云安全服务实践 爱奇艺 李晗 苦逼的安全工程师 • 都说“三分技术，七分 管理”，互联网的安全 工程师是“运维+开发+ 测试+QA” 。 • “安全是互联网公司的 生命”变成口号，普通 员工感受不强烈，要做 到安全也不容易。 互联网公司安全现状 • 对安全，没有出过大事 就不太重视。 • 上线开发维护任务繁重 ，安全的事情只好先放 一放。 • 普遍安全意识不好，反 复强调却仍然发生各类 低级错误。 • 安全好像只是安全工程 师的事情。 何为云安全服务 • SecaaS，安全即服务 – 开放服务接口，唾手可得和更加简单的安全服务 – 按需申请和使用 – 提供配套的监控和验证服务 • 基于云 – 享受云平台的服务，专注安全业务，快速迭代开发 – 弹性计算框架，自动扩展 爱奇艺网络架构简介 近十个DNS解析点 DNS解析，请求就近访问 数十个nginx反向代理点 反向代理到CDN节点 数百个CDN节点 媒资分发等 会员认证，搜索，推荐，广告等服务 爱奇艺云平台简介 应用 媒资系统 计算服务 服务 广告 推荐 账号 视频云开放 平台 数据服务 开发者服务 转码服务 内存数据库 公共组件库框架 MapReduc e 备份、容灾 Client SDKs 弹性计算 数据平台 开发者和运维手册 … 平台 建立私有云的平台和服务架构，将资源服务化，全面为业务系统提供计算、 存储、网络平台以及建立在平台之上的各类服务 我们的云安全服务 • 跳板机服务 • 在线站点和主机扫描测试服务 • 主机入侵检测服务 • WEB防火墙服务 跳板机服务 • 业务部门按需申请，并指定一名管理员 • 支持操作记录监控，统计和报警 跳板机服务 监控信息平 台 跳板机申请 前端 跳板机创建、回收 系统 跳板机权限 管理 操作记录 ssh proxy 跳板机虚机 跳板机管理的服务器 只能通过跳板机 登录服务器 在线站点和主机扫描测试服务 • 提供包括xss，sql注入，弱密码，信息泄露等扫描服务 • 按需申请，即时发现问题即时处理 在线站点和主机扫描服务 Nginx WEB Server M Q WEB Server NoSQL Cluster MongoDB MongoDB Mesos Compute Node Task Task MongoDB Compute Node Task Task Compute Node Task Task 主机入侵检测服务 • 为在线主机提供HIDS服务 • 支持监控、统计和报警 主机入侵检测服务 在线主机入侵 检测注册 一键部署agent 采集数据 agent agent agent 策略更新 入侵检测监控 平台 WEB防火墙服务 • 按需申请，提交申请只需要一条URL • 不影响未申请防火墙服务的网站 WEB防火墙服务 后续计划提供的云安全服务 • 在线代码检查服务 • 密码管理和分享服务 • DDOS防御服务 。。。。。。