而言，传统架构已经使用模拟器模拟后的运网络，都是硬铁管，管道如何铺设流量就如何流动，但是SDN用的是软管，可以在流动的时候实时的弯曲管道引导流量的动向。SDN的实现方式有两种，一种是和VN-TAG、VEPA之类的模拟器结合，模拟器把流量引向网络，然后网络交换机支持SDN标准。另一种是在宿主机上纯软件或者基于芯片实现，将SDN做到网络的最尽头——这是我更细化的一种。

目前而言，阿里云还没有使用上面的任何一种技术，SDN还处于研究、评估状态，我们用的是基于VMM的分布式的控制方法。在安全上，将VM按照用户分组，保证每个用户一个单间。每个单间配备固化的默认安全策略，这个策略随着VM的迁移而迁移。固化的策略中，我模拟实现了思科的DAI技术，当时将之扩大。弹性计算控制器记录分配给每个VM的IP地址和MAC地址，在报文发出时检测ARP头部和IP头部，发现伪造即丢弃报文，额外的，我还对以太网承载的上层协议类型做了基于白名单的过滤。其它的镜像基线加固，端口扫描就没什么好说的了，与传统差别不大。

实现了安全的网络基础架构之后，我们还做了业务层的安全。做业务安全的原因很简单，用户有的不懂安全，有的知道安全但是做不到，有的做得好但是不愿意做——毕竟发展业务重要啊。用户不愿意做的事情，那么我们来做。就像打dota，我们安全来辅助他做些买鸡插眼之类的工作，用户是后期，只需要专心farm。

做业务安全，我们的思想是零侵入性，个性化，针对性的安全服务。零侵入性是指尽量不打扰用户，让用户什么都不用做就能享受到安全，比如说每次WEB扫描都要先抓取一次再扫一次，浪费了用户的资源。更甚者，在服务器安装个agent，用户不嫌烦？而个性化、针对性既是用户的需求，也是我们无奈的选择。因为与做自己公司的业务安全不同，弹性计算云的业务具备多样性，统一实施相同的策略必死无疑。举个栗子，每个网站的时间、压力曲线都不同，我们得为不同的网站选择不同的QPS控制，不然空的时候空死忙的时候扫死。我们还得为他们的语言类型选择更针对性的扫描用例，否则花费了时间和资源得到的只是虚无。再举个粒子，在CC攻击防御这里，一般来说都是通过JS客户端跳转抓出攻击者。但是在现在，大批的网站访客都是移动客户端的APP，开启JS跳转必死无疑。另一方面，直接返回XML、JSON的数据接口，直接返回JS跳转也是必死无疑。

为了实现零侵入性，个性化，针对性的思想，我们基于数据挖掘做了很多工作。某一个云计算节点，每天输出1.6T的中间数据做分析，绘制每个VM的应用行为分析，为WEB检测、DDOS防御提供支撑。这些做法，是我们与传统安全公司以及一些比较新但是缺乏大数据处理的安全公司的最大差别。但是我相信，即使他们暂时没有实现这些，也许会在不久的将来实现。那么，我们有没有什么是他们永远做不到的？其实也是有的，一般的云安全服务提供者基于域名解析来引导流量，用户需要去做配置DNS。但是我们的安全和云计算业务是一个有机整体，无缝结合，能够实现无需用户做任何事情的安全防御，在这方面我们会从WAF做起，透明的、选择开通即可立即享用的安全服务。

BTW，这其实也是我最近1年多来的总结——感觉突然写起这个好像兆头不好啊。又及，写了一半出去吃饭，回来之后意兴索然，最后一点没什么兴趣是随手写的。