DDoS防护向来被认为是一场钞票的战争,那么,这场战争的买单者应该是企业还是云服务商?
一次客户投诉引发的思考
阿里云首席安全研究员吴翰清是安全圈内数得上的白帽子,前不久因为一个客户的投诉,他对谁来为DDoS防护买单这件事想了好久。
事情的起因是这样的,一家企业客户遭受到了DDoS攻击,但是因为自身的安全防护级别低,阿里云系统针对攻击产生的影响,把这家客户的服务下线了(阿里云将这种机制称为“黑洞”)。客户知道后,写信投诉,认为云服务商应该提供DDoS的防护。
众所周知,DDoS防护最有效的手段其实就是带宽,只要带宽足够大,DDoS攻击自然成不了气候。但是,带宽是真金白银买来的,这点不管是对于企业用户来说,还是对于云服务商来说,都是一样的。从这个角度看,DDoS攻击如果针对企业用户展开的,云服务商没有道理要为用户的安全防护成本买单。
当然,有些企业用户会选择DDoS高防服务,这种服务虽然有效,但是花钱如流水,一夜之间花费六七万元的案例也大有人在,因此,DDoS攻防对抗也被认为是一场钞票的战争。
话说回来,吴翰清认为,云计算这项重资产的产业,阿里云在上面投入了大量的硬件和软件资源,以及大量的人力研发成本,也因此无法将DDoS高防变成免费服务。
事实上,类似的处理在众多云服务商中间并不是少见,服务商或多或少都会采取或清退服务器,或将服务下线的类似机制,降低针对某一用户的DDoS攻击对平台产生的影响。
事情发展到这一步,似乎陷入了胶着。但是,吴翰清的思考又进入到了一个新的领域。
他认为,在技术红利没有足够大到降低成本的情况下,一些在创业初期的企业往往被排除在目标客户之外的,也就是说,这些未来可能是facebook、Google的创业企业,可能在还没有壮大时就因为安全事件而夭折了,如果真是这样,将是社会的损失。
针对创业企业技术扶植计划
众所周知,企业创立初期,为了业务发展,更多会把精力、财力、人力放在产品创新层面,忽略信息安全的建设,这给了黑客可乘之机。 有数据显示,国内曾有上百家P2P金融初创平台因黑客攻击造成系统瘫痪、数据被恶意篡改甚至倒闭。业内人士认为,安全人才缺乏、攻防成本不对等已经成为制约初创企业发展的一大瓶颈。
为此,5月23日,在云栖大会 · 成都峰会上,阿里云正式推出产业安全扶助计划。 这是一个面向初创企业的公益项目,计划为每家入选企业免费提供含主机安全、网络安全和抗DDoS在内的全套云安全防护,协助其抵御网络黑灰产业,让企业专注业务的高速发展,无需再因安全问题“拖后腿”。
“产业安全扶助计划的愿景是为创新、创业者提供一间‘经济适用房’,帮助他们在起步阶段抵挡网络空间可能出现的‘腥风血雨’。”吴翰清介绍道。
据了解,该公益项目第一年准备扶助100家初创企业,这些初创企业通过产业安全扶助计划网站(https://security.aliyun.com/grow)提交申请,评审委员会定期审核。获得扶助资质的企业或机构将获得阿里云安全团队提供的免费产品支持,以缓解企业在安全领域遇到的问题。
据悉,每天阿里云帮助全中国(大陆)37%的网站抵御16亿次攻击,防御2000次DDoS攻击,2亿次暴力破解,300万次Web攻击防御。2016年,协助用户修复87万漏洞。
吴翰清表示,今天的网络对抗不是一方或单一企业能够应对的难题,希望更多志同道合的公司能够“技术入股”参与该公益服务,在全球网络安全治理领域做出首个具有借鉴意义的中国样本。
FAQ
1、怎样的企业可以入选?
企业高速发展,营收有限,暂时不具备安全防御能力的初创企业。
2、入选之后可以获得什么权益?
根据入选企业的实际业务,每家入选的初创企业都将可能免费获得包含主机安全、网络安全和抗DDoS在内的全套云安全防护。
3、安全产业扶助计划只提供阿里云一家的产品技术支持?
阿里云诚邀更多志同道合的安全技术公司一起加入这项公益事业,为网络安全空间的清朗出力。
4、入选的流程如何?
5、这个权益能享受多久呢?
根据入选企业的业务发展阶段而定,原则上不超过1年。
6、提交审核后多久有结果?
本计划初步运行阶段,暂定每月集中更新一次入选结果,后续将视报名情况调整审核周期。
原文发布时间为:2017年5月23日
本文作者:作者:赵东
本文来自合作伙伴至顶网,了解相关信息可以关注至顶网。