在IBM待了18年，“老将”沈鸥到青云如何做安全

刚刚过去的2017似乎带着不少话题烙印，而云计算作为一匹黑马成功突围杀入大众视野。

相比常被大家挂在嘴边的巨头们，国内新贵也不示弱，在千亿级的市场蛋糕面前，分蛋糕理论早被抛之脑后，进攻才是王道。

成立于2012年的青云在2017年6月宣布获得D轮10.8亿元融资，拿到了属于自己的那块蛋糕。蛋糕有了，如何守好这块蛋糕呢？为了解开这一疑惑，编辑去青云QingCloud拜访了沈鸥——解决方案与架构部总经理，人称“沈大师”。

过往

沈鸥在 IBM 待了十八年，其中有八年是在与安全打交道。

IBM 的安全产品主要包括软件及服务两条线，软件方面最早从防火墙做起（没想到吧，IBM还有防火墙），之后开启了一路捡西瓜的副本，网络安全、上层身份认证，安全事件管理、以及随后的桌面及移动安全，这头雄狮以鲸吞之势不断收购安全公司以壮大自己的安全产品线。

沈鸥自2004年开始，参与支持华东及全国的安全软件项目，专注在身份安全和安全管理领域，在 IBM 收购移动安全公司Fiberlink后，又关注移动安全产品线。

2012年，IBM重组大型主机和软件业务，云计算作为新业务开始被推进。罗睿兰奔走于全球各地，甚至亲自“指挥作战”。沈鸥也在此时从安全产品线撤离转向Cloud。 

可惜的是，空中楼阁建的过高，加之产品变幻莫测，IBM的云计算一直无法在国内落地。

“所以我开始考虑其它一些Cloud的公司。”

2016年，沈鸥离开IBM。

“来到青云是巧合也是必然。”在沈鸥还是IBM一员时已对青云有所了解，让他记忆犹新的是他还和当时在IBM的青云QingCloud CEO黄允松一起合作过项目。

在开启这段新征程之初，沈鸥就明确了打法，“企业用户对于上云了解甚少，我们的职责就是让客户了解怎样在云上真正做自己的Data Center（数据中心）。”

那安全在这其中扮演什么角色？

进程

如果大刀阔斧劈开青云的云，一边是公有云，一边是私有云。

在公有云方面，国内客户对上云之后的安全措施知之甚少，他们的考虑往往简单粗暴：我上你的云，就相当于包办婚姻，不需要出任何力，你保护我就是了。

云服务商也是这么做的，他们给客户强制性提供VPC（虚拟私有云），同时再辅以一堆各种自己开发的安全组件，相对而言客户的选择比较单一。

而青云的安全考虑更像自由恋爱，两方需要职责分担。沈鸥告诉雷锋网宅客频道，双方所要承担的责任也依据IaaS、PaaS、SaaS服务的不同有所变化。

比如在IaaS方面青云负责的是网络安全以及云主机安全，网络类型的选择，以及安全配置和组件部署则由客户根据用户业务要求设定。在PaaS方面青云提供的不仅是基础架构，还要确保PaaS服务本身应用层的安全性，而用户所要付出也另有不同。

也就是说青云给了用户更多选择，用户可以根据业务选择不同的网络组网方式、保护策略、甚至来自不同厂商的安全组件。当客户选择将主云主机放在基础网络时，可以选择青云提供的防火墙、WAF等安全产品进行网络和应用层的防护，同时也可以选择青云QingCloud AppCenter中的各种安全应用，满足诸如数据库安全审计等个性化的安全需求。

为何不与巨头选择同一条路？

沈鸥告诉雷锋网，这是为了在某些特定应用场景更好的满足用户。

如果说公有云的安全线更多攥在青云自己手中，那私有云的安全线则主要是在客户手中。

从2014年青云开始接触私有云项目，最初的客户大多是银行，而银行本身对安全性有极高的要求，随后也拓展到了保险、证券、互金客户，以及航空、政府、制造业等领域。

每个行业的安全规范都是不同的。以银行为例，银行一方面不使用公有云，在部署私有云时也需要大量的物理隔离；而保险行业的监管相对宽松，公有云、托管云或是私有云都可采用，更关注资源部署真实节点的获知和管理，资源隔离也可以采用虚拟防火墙技术。

所谓千人千面也可对应行业需求，青云给出了各种实现方案以应对金融行业的监管要求。

数据

把企业数据比作聚宝盆毫不为过，过去企业将这些数据牢牢攥在自己手中。但随着体量的增加，上云变得迫切，数据安全却成了一大问题。把聚宝盆放在自己够不着的地方，还被别人眼馋着，这滋味想想就难受。

为了安客户的心，云服务商纷纷化身大护法，使出十八般武艺保护云上的聚宝盆。

沈鸥告诉雷锋网，数据安全首先会涉及到可靠性，一个大规模的数据中心要求确保业务的连续性，因此就会对故障率有所要求，不能出现数据的丢失现象，还要进行数据备份以及灾备。

对公有云的客户来讲，频频发生的DDoS攻击也是让人头疼的问题，此处就需要通过流量清洗黑洞等方式进行解决。另一个就是所谓的数据不可恢复性，一个云上的主机可能被多家公司使用，万一我在用过之后下一个使用的是竞争对手，而数据又没有全部删干净怎么办？

青云一方面了专属云主机和金属裸机确保客户对服务器使用的安全性，在服务器交付给下个客户前对数据安全敏感的客户可以选择硬盘内容完全清除模式，以确保数据的不可恢复；另一方面，青云在开发部署硬盘数据加密机制，数据落盘时就是加密的，从而杜绝数据可能的泄露。

最后，不论是在公有云还是私有云上都会提到的问题是：审计。

所谓君子有所为有所不为，青云提供账户管理和操作审计等功能，方便用户对其各个账户的资源操作行为以及管理行为进行审计。用户还可以自己对流量进行导出分析，但青云不会监测用户在自己云主机上的操作。

作战

匹夫无罪怀璧有罪，守护多个聚宝盆的云服务商往往也被不少黑产惦记着，时不时发动一波攻击。

为了防贼，青云成立了一个公有云应急群，这是一个神龙见首不见尾的神秘组织，大知由多少人组成，只知他们24小时在线，只要监测到攻击或故障就会迅速采取措施。

（此处应有截图，但为了安全起见，没有……于是宅宅给各位画了一副模拟图。）

▲出处：宅宅的脑洞

当然所谓的措施并不是一旦攻击来了大神就扛起长枪大炮怼回去，而是要对症下药，沈鸥告诉宅客频道，首先要清楚攻击流量有多大，毕竟每一个云供应商的带宽是有上限的。

而针对对方抛来的流量攻击也要考虑是直接阻拦所有还是进行流量清除后将好的流量分给被攻击的节点。对于流量异常现象也需要观察，因为有时是客户在做一些测试，如果并非正常现象则会采取各类更直接的措施。当然，这群大神会采用专业的安全工具来自动处理一些问题。

听到此次，看热闹不嫌事大的宅宅八卦道，有木有没防住down掉的情况？

沈鸥微微一笑，“没关系，还有外援，而这个外援，还不至一个。”

沈鸥坦言，毕竟术业有专攻，安全涉及的领域和范围非常广泛，青云作为一家云服务提供商的确不可能在安全的每一个层面都做到无懈可击，此时就需要请一群第三方安全合作伙伴来帮忙了。比如客户需要主机的防病毒安全，青云与360就有深入的合作，如果有人需要做应用层的流量可视化和安全防护，青云AppCenter就有下一代防火墙产品可以立即启用。而如果有客户想对数据库所有的行为进行审计，那青云也有其他小伙伴助攻。

相当于请了一群安全圈子的专家组团打怪。

不光是打怪，青云凶起来连自己都打。沈鸥告诉雷锋网，青云会定期请安全公司进行攻击检测，让一些白帽子来攻击自己的产品来检查平台漏洞，之后进行相应的修补更新，确保青云平台本身的安全性。

而沈鸥也提到最近一次的检测是在2017年10月份，那下一次呢？ 

你猜。