王子凌

在很多年前，一位年轻人与网络中的一个安全团体，热衷于安全技术的分享，培养了一批安全方面的技术人才，并带动了整个行业的交流氛围，这个团队就是当时鼎鼎有名的幻影旅团，后来这个团队的年轻人逐渐被人熟知，并成为了业界知名的安全专家，同时他与我们第一期专访的嘉宾吴翰清也有着千丝万缕的关系。

这个年轻人不用说，正是魏兴国，本期的FREEBUF人物志，我们在OWASP上海的互联网安全论坛与他取得了联系，就让我们随着他一起，走进他的安全的理想国。

魏兴国，网名云舒，2005年加盟绿盟，2006年入职雅虎，2008年加入阿里巴巴集团，现任阿里巴巴集团安全部高级安全专家，前期主要负责集团全局性的网络安全策略，现在主要负责阿里巴巴的云计算安全。

“云安全的理想国”

首先和大家打个招呼，向大伙介绍下自己吧，目前在阿里里主要负责哪一块？

大家好，我是魏兴国，朋友们都叫我云舒。现在负责阿里巴巴云计算的安全，主要是弹性计算业务（ECS）以及基于弹性计算的其它上层业务如OSS（开放存储服务）等。

云计算安全有哪些方面需要注意？

云计算的独特之处在于打破了传统的安全域的概念，我们很难通过几个硬件防火墙把不可信区域和集团区域隔离开来，而是一种犬牙交错、我中有你、你中有我的状态。
因此需要保护的层面比较多，要控制外部攻击者对云用户的攻击，要控制云用户对外部的攻击，要控制云内部用户互相之间的攻击，要控制云用户对集团自有业务的攻击。
同时，在做各种安全控制的同时，要做好隐私性和安全性的平衡。最后，目前的云计算还是传统安全的延续，我的理想是将安全抽象一种资源，与厂商合作在云计算中建造出安全市场，用户高度自助随时可用，如同虚拟化之于传统托管业务，这也是我这次演讲的主题，也是我在阿里内部一直努力推动的方向。[云计算安全的未来]

目前那么多云计算公司，能否简单做下比较？
这个我不专业，不敢乱说。

阿里云的优势在哪里？

阿里云的优势在这么几点：

首先，战略重视，云计算是阿里未来最重要的方向，因此财力、人员都有很大的投入。
其次，阿里集团有丰富的大数据处理经验，底层技术比较扎实，借助遍布全国的阿里骨干网、CDN网，云计算的稳定性、访问速度都非常好。

”无穷大的宽带，无穷强的服务器“

防御DDOS目前最有效的方法？
目前防御DDoS，最有效的办法是有无穷大的带宽，无穷强的服务器，搞定。就正经的来说，DDoS的方法太多了，因此很难说有最有效的方法，一一穷举描述可以写一本书，只能说点通用的东西：
首先是流程、预案（如：快速部署服务器、DNS切换生效时间等）、演习，这些都是事前的准备，练兵前日用在一时。
其次是监控和自动化响应的速度，第一时间发现攻击，在人员上线前有初步的自动化处理，上线后再做手动调优。
最后是DDoS防御产品是否足够给力，如何在防御产品出现问题的时候用预案补足。做到最好就要尽可能不会出现预案之外的情况

阿里遇到最强的一次DDOS是怎么化解的？
我们最近遇到的最大攻击流量约是70Gbit/s，SYN Flood + UDP Flood + CC混合攻击。主要是通过加服务器、设备清洗化解的。值得一提的是有部分流量来源集中于某一家运营商，给他们的带宽带来些许压力，联系他们做了一些简单的过滤操作。

微博上看有网友反馈网站被云盾误流量清洗导致打不开，具体是怎样的？
这个事情用户和我都在微博上澄清过。云盾提供了DDoS防御的各种参数配置，可能我们的描述不足够清晰，让云服务器用户产生了一些误解，他们把所有的阈值都调节为最小。结果访问量稍大就触发了自动防御，并且干掉了许多正常的网站访问行为，表象就是网站打不开。

“最喜欢的女优是波多野结衣以及柚木”
最喜欢的女优是？
没有最喜欢的一个，简直是喜欢一批啊。现在老了，年轻的时候喜欢看 Rina、波多野结衣、柚木ティナ（ RIO）

相关阅读：

【FREEBUF人物志】第一期：专访吴翰清