本篇文章4232字,读完约11分钟
编者按:作为中国网络安全圈最有影响力的人物之一,吴汉卿(道格)在许多场合都是一个标杆人物。几年前,作为阿里巴巴云的首席安全研究员,他写过这样一段话:
我相信,在未来,我们将生活在一个数据不时被监控的时代,被企业出于商业目的监控,被黑客为了利润而监控。就像我们每个人在光天化日之下裸体行走。想到它会让人不舒服。如果没有合理的法律和有效的技术保护手段,这将是最糟糕的时候。
但是这个时代会到来,不管我们喜不喜欢,我们只能做好准备,不适合的人会被淘汰。我们所能做的就是根据我们的想法,尽自己的微薄之力,让这个即将到来的时代变得更加美好。
几年来,他和他的团队一直在寻找让网络更安全的方法。最近,他提出了“弹性安全网络”的概念,这是一种可以将ddos防御置于网络边缘的技术。因此,他被选为麻省理工学院的tr35(一个最有可能改变世界的牛的奖项,扎克伯格和杨致远都被选中)。最近,亲自写了一篇关于什么是“弹性安全网”的文章,雷·(公开号:雷·)已获授权转载。
作者:吴汉卿
我非常高兴地得知,前几天我被选为麻省理工学院的tr35。我认为这证明了中国的安全技术已经得到国际认可。但这一荣誉不仅属于我,也属于我团队中所有为此做出努力和贡献的人,也属于那些敢于与我们一起尝试最新技术的客户,因为新技术在诞生之初往往是未经加工的,但如果没有孵化过程中的艰辛,我们将永远看不到它美丽绽放的那一天。我也非常感谢王建博士、龚博士、华宪生先生和宋黎明教授作为我的tr35推荐人,感谢你们对我的工作的认可。
自从我加入这项工作以来,我一直痴迷于将中国技术推向世界。我认为中国拥有最好的安全技术和最好的人民,但它缺乏让他们成长的土壤和舞台。因此,我也希望麻省理工学院对我的认可能成为一个机会,鼓励中国安防行业的优秀人才和优秀技术成果走向世界。长期以来,我们从开源技术中获得了很多好处,但中国技术对世界互联网发展的贡献非常小。我认为有语言障碍,文化障碍,但没有能力障碍。现在是我们克服这些障碍,解决全球互联网发展中遇到的问题的时候了。中国只有在本土人才成长的时候才会变得更强大。
回顾我十多年的工作生活,我从事和研究了很多技术工作,但我认为只有“柔性安全网”的研究是最独特的。“弹性安全网”不是现有技术的应用,它真正发明了一种以前没有的技术,提出了一种全新的方法,并采用了一种全新的视角来看待现有的世界。因此,它可以跳出现有的技术框架,带来一些突破性的惊喜。这些惊喜,往往连创作者一开始都想不清楚。就像从比特币中抽象出的区块链技术一样,我们构建的第一个产品“游戏盾牌”被用来抵御流量过大的ddos攻击,但最终抽象出的“弹性安全网络”技术向我们展示了构建下一代互联网的可能性。
简单地说,弹性安全网络将ddos防御置于网络的边缘。然而,未来真正要做的是通过端到端连接和风险控制技术重建一个干净和安全的互联网。
几天前,《麻省理工技术评论》的记者采访了我,我充分阐述了柔性安全网络的理念。我把这次采访的录音放在这里,与所有对这项技术感兴趣的人分享,并附上编辑过的文字(但我仍然强烈建议听原始录音)。今后,我希望更多的人参与到“柔性安全网”的建设中来。
为什么你想成为一个灵活和安全的网络?互联网流量就像管道中流动的水。然而,随着互联网的发展,今天的交通已经混合了太多的东西,它不再纯粹和健康。例如,这些流量包含许多攻击请求,以及许多恶意爬网程序请求和一些欺诈请求。
理想情况下,我们希望未来的流量将是干净和健康的,我们希望所有的网络攻击将被带到整个网络的边缘。也就是说,当进入这个网络时,流量本身是干净的。这就是畅通交通的概念。
为了实现这个想法,我们遇到了许多困难。我们正在思考我们需要用什么样的架构来实现它。就在这个时候,我们的一些客户试图用快速切换的思想来对抗ddos攻击。这给了我灵感。最后,我把这两件事结合起来,提出了建立一个灵活的安全网络的想法。
什么是弹性安全网络?弹性安全网络真正想做的是取代整个互联网和域名系统的核心,使网络更加灵活,资源调度更加快捷,形成一个全新的网络架构。
事实上,域名系统诞生于互联网的早期,是互联网1.0时代的产物,是一种开放的协议。到目前为止,还没有独立的运营商来运营整个互联网的域名系统服务器。它分散在不同的运营商。全球可能有数百家运营商,都提供自己的dns服务。运营商之间的通信是通过标准的dns协议交换数据。
这就是为什么dns协议这么多年都不能改进,而且太分散了。
目前,域名系统有三个明显的问题。第一个是dns需要太长时间才能完全解析,这是整个dns使用中的一个非常大的难点。
例如,对于一个大型网站,所有用户的流量都应该指向一个新的地址。修改dns解析后,可能需要两到三天的时间,流量才会被100%地削减到新地址,旧地址也不会有剩余流量。
为什么需要两到三天?原因是许多运营商的dns递归解析服务器需要更新自己的数据。有些运营商有自己的省级运营商,甚至在地级市以下还有递归解析的dns。过于分散使得难以进行统一的数据管理,这是当今的一个现实问题。
第二个问题是,如今dns服务器软件的解析数量遇到了瓶颈,将来没有办法将一个名称解析成几千个、甚至几万个、甚至几十万个不同的地址。一个名字最多可以解析成十几个或几十个地址,所以不能扩展。这个瓶颈限制了我们的扩张能力。
第三,一些可以基于域名系统实现的安全机制,如风险控制,还没有建立。事实上,更容易理解的是,在互联网1.0时代,没有像今天这样强大的数据能力和计算能力。
今天,我们必须解决这些问题。在整个灵活安全网络的框架下,我们正在思考下一代互联网应该是什么样子。答案是通过可靠快速的调度技术重建互联网心脏。
首先,它的快速解析能力,必须非常实时和干净。其次,它支持的是调度能力。要达到这种数万人的水平,规模尤为重要,也就是说,一个名字可以分解成数万个地址,甚至几十万个地址。
我们试图防御ddos攻击。过去,在防御ddos攻击时,需要保留一个大带宽的单点。因为ip不能改变(在中国的网络环境中,由于政策原因,选播的方案将不被考虑)。因此,在dns架构下,很难抵御这个ip所遇到的流量攻击。例如,如果流量达到300克,这里必须有300克的带宽,这样才能承载。如果只有100克的带宽,整个机房都会被封锁,甚至会影响运营商的网络稳定。
这是过去攻防对抗的想法,也就是说,我必须在这里保留和你攻击一样多的带宽。这与资源和纯带宽储备相比。
我们目前的想法是,如果你攻击这个ip,我会立即把它拿掉,不想要这个ip,然后启用一个新的地址,并告诉所有的客户你来访问新的地址。
当然,攻击者会在此时跟随,但是对攻击者来说跟随代价很高。通常,攻击者跟踪一个新地址大约需要10分钟。
在这10分钟内,通过数据分析,我们可以分析谁是攻击者,区分好人和坏人,阻止坏人的流量,同时让干净的流量继续访问,这是整个弹性安全网络的核心思想。
如何实现弹性安全网络弹性安全网络的实现是通过快速完成数万个地址的调度,从根本上改变防御模式需要在单个点预留大带宽的能力。
也就是说,你不需要在一个点上预留大的带宽,你需要更多的地址和更强的数据分析能力。
你知道,大带宽单点存储的价格非常昂贵。使用这种方法后,ddos防御成本可以降低两到三个数量级,因为不需要在单个点保留大带宽。
这样做之后,我们发现,事实上,这件事最重要的是,它改变了ddos本身,这是至关重要的事情。因此,我们用新技术解决了一个老问题。
弹性安全网络将催生最大的人工智能
沿着弹性安全网络的思路,我们希望通过风险控制来管理整个互联网的资源。
未来,灵活的安全网络将重新定义互联网的入口。通过为每个访问者建立一个“足迹数据库”,分析他是好人还是坏人的概率。一旦判断出该访问请求可能有风险,就可以立即拒绝他访问该资源。
因此,未来最大的人工智能应该诞生在灵活的安全网络中,因为整个互联网的资源是被管理的,风险是根据每个访问者的行为沉淀来判断的。
相当于想要进入这个封闭的网络,每个访客都必须先经过安全检查。只能通过安全检查来访问此资源。此外,所有游客的历史行为将被积累起来,以备将来风险判断之用。然而,今天互联网的心脏——域名系统,由于其开放性和碎片化,在以统一的方式收集所有访问数据之后,已经失去了分析所有访问数据的可能性。
在一个独立的闭环系统中,基础设施提供商在整个网络中心运行这种解析服务。然后,基于这种解析服务,它可以智能地分析整个网络中的所有访问者,最终在风险控制下实现该网络中所有访问者的请求,从而构建一个全新的互联网。
灵活安全网络的未来今天,阿里巴巴云上的一些游戏客户通过灵活安全网络技术调度他们所有的游戏资源,控制所有玩家的风险。
弹性安全网络是一个闭环。也就是说,这些使用灵活和安全网络的游戏已经从我们现在的互联网上消失了,现在的互联网是由域名系统支持的。
一个玩家,通过dns,不能访问灵活的安全网络中的所有资源。我们未来应该做的是不断扩展这个网络,直到网络中可以调度的资源覆盖整个互联网的资源。
目前,主要机会在物联网和移动互联网,因为不需要域名系统。过去,需要dns是因为有一个带有地址栏的浏览器,它必须输入一个友好的地址才能访问资源。
在移动互联网时代,今天的手机不需要浏览器,而是直接打开一个应用。那么这个应用程序所访问的内容不一定需要dns来解析。
这是一个非常重要的原因,为什么我们可以看到这项技术可能会持续到今天。
扩展,在物联网时代,不需要浏览器来访问您需要的服务和资源。
所以这就是为什么我认为这个网络可以在将来升级整个互联网的最重要的原因。
阿里将开辟灵活的安全网络技术能力
未来,阿里将开发灵活的安全网络技术。
像域名系统一样,弹性安全网络本身不涉及任何访问资源,它只知道你今天在这里。就像,当一个人今天去某个国家,他需要进出海关,这是同样的原因。
事实上,在许多关键领域,弹性安全网络非常有价值。
例如,各个政府或大型企业和机构的专用网络或内联网。如果它是基于域名系统,这是一个弱点暴露在整个网络。因为dns是一个开放的服务。一旦单个dns点被破坏,整个网络可能无法工作,所以这是一个非常大的风险。
因此,弹性安全网络技术不是为某个客户设计的,而是为整个互联网设计的。
雷锋原创文章。严禁擅自转载。详情请参考转载说明。
标题:道哥亲笔:谈谈为什么要做弹性安全网络
地址:http://www.hcsbodzyz.com/hcxw/5736.html