飞天项目的整体架构，最底层基础架构是由通用服务器组成的Linux集群，没有使用高端的服务器和存储。飞天提供功能的方式是通过服务的方式，下图中所有蓝色的框（指各类云计算服务）都是对外提供服务的窗口，但这里蓝色的框并不代表所有阿里云提供的服务，还有许多其他的服务没有包括。最上层，飞天项目是阿里云整个产品和服务的技术基础，上面是各种各样的应用。
飞天平台上强调的是做多租户，因为众所周知云计算带来的好处就是弹性，另外一个就是需要帮助大家降低成本。

下面这张图是飞天的体系结构介绍。整个的飞天系统，最基础的两大系统，盘古和伏羲。如果大家之前了解过这方面的资料，应该对这张图非常熟悉。飞天基础系统上承载着多个云产品，ECS/SLB、OSS、OTS、OSPS、包括ODPS的系统。安全机制在飞天及飞天承载的云产品中起着至关重要的作用。

主要的工作包括几个方面，一个是访问控制机制另一方面是安全沙箱.访问控制机制包括从盘古文件的访问、读取和认证机构，还有ODPS、OTS、OSS等系统基于飞天做，飞天会帮它们做所有上层的安全措施基础机制支撑工作。尤其是ODPS系统，其所有的访问控制机制和安全沙箱的系统，都是由飞天安全提供机制来支持的。
今天我们要讲的议题，首先会从攻击者的角度看一下云上的计算系统有哪些Attack Surfaces可以利用.然后看一下目前开源的产品，比较著名的产品从这个角度来看是如何解决安全问题的。以及linux系统提供了那些安全机制可供安全沙箱使用。最后，我们具体了解一下飞天安全沙箱的方案。

首先，我们看一下典型的云计算环境中，为支撑用户代码的运行，从上到下的结构。通常为了让用户代码能够执行高级语言，我们都会有一层高级语言的虚拟机,比如JVM,Cpython。我们以后有些系统会跑JS，这里对应的是V8。这些虚拟器通常是C语言来开发的，相对来说是一个独立的系统，再下一层是Libc的库，这个对应的是C语言的so。再往下一层是LinuxKernel。再往下其实还有，如果是说这个系统用的是虚机，往下还会有物理机，本次分享不讨论这个问题。对于这样的系统来说，如果User code的恶意代码，为了拿到Linux Kernel的root权限需要一步步的渗透。入侵者如果想要到达最终目标，首先要突破高级语言虚拟机的安全防护，比如Java的SecurityManager机制。不过根据最近几年的漏洞情况判断， JVM安全沙箱对入侵来说是并没有太大的难度，可以假定一定会被突破。通过JVM提供的Navtive调用，它可以直接调用到Libc。Libc对入侵者来说，主要目的是要拿到当前进程的权限。最后一层是Linux Kernel，我们在云计算平台上来说，跑用户代码的进程不会是root，大家想像一下也知道，root不会给最终用户区跑这个代码的。当入侵者真的通过前基层的安全防护机制，并成功攻破root权限，那么这台机器已经被他控制在手里了。我们可以想像一下，在云计算这样一个集群里面，我们通常来说会跑成千上万的实例，如果我们把这个实例数放到最大，这样的代码被执行完之后，是不是整个集群所有机器的权限都可以拿到了。这是非常可怕的事情。就算我们在某一方面可以控制用户提交数量，云计算平台上通常会使用相同一台机器同时处理多个用户，如果有一台机器被用户集权到root，上面的所有数据和密钥，对于入侵者来说都是可见的了。