5月21日消息，在今天舉行的2015年華為網絡大會上，華為與多家合作伙伴聯合倡議建立云清聯盟，以此構筑一個DDoS攻擊防御的創新商業模式，真正實現多方共贏。

資源整合，聯合防御

近年來，隨著云和互聯網的快速發展，越來越多的用戶把業務放到云上。然而，以DDoS（拒絕服務攻擊）為代表的網絡攻擊，直接危及ISP鏈路和在線業務的可用性。

“DDoS攻擊呈現出全球化、手段多、流量大等特點，單靠某一兩個MSSP(安全服務提供商)，很難實現有效防御，多廠商聯合調度、共同抵御才是解決之道。”華為相關負責人表示。

據記者了解，“云清聯盟”的概念由華為首先提出，并得到了業界的積極響應。該聯盟的宗旨是將全球運營商、MSSP、IDC的資源進行整合，構成一個云端的“DDoS防御生態系統”，統一進行管理和調度，以“近源清洗”徹底解決DDoS攻擊問題。

“我們主要面向Tier2/Tier3運營商、大型互聯網企業等。云清聯盟的成員，以資源貢獻率為度量標準分配商業利益，實現合作共贏。”華為大數據安全領域產品總監易建超表示。

分工協作，統一行動

據悉，目前云清聯盟成員主要由運營商、IDC、MSSP（安全服務提供商）等組成，并提供清洗中心業務。

“云清聯盟將集合全球頂尖的運營商、數據中心、MSSP，聯合提供清洗服務需要的帶寬、清洗設備、專業安全響應服務和SOC（安全運營中心），從而實現DDOS攻擊防御的全球調度清洗。”易建超說。

作為發起人，華為負責提供頂級SOC平臺及第三方接口，統一調度全球合作伙伴清洗中心資源，并提供專業應急響應服務。

在具體的行動上，云SOC將部署在核心網絡中，發現DDoS攻擊后通過云SOC下發云信令，調度云清聯盟成員中距離DDoS攻擊源最近的ScrubbingCenter（清洗中心）進行清洗服務。

云清聯盟成員將在全球運營商各主要互聯網節點的數據中心中部署DDoS攻擊檢測和清洗設備、管理平臺等。這些清洗中心通常與Tier1運營商直接互聯，確保發現攻擊時可以最快速度引流到清洗中心進行清洗。

此外，云清聯盟成員還將在全球各主要區域部署24*7的應急響應專家團隊，為客戶提供遭受攻擊后的應急處理指導，并通過云SOC系統協調清洗中心進行快速響應，以及攻擊報告解讀等安全咨詢服務。

構筑DDoS攻擊防御新模式

與以往的DDoS攻擊防御方式不同，云清聯盟能夠實現云端清洗，逐層過濾。

以往，Tier-2/3級運營商以及更低層次的客戶，盡管部署了本地清洗設備，但仍然無法解決上游互聯網流量到IPOP鏈路的攻擊，導致上層擁塞。同時這種攻擊復雜多變，吞吐量往往達到幾十Gbps到上百Gbps，很難應付。

“云清聯盟構建的清洗方案，可以在云端對上游帶寬進行保護。”易建超表示。

當攻擊發生時，云清聯盟將通過全球SOC系統，觸發云信令調度清洗中心。由于不依賴于某個廠商的硬件清洗設備，因此可以更有效抵御最新攻擊類型，并且可以結合所有合作伙伴的清洗能力完成過去單一廠商無法抵御的流量。最后，再輔之部署本地的清洗設備，進行更細粒度的深度過濾。從而真正確保清洗攻擊流量、保障業務可用。

此外，云清聯盟還具備全球調度，快速響應的優勢。近年來DDoS攻擊呈現出全球分布，攻擊源分散的特點，傳統方案或者單一來源的安全服務無法封堵所有的攻擊發起源，而且在引流到自己的清洗中心時，往往需要長途遷徙，造成流經管道同時受害。

“而云清聯盟的全球調度機制，可以調動距離攻擊源最近的清洗中心進行清洗，避免了傳統方案的弊端。由于路徑縮短、調度算法更優，可以保證在攻擊發生數分鐘內完成迅速響應，提升防御效率，在攻擊發生伊始即實現阻斷，避免危害擴大。”易建超說。

相對于傳統DDoS攻擊防御方案局限于單一廠商、個別技術，云清聯盟通過開放的API接口可以與常見的SOC平臺進行對接，同時清洗設備沒有品牌限制，具有極強的對接能力，幫助聯盟成員最大程度節約投資成本。此外，已有的清洗檢測設備可以復用，所有聯盟成員可以通過協作共同抵御攻擊，獲得過去單一廠商無法觸及的市場。由于清洗效果更徹底，最終用戶的業務也將得到更有效的保護。

“總之，云清聯盟的構想，構筑了DDoS攻擊防御的創新商業模式，真正實現了多方共贏。”易建超表示.