新浪SAE的三道雲安全防線

隨著雲計算在國內的發展，越來越多的雲計算產品湧現出來。 但是，由於公有雲計算資源分享，資源調度的本質理念，導致安全性在公有雲計算上重要性體現的異常明顯。 使用者開始擔心，代碼是否安全，資料是否安全，傳輸是否安全。 而平臺供應商也要防範DDos，防範資源濫用，防範利用Web語言漏洞攻擊等行為。 ​

 在QCon2012全球軟體發展大會上，新浪雲計算首席架構師叢磊介紹說，「新浪App Engin（SAE）從09年發展至今，針對雲計算安全問題，從代碼到資料，從存儲到傳輸，從語言級解譯器到系統層都做了相應的防護和改進。 」   雲安全是雲計算特別是公有雲計算研究中的重要方向，也是所有使用者使用雲計算都會關心的話題。 人們普遍擔心自己的資料放到雲端沒有了控制權，擔心雲計算服務商會洩露自己的資料。 叢磊認為，雲計算安全有四大特點，第一、資源分享性，由於雲計算提供的服務方式就是多租戶，大量使用者共用服務，這就會引起一個人出現問題後而連帶其他人遇到問題。 第二、服務多樣性，雲計算的發展已經衍生出很多雲服務，例如雲主機、雲空間、雲開發、雲測試等，服務種類的增加也會帶來更多的風險。 三、使用者不可知性。 四、規模不可預知性。 SAE在雲安全方面分別從平臺自身、使用者資料、使用者代碼以及帳戶四方面考慮的。 在使用者的資料安全方面，以前是通過虛擬機器來隔離，這樣SAE承載過高，因此在2010年改進，通過三層來保護，SQL預判、併發執行時間和、以及慢查詢配額。 此外，SAE還提供了兩種驗證方式，Client Namespace-binding和SHA256 REST signature。 MySQL跨應用授權可以在使用者密碼丟失的情況下，降低使用者損失，使用者可以將自己的資料庫授權給一些應用，如果帳號密碼丟失，也沒有許可權訪問沒有授權的應用。 在備份方面，SAE還提供MySQL備份機制、KVDB備份機制、TaskQueue備份機制、Counter/Rank備份機制。 在應用防火牆方面，SAE提供IP黑白名單、訪問頻率控制、流入流出流量控制三種方式。

SAE雲安全

 在代碼安全方面，SAE提供了PHP沙箱、Python沙箱和JAVA沙箱。 此外，SAE還提供應用體檢，查看頁面性能是否有瓶頸，同時會檢查漏洞，是否存在攻擊隱患。 在帳戶安全方面，SAE支援動態口令微盾，還可根據團隊的專案不同角色定義不同的許可權。 同時，在雲豆方面，還有預算設置，保護使用者金錢不會被誤操作而消耗光，才外，SAE還提供大額消費保護，保障使用者的帳戶安全。  對於企業的安全，叢磊表示，新浪有7*24小時運維團隊，團隊成員都是擁有十多年的運維經驗。 同時SAE還提供SLA保證和補償策略，對於平臺自身問題所造成的平臺整體性故障，SAE官方將針對平臺付費使用者進行一次性補償，以彌補平臺故障給使用者網站及應用造成的損失。