绿盟科技云安全纲领(下)

全文共13094字,阅读大约需26分钟。

绿盟科技自2012年开始研究并打造云计算安全解决方案,并于2022年正式推出“T-ONE云化战略”,将安全产品与方案全面向云转型,并构建开放的云化生态。本文将对绿盟科技的云计算安全风险与发展的认知、价值主张、合作体系、参考体系、技术体系与建设方案进行阐释。因篇幅限制分为上中下三篇,本篇为下篇。上篇链接:绿盟科技云安全纲领(上);中篇链接:绿盟科技云安全纲领(中)

云安全参考体系

与NIST安全标准的关系

为了增强美国关键基础设施的韧性以应对网络安全风险,2014年《网络安全加强法案》(CEA)更新了国家标准与技术研究院(National Institute of Standards and Technology,简称NIST)的职责,包括制定和开发网络安全风险框架,供关键基础设施所有者和运营商自愿使用。这项法案将NIST之前在13636号行政命令(Executive Order 13636)“改善关键基础设施网络安全”(2013年2月)下开发网络安全框架(Cybersecurity Framework,CSF)版本1.0的工作正式化,并为未来框架演变提供了指导。

2018年4月,NIST发布了NIST CSF 1.1版本。NIST CSF是根据13636号行政命令制定并基于CEA持续演进的框架使用通用语言,以业务和组织需求为基础,以兼顾成本和收益的方式处理和管理网络安全风险,而无需对业务提出额外的监管要求。至此,该框架适用于所有依赖技术的组织,无论其网络安全关注点是信息技术(IT)、工业控制系统(ICS)、网络物理系统(CPS)、物联网(IoT),或是更普遍的连接设备。

1.1.1 NIST CSF框架

NIST CSF由框架核心、框架实施层和框架轮廓三部分组成,其框架核心包括五个功 能,即风险识别能力(Identify)、安全防御能力(Protect)、安全检测能力 (Detect)、安全响应能力(Respond)和安全恢复能力(Recover),如图1所示。这个能力框架实现了网络安全“事前、事中、事后”的全过程覆盖,帮助企业主动识别、预防、发现、响应安全风险。

图1 NIST CSF框架的关键内容

NIST CSF的框架核心的5个功能要素介绍如下:

识别(Identity)

帮助组织理解进而管理系统、人员、资产、数据和能力的网络安全相关风险。“识别”功能中的活动是有效使用框架的基础。只有在理解组织业务、支持关键业务的资源以及相关的网络安全风险时,才能使组织根据其风险管理策略和业务需求将资源集中投入到优先级高的工作中。此功能中的类别(Categories)有“资产管理”“业务环境”“治理”“风险评估”和“风险管理策略”等。

保护(Protect)

制订计划并实施适当的保障措施,确保关键基础服务的交付。“保护”功能对于限制或遏制潜在网络安全事件的影响起到支持作用。此功能中的类别有“访问控制”“意识和培训”“数据安全”“信息保护流程和程序”“维护”和“保护性技术”。

检测(Detect)

制订计划并采取适当措施识别网络安全事件的发生。“检测”功能能够及时发现网络安全事件。此功能中的类别有“异常和事件”“安全持续监控”以及“检测流程”。

响应(Respond)

制订计划并实施适当的活动,以对检测的网络安全事件采取行动。“响应”功能支撑对潜在网络安全事件影响进行遏制的能力,此功能中的类别有 “响应计划”“沟通”“分析”“缓解”和“改进”。

恢复(Recover)

制订计划并实施适当的活动以保持计划的弹性,并恢复由于网络安全事件而受损的功能或服务。“恢复”功能可支持及时恢复至正常运行状态,以减轻网络安全事件的影响。此功能中的类别有“恢复计划”“改进”和“沟通”。

1.1.2 NIST云计算安全标准

除了CSF外,NIST针对云计算具体场景,设计了相关的模型和安全框架。例如NIST发布了《SP500-291 云计算标准路线图》和《SP 500-292 云计算参考架构》,给出了云计算定义模型。

图2 NIST云计算定义模型

云计算定义模型定义了云计算的3种基本服务模式(PaaS、SaaS、IaaS),4种部署模式(私有云、社区云、公有云和混合云),以及5个基本特征(按需自服务、广泛的网络接入、资源池化、快速伸缩、服务可度量)。

2013年5月NIST发布了《SP 500-299 NIST 云计算安全参考框架(NCC-SRA)》,指导构建安全云环境,安全参考模型如图3所示。

图3 NIST云计算安全参考架构

1.1.3 基于 NIST CSF 框架构建绿盟云安全体系

绿盟云基于NIST CSF框架对网络安全体系进行了优化,并在日常运营中遵循PDCA循环模型对其进行维护和持续改进,但这并不意味着客户使用绿盟云的服务就可以通过NIST CSF认证,客户与绿盟云基于上文的责任矩阵共同承担安全责任,参见绿盟科技云安全纲领(中)-云安全责任模型,客户应根据其自身的情况,采取相应的措施。

绿盟云打造集识别、保护、检测、响应和恢复为一体的云安全保障体系,动态协同多种安全防御措施,实现了网络安全“事前、事中、事后”的全过程覆盖,帮助企业主动识别、预防、发现、响应安全风险,保障客户的云安全。

其中,绿盟云安全,基于NIST CSF的核心功能要素识别、保护、检测、响应和恢复构建云安全体系,绿盟科技也在积极应答由全球公认的权威标准组织英国标准协会(BSI)组织的NIST CSF等级认证评估,通过对该认证的评估应答,充分说明绿盟云在风险检测、处置、响应、恢复等方面的能力成熟度。另外,绿盟云提供的产品和服务可以针对NIST CSF框架核心中五项功能中的部分类别提供帮助,协助解决客户管理网络安全风险时遇到的问题。绿盟云携手全球云服务用户,构建安全生态,为用户提供更多安全选择。

针对绿盟在识别、保护、检测、响应和恢复阶段的应答说明:

  • 在识别阶段与NIST CSF框架的对应关系可参见后续发布的文档4-1《绿盟云安全对 NIST CSF 框架之识别类应对表》;
  • 在保护阶段与NIST CSF框架的对应关系可参见后续发布的文档4-2《绿盟云安全对 NIST CSF 框架之保护类应对表》;
  • 在检测阶段与NIST CSF框架的对应关系可参见后续发布的文档4-3《绿盟云安全对 NIST CSF 框架之检测类应对表》;
  • 在响应阶段与NIST CSF框架的对应关系可参见后续发布的文档4-4《绿盟云安全对 NIST CSF 框架之响应类应对表》;
  • 在恢复阶段与NIST CSF框架的对应关系可参见后续发布的文档4-5《绿盟云安全对 NIST CSF 框架之恢复类应对表》。

与CSA标准的关系

云安全联盟 (Cloud Security Aliance,CSA)于2008年12月在美国发起,是中立的非盈利世界性行业组织,致力于云计算安全在全球全面发展。CSA在全球共有500多家单位会员,9万多个个人会员。2009年,绿盟科技成为CSA在亚太区的首家企业成员。

2010年,CSA发布了一套用于评估云 IT 运营的工具:CSA Governance、Risk Management & Compliance(GRC)Stack。其目的在于帮助云服务客户(Cloud Service Customer,CSC)对云服务商遵循行业最佳做法和标准以及遵守法规的情况进行评估。

2013 年,英国标准协会(BSI)和云安全联盟联合推出的国际范围内的针对云安全水平的权威认证(Security, Trust & Assurance Registry Program, STAR),这是一个可公开访问的免费注册表,云服务商可在其中发布其与 CSA 相关的评估。

CSA STAR 基于 CSA GRC Stack 的两大关键组成部分:

1)云控制矩阵 (Cloud Controls Matrix ,CCM):其中列出了云计算的安全控制,并将它们映射到多个安全和合规标准。该矩阵还可以用来记录安全责任。CCM涵盖基本安全原则的控制措施框架,它可帮助云客户对 CSP 的整体安全风险进行评估。

2)共识评估倡议调查表 (CAIQ):一份根据 CCM 制定的调查表,其中有客户或云审计师可能想要要求 CSP 根据 CSA 最佳做法对其合规性进行评估的一百多个问题。为云服务商提供的标准模板以记录他们的安全与合规控制。

STAR 提供三种级别的保障:CSA-STAR 自我评估是第 一 级别的入门级服务,它免费提供并向所有 CSP 公开;在保障堆栈中更深一步,第 二 级别的 STAR 计划涉及到第三方基于评估的认证;第 三 级别涉及到基于持续监视授予的认证。

此外,CSA发布了《云计算关键领域安全指南》《云计算的主要安全威胁报告》《云安全联盟的云控制矩阵》《身份管理和访问控制指南》等报告。其中,《云计算关键领域安全指南》是云安全领域奠基性的研究成果,得到全球普遍认可,具有广泛的影响力,被翻译成多国语言。其中,《云计算关键领域安全指南v4.0》共14章,第一章描述了云计算概念和体系,其他13章着重介绍了云计算安全的关注领域,以解决云计算环境中战略和战术安全的“痛点”。这些域分成了两大类:治理(governance)和运行(operations)。其中治理域范畴很广,解决云计算环境的战略和策略问题,在治理域中,要求对云平台进行合规化和审计管理;而运行域则更关注于战术性的安全考虑以及在架构内的实现。

图4 CSA 云计算关键领域安全指南 V4.0 云安全架构

1.2.1 CSA CCM矩阵

在过去的十几年中发布的云安全定义、架构、标准、指南中,CSA云控制矩阵(CCM)被世界各国公认为全球通用的黄金标准。CCM可以用作对云计算实施的系统性评估工具,也可以作为云计算供应链中各角色与安全控制关系的指导。CCM与《云计算关键领域安全指南》高度匹配,成为云安全保障与合规的事实标准。

CSA于2021年4月发布最新的云控制矩阵(CCM v4),CCM v4对CCM v3.0.1做了内容大幅更新,确保覆盖来自云计算新技术、新控制、安全责任矩阵的要求,改善控制项的问责制,增强互操作性及与其他标准的兼容性。

CSA CCM的目标是:

  1. 确保覆盖来自新云技术的需求(例如,微服务、容器)和新的法律和监管要求,特别是在隐私领域。
  2. 改善控制的可审核性,并为组织提供更好的实施和评估指导。
  3. 在共享责任模型中明确云安全责任的分配。
  4. 改善与其他标准的互操作性和兼容性。

CCM v4包括17个控制域中的197个控制目标,全方位涵盖了云计算技术的安全领域,具体的安全控制领域,如表1所示。CCM结构包含控制域、控制措施、对于每个控制措施对应的架构内容、公司治理的相关性、涉及的云服务类型、与云服务供应商和客户的相关性以及同标准、法规、最佳实践的映射关系。CCM构建了统一的控制框架,通过减少云中的安全威胁和弱点加强现有的信息安全控制环境,提供标准化的安全和运营风险管理,并寻求将安全期望、云分类和术语体系,以及云中实施的安全措施等标准化。

表1 CSA CCM v4 控制域

1.2.2 基于CSA CCM 构建绿盟云安全体系

CSA STAR以ISO/IEC 27001认证为基础,结合云端安全控制矩阵CCM的要求,运用BSI提供的成熟度模型和评估方法,综合评估组织云端安全管理和技术能力。CCM 与行业接受的安全标准、法规和控制措施框架相对应,例如 ISO 27001、PCI DSS、HIPAA、AICPA SOC 2、NERC CIP、FedRAMP 和 NIST 等等。

绿盟科技参考CSA云安全控制矩阵中17个控制域中的控制目标构建云安全体系框架,以下以审计与保障、应用程序和接口安全、供应链管理、威胁与漏洞管理为例说明:

在审计与保障方面,绿盟建立了一个正式、定期的审计计划,包括持续的、独立的内部和外部评估,内部评估持续追踪安全控制措施的有效性,外部评估以独立审核员身份进行审计,以验证绿盟云控制环境的实施和运行有效性。

在应用程序和接口安全方面,绿盟科技的云计算相关产品与服务在发布前均需完成静态代码扫描,扫描出的漏洞告警清零才可进行发布,有效降低应用程序存在编码相关的安全问题的可能性。绿盟科技对引入的开源及第三方软件制定了明确的安全要求和完善的流程控制方案,在选型分析、安全测试、代码安全、风险扫描、法务审核、软件申请、软件退出等环节,均实施严格的管控。

在供应链管理,透明度和问责制方面,绿盟科技制定了供应商安全管理要求,定期对供应商进行审查,验证其是否符合绿盟安全和隐私标准。绿盟科技建立了应对网络安全事件的响应流程,并针对关键基础设施、网络进行监控,可及时监测可能的网络攻击,避免数据泄露事件的发生。

在威胁与漏洞管理方面,绿盟科技所有的办公计算机均需安装公司指定的安全防护软件,仅可以安装指定软件列表的软件。对于IT基础系统、组件则通过IDS/IPS等进行保护。

针对其他控制域的要求,在此暂不详细罗列。

绿盟科技在云平台安全、云安全产品等方面,从硬件到应用构建了全面、纵深防护体系,以保障整个云计算体系的安全合规。

此外,绿盟科技在安全服务上,全面布局,在网络安全、主机安全、应用安全、数据安全等领域,推出了多款安全服务,并利用自身安全领域的优势,在全球构建安全生态,携手合作伙伴,为用户提供更多安全选择。

与等级保护2.0的关系

1.3.1 概述

《网络安全法》于2017年6月1日实施,“网络安全等级保护制度”首次从法律层面提及,标志着网络安全保护进入有法可依的等级保护2.0(以下简称等保2.0)时代。网络安全等级保护对象由信息系统调整为基础信息网络、信息系统(含采用移动互联技术的系统)、云计算平台/系统、物联网、大数据应用/平台/资源、物联网和工业控制系统等。自2019年12月1日起,《GB/T 22239-2019信息安全技术 网络安全等级保护基本要求》(以下简称“基本要求”)等系列标准正式实施,落实网络安全等级保护制度是每个企业和单位的基本义务和责任。

1.3.2 安全合规责任

从传统数据中心的视角,云安全是指保护云服务本身在基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS)中的技术资源的安全性,以确保各类云服务能够持续、高效、安全、稳定地运行。云服务与传统数据中心存在明显差异,前者对云安全整体设计和实践更侧重于为云服务客户提供完善、多维度、按需定制、组合的各种安全和隐私保护功能和配置,涵盖基础设施、平台、应用及数据安全等各个层面。同时,不同的云安全服务又进一步为云服务客户提供了各类可自主配置的高级安全选项。这些云安全服务需要通过深度嵌入各层云服务的安全特性、安全配置和安全管控来实现,并通过可整合多点汇总分析的、日趋自动化的云安全运维运营能力来支撑。

在云计算环境中,任何云服务客户业务应用系统安全性由云服务商和云服务客户共同保障,云服务客户业务系统所部署的云计算服务模式不同,双方安全责任边界也相应产生差异,详细的差异如《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》中所描述。按业界定义的安全责任共担模型,云服务客户使用不同模式的云服务(IaaS、PaaS 或 SaaS)时,对资源的控制范围不同,安全责任边界也根据控制范围的差异而有所不同。

等保2.0标准中将安全技术要求重新划分为4个层面:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全。在网络和通信安全方面要求安全审计。云服务方和云租户分别收集各自的审计数据,并根据职责划分提供审计接口,实现集中审计。在设备和计算安全方面,云服务方负责基础设置的安全审计,云租户提供计算服务中的安全审计,审计要求提供数据接口实现集中审计。在应用和数据安全方面,要求根据职责划分,提供各自的审计接口实现集中审计。

1.3.3 基于等保2.0构建绿盟云安全体系

绿盟科技最早于2006年开始提供等级保护咨询和建设服务,拥有10余年、5000+次的等级保护建设经验。

绿盟科技对等级保护2.0下的安全建设,通过建设“一个中心”管理下的“三重防护”体系。分别对通信网络、区域边界、计算环境进行管理,实施多层隔离和保护措施,构建网络安全纵深防御体系。

图5 等级保护安全技术设计框架(第二级)

图6 等级保护安全技术设计框架(第三级)

网络安全等级保护安全技术框架各个功能部件功能设计如下:

★ 安全计算环境

对定级系统的信息进行存储、处理及实施安全策略的相关部件。

★ 安全区域边界

对定级系统的安全计算环境边界,一级安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件。

★ 安全通信网络

对定级系统安全计算环境之间进行信息传输及实施安全策略的相关部件。

★ 安全管理中心

对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台。

绿盟科技的总体安全体系架构设计如图7所示,其中,等级保护三级的系统总体安全体系架构包括总体安全策略、网络安全等级保护制度、安全技术体系、安全管理体系和安全服务体系五个有机组成部分。

图7 绿盟科技等保2.0总体安全体系架构

★ 总体安全策略

单位整体安全策略是立足本单位现状和将来一段时间内,以保护单位整体信息安全而制定的安全方针,需要单位全体人员遵守并执行。总体安全方针、策略具有战略高度,并且根据单位面临的安全风险,进行定期更新。

★ 网络安全等级保护制度

在安全建设中,需要落实国家网络安全等级保护制度,安全保障建设首先需要对单位系统进行科学定级、备案,落实安全整改建设,通过等级测评对单位安全防护能力进行有效检测,在安全运营中持续进行安全监测和响应,同时需要配合上级单位和监管单位的安全监督检查。

★ 安全技术体系

从计算环境安全、安全区域边界、安全通信网络和安全管理中心四个方面分别设计。其中,安全计算环境主要是对单位定级系统的信息进行存储处理,并且实施安全策略保障信息在存储和处理过程中的安全,安全计算环境包括:用户身份鉴别、用户身份鉴别、自主访问控制、标记和强制访问控制、系统安全审计、用户数据完整性保护、用户数据保密性保护、客体安全重用、程序可信执行保护。

通信网络安全主要实现在网络通信过程中的机密性、完整性防护,重点对定级系统安全计算环境之间信息传输进行安全防护。安全通信网络包括:安全审计、数据传输完整性保护、数据传输保密性保护、可信接入保护。

安全区域边界主要实现在互联网边界以及安全计算环境与安全通信网络之间的双向网络攻击的检测、告警和阻断。安全区域边界包括:区域边界访问控制、区域边界包过滤、区域边界安全审计、区域边界完整性保护。

安全管理中心主要实现安全技术体系的统一管理,包括系统管理、安全管理和审计管理。同时,按照权限划分提供管理接口。

★ 安全管理体系

从安全策略、管理制度、管理机构、人员管理、安全建设管理和安全运维管理等方面分别设计。重点内容包括安全管理机构的组建,安全策略、管理制度、操作规程、记录表单等内容的安全管理制度体系的补充和完善,安全相关人员的录用、培训、授权和离岗管理,围绕信息系统全生命周期安全的安全建设管理和安全运维管理。

★ 安全服务体系

近年来,数据安全得到广泛关注,在数据产生、采集、加工、存储、应用到销毁的全过程中,都可能会引入各种安全相关的问题。对数据的正确访问、数据泄露防护、敏感数据的加密等手段,能够有效保护数据安全。

从信息系统安全角度出发,通过网络安全风险评估、安全加固、渗透测试、应急响应、安全重保、应急演练、安全培训等服务,和安全技术体系、安全管理体系相辅相成保障信息系统的安全风险始终处于可控、可管的安全状态。

绿盟科技等保2.0安全保障体系全景图如图8所示。绿盟科技遵循网络安全等级保护2.0基本要求和云计算相关标准要求,充分分析云计算安全需求,以“纵深防御,持续监控”为指导思想,逐步建立自适应安全防护体系,形成包含预警、防护、检测和响应等能力的安全闭环,分别从云平台和云上客户两个层面进行防护,并为云上客户提供专业和可配置的安全服务,全面控制云平台自身和云上客户的安全风险,不止满足云平台等保三级和云上客户等保合规性要求,更可以持续防护云计算环境。

图8 绿盟等保2.0安全保障体系全景图

总体而言,等保2.0是基础框架,云等保是补充,云等保是等保2.0的子集。

相应地,绿盟科技云等保解决方案整体架构如图9所示。

图9 云等保解决方案整体架构

基于等保2.0,绿盟科技的云安全产品部署如图10所示(其中以v为前缀的产品为虚拟化版本):

图10 绿盟云安全产品示意图

云安全能力发展趋势

云计算技术始终在快速发展中,很难给出云安全能力发展的全景图,然而可以根据产业和安全技术的发展,预测云安全能力的发展趋势。按照“使用一代、建设一代、预研一代”的原则,绿盟科技不断迭代研究新的云计算安全前沿技术,积累云计算新的安全能力,研制下一代云计算安全创新产品与平台。

云上攻防

除了合规驱动外,越来越多的云安全事件也在促进云安全防护能力的提升。攻击者是逐利的,随着越来越多企业选择云计算来开发、承载业务,云上业务的价值在飞速增长,也因此成为黑产团伙的重点关注对象。

近年来,云安全事件层出不穷,例如:

2018年2月20日,特斯拉公司的Kubernetes云原生集群被曝出曾在数月前被入侵,黑客在特斯拉的Kubernetes集群中部署了挖矿程序。

2019年10月15日,一款名为Graboid的挖矿蠕虫程序被曝光,该病毒通过不安全的Docker守护进程暴露出来的远程端口获得目标主机的控制权,然后下达指令从Docker Hub上拉取并运行恶意镜像。被发现时,它已经感染了超过2000台Docker宿主机。

2020年4月8日,微软Azure安全中心公告称检测到大规模Kubernetes集群挖矿事件;同年6月10日,Azure再次公告称检测到大规模Kubeflow挖矿事件。

2021年8月,微软提供的Cosmos DB数据库服务被曝光存在一系列严重的安全漏洞,可能导致大规模商业数据泄露。

2021年,TeamTNT组织多次被曝针对云计算对象发起攻击,包括投放针对Kubernetes集群的非法加密挖矿软件、在Docker Hub上投放恶意镜像、利用存在未授权访问漏洞的Docker控制服务器等。

由此可见,攻击者已经将战场从传统环境扩展到了云计算环境。在此背景下,未知攻焉知防,防守方必须跟进掌握最新的云安全攻防技术,不断迭代不断进化,实现云上攻防能力的持续运营和向云安全防御能力的持续转化,才能够实现云计算业务和环境的有效防御。

对此,绿盟科技星云实验室创建并开源了Metarget云原生攻防靶场项目,希望将云原生脆弱场景固化,提供自动化的脆弱环境构建能力,不断积累沉淀云原生攻防研究,进而实现以攻促防,持续赋能云原生安全产品。

对于具体的攻防技术来说,归纳和分类是非常重要的,能够帮助我们降低复杂度,梳理已有攻击技术,制定防护能力发展规划,评估安全能力对攻防技术的覆盖度。目前Mitre归纳了云计算(含几大公有云)、容器的ATT&CK技战术。在此基础上,我们扩展了一个云原生ATT&CK矩阵,读者可结合这几个矩阵构建云上整体的威胁视图:

表2 云原生ATT&CK矩阵

云安全态势与安全能力的评估

随着合规性要求和攻防需求迅速增加,企业纷纷部署众多的安全产品以确保云环境和云上业务的安全性,但即使如此,也很难回答“云计算平台和应用是否安全”这一问题。因为错误配置与缺乏及时更新都可能会产生系统的风险。事实上,无论是真实的攻击,还是大型攻防对抗演练,都出现攻破云平台或云上应用的案例。考虑到云上业务变化频繁,云计算应用规模庞大,仅仅依靠人工手段去评估(如红蓝对抗、渗透测试等)很难达到完备。因而,云环境中的持续性安全评估,特别是云原生入侵和攻击模拟(Cloud Native Breach & Attack Simulation,CNBAS)应运而生,其可评估云环境是否安全,并可验证云上部署的安全能力是否有效。

从功能上来看,CNBAS既能对云计算平台本身安全性进行评估,又能可对第三方安全能力和策略进行评估。一方面可依托于针对云计算ATT&CK矩阵的攻击武器,对云环境进行自动、持续、无害化的攻击模拟;另一方面,参考国内外针对云原生系统的合规性要求和成熟度评估机制,评估系统整体的安全成熟度。

从架构上来看, CNBAS以云原生的方式部署和工作,既具备云计算的可靠、伸缩、易扩展等特性,也能利用云原生平台的接口、资源,减少对被评估环境依赖和侵入,提升整体运营的效率。

云上风险发现

云计算技术栈已经被广泛使用。开发运营一体化(DevOps)、编排系统、微服务、声明性 API与无服务器等新技术的使用,使得对应用运营变得更加便捷方便,带也带来了极大的安全风险。因为:

· 云上服务需要对外暴露,但如果因不当配置、弱访问凭证、服务软件版本信息泄露,都可能造成攻击者发现并利用脆弱性,造成数据泄露等后果,在Gartner发布的2022年安全和风险管理的主要趋势中,将攻击面的暴露作为第一条纳入其中,可见对攻击面的管理的重要程度。

· 当前软件系统依赖大量开源软件库、中间件,这些软件如出现严重漏洞能被利用,攻击者发现后就可能直接攻陷云上系统。

· DevOps的闭环链条非常长,其中某个环节出现不可控的风险,就会危害整个业务系统的安全。例如外包员工将代码仓库外泄到代码平台或自托管的主机,都可能被攻击者所窃取并利用。在2021年的3月份就曾爆出PHP的Git服务器被入侵,源代码被添加后门事件。

因而,绿盟科技在云上风险发现方面构建完整的外部攻击面发现的监控体系,包括:

DevOps软件供应链监控:开发中使用的大量的第三方开源服务或者依赖库,使用的服务镜像,都有可能存在漏洞。

云计算基础设施监控,监控Docker、Kubernetes等云计算基础设施,特别是对外暴露的服务与自身的安全漏洞,可对云上云原生服务组件潜在的脆弱性进行快速识别或无害性高精度验证。

微服务安全:微服务依赖的服务网格,各种服务发现组件,消息队列等中间件,对外暴露的大量API等安全风险。

公开服务配置监控:例如Kubernetes的API对外未授权暴露可导致攻击者接管整个Kubernetes集群,恶意利用集群资源集群。

源代码仓库监控:通过对云上的资产进行持续测绘,获取源码仓库的特征利用人工智能识别仓库真实属主,并对存在错误配置或者未授权的仓库进行仓库内容分析识别。具体包括以下功能:代码仓库基础信息识别;识别代码仓库地区信息、人名信息、组织机构信息等;发现代码仓库中的敏感信息,如个人隐私、SQL数据库账号密码、服务器公私钥等;归因代码仓库相关领域、开发和发布机构等。

我们预测,云上风险的发现将成为攻守双方在云计算系统、应用与服务前的首战之地,包括网络空间测绘技术、自动化漏洞验证、软件供应链安全等一系列技术将快速发展,读者应在这些领域适度投入资源,尽可能降低对外暴露的攻击面。

API与服务类安全

云原生环境中,应用由传统的单体架构转向微服务架构,云计算模式也向为函数即服务(Function as a Service,FaaS)发展。应用架构和云计算模式的变革会导致进一步的风险,如:

· 云原生应用架构的变化进而导致应用API交互的增多,大部分交互模式已从Web请求/响应转向各类API请求/响应 ,例如RESTful/HTTP、gRPC等。

· 由于应用架构变革,云原生应用遵循面向微服务化的设计方式,从而导致功能组件化、服务API数量和东西向流量激增,配置复杂等问题,进而为云原生应用和业务带来了新的风险,例如攻击者可利用某服务API漏洞,在内部容器网络进行横向移动,造成数据泄露的后果。

· 无服务器计算是一类新的云计算模式,在提升整体开发效率的同时,也引入新的风险,如拒绝钱包服务攻击(Denial of Wallet DoW)、函数滥用等。

因而,绿盟科技构建了面向云原生应用和API的安全防护体系,包括:

· 微服务API资产发现:提供微服务API资产信息、API调用链路追踪及关联关系,同时,提供基于IP/域名/业务/API数据实体多角度资产画像可视化,数据标签、数据风险、安全事件探索以及全方位的访问记录可视化能力。

· 微服务API业务安全:基于基线的异常检测可对微服务业务间调用异常序列、参数、逻辑等进行异常行为告警。

· 微服务API安全网关:提供针对微服务应用场景下的全流量防护能力,可适应云原生环境下应用普遍容器化、面向微服务架构、容器编排调度等特性,解决微服务间东西向流量难以防护的问题,特别对微服务API滥用、Webshell连接上传、SQL注入等常见攻击有着较为明显的防护效果。

场景化的云安全建设

大型公有云上的安全建设

国内云计算总体处于快速发展阶段,据中国信息通信研究院发布的《云计算白皮书(2022年)》[1]的数据,2021年我国公有云IaaS市场规模达1614.7亿元,增速80.4%,PaaS同比正增长90.7%达194亿,SaaS同比正增长32.9%达370亿。推动公有云快速增长主要用户群体为企业、个人和政府, 政府方面因数据敏感度、安全性比较高出台了各类政务云的规划,多数非敏感业务也逐渐转移到政务云上;此外,中小企业是大型公有云市场的核心群用户,因为成本和便捷性考虑,相当一部分的企业选择公有云托管业务或直接采购SaaS服务。

大型公有云服务商一般会提供较为完善的安全服务,其中相当一部分为云服务商自身的安全能力,而其他非标准、特定需求、高级、跨云的安全能力则由第三方安全厂商提供。一般公有云计算场景的安全产品选购途径有4种:安全厂商提供可安装的安全软件、安全厂商提供独立的安全SaaS服务、驻公有云市场的安全厂商的安全产品、云服务商自己提供的安全服务。

公有云租户如希望进行云上的安全建设,首先需要考虑自身的业务与安全责任,依照云安全责任模型,承担租户自身部署的资源和业务的安全,负责采购安全产品、配置安全策略和安全运营。因而,租户应对比自己的需求与云服务商的安全能力,应重点考虑两者不一致处。如存在,则或通过第三方安全厂商产品,或通过独立的安全服务解决。

从目前的实践看,建议用户在安全建设前结合业务需求和经济投入、法律政策的要求下,着重针对漏洞利用、口令破解、偏离基线、横向扩散等风险进行安全防护。

私有/行业云的安全建设

2015年“互联网+”概念兴起至今,影响国民经济的主要行业均着手实现云化转型,而各行业的龙头企业在相当程度上成为云计算平台建设的排头兵,在此期间对影响国民经济各主要行业,国家发布了云化建设的行业政策。其中覆盖了制造业、政府、医疗、教育、金融、物流、能源、互联网、交通等行业。在《云计算三年行动计划(2017—2020年)》和《推动企业上云实施指南(2018—2020年中)》中,可以看出政府在积极推动云计算在各个场景的应用,尤其是政务和金融领域。

相当一部分数量的行业或区域的头部客户是从虚拟化系统转到云计算系统,并且有合规性和数据安全的考虑,所以他们是采用了私有云的方案,而没有采用直接上公有云的方案。当然,有一些大型行业(如运营商、政府、金融)的头部机构,也在从为自己服务的私有云转向为行业内其他客户提供具有本行业特点服务的行业云。

与大型公有云不同之处在于,私有云与行业云的运营方不是公有云服务商,而是行业客户。根据责任共担模型,如果是私有云,那么全部责任均由行业客户承担;如果是行业云,那么责任分界线以下的所有安全责任,均由该行业客户承担。所以,行业客户应在方案设计、平台建设与安全运营整个生命周期,与安全厂商紧密协作,全方位保护云平台和应用的安全。

具体地,结合私有云与行业云本身的安全风险以及各行业的特点,在满足法律法规的要求下。以CARTA(持续自适应风险与信任评估)为原则,遵循“建立自适应安全防护模型和责任共担模式”的设计思路,坚持“协作、共享、智能和服务”的设计原则,采用“1+2+3+5”的顶层设计,即实现自适应安全防护体系一个目标,保护云平台和云上信息系统两个对象,同步规划、同步建设和同步使用安全管理体系、安全技术体系和安全运营体系等三个体系,开展覆盖决策规划、纵深防护、监测预警、安全响应和评价提升等五个阶段的工作,保障云安全运行,为行业实现数字化转型护航。

私有云与行业云的具体云安全建设,可参见绿盟科技后续发布的相关行业的云安全建设方案。

多云/混合云的安全建设

虽然多云/混合云的发展非常迅猛,然而其应用增加了整个系统的复杂性、异构度和攻击面,攻击者有可能利用一个系统的脆弱性移动到另一个核心系统,因而,企业应考虑在多云或混合云环境中部署统一、全方位的安全防护能力。此处给企业有2点建议:首先,采用零信任的架构,如SSE、SDP和身份访问管理机制,构建基于身份与上下文的边界;其次,采用第三方厂商构建跨云的安全编排能力,动态地在公有云、企业环境部署一致的安全能力,并可根据业务进行弹性伸缩和迁移,避免云服务商单一安全能力锁定。

更具体地,在面对多云/混合云环境下需要着重注意资源的统一管理能力,只有具备资源的统一管理能力才能对防护、运维起到良好的基础支撑,首先是资产清查能力,需要对多云产统一管理为客户提供基础的资产概览、资产拓扑、账号管理、主机资产如虚拟主机、镜像、网络,用户权限管理、具备横向可扩展的CMP能力等,其安全能力对接多云有一定要求。其次是安全建设能力分散,运维管理成本较高,需要统一进行策略管理,需要根据资产分布情况进行云安全能力建设,根据客户需求,自动化投放和部署安全服务。最后是需要满足等保合规以及安全体系和人员提升做到威胁闭环处置的运营反制能力。

多云与混合云的具体云安全建设,可参见绿盟科技后续发布的《多云/混合云场景的云安全建设方案》。

云化新型基础设施(5G/边缘计算)的安全建设

我国的“十四五”规划提出:系统布局新型基础设施,加快第五代移动通信、工业互联网、大数据中心等建设。新型基础设施(包括5G、边缘计算和工业互联网等)的建设已经成为国家政策与经济发展的重要抓手,也是各行各业数字化转型的重要驱动力。

随着云计算作为支撑技术的快速发展,新型基础设施多以云计算为技术底座,如5G核心网、MEC平台,以及工业互联网及其边缘网关等,都使用了虚拟化或容器技术提供弹性伸缩、敏捷部署的能力。因而,保护这些新型基础设施,就需要首先保护其云计算底座的安全。

结合5G/MEC风险,以运营商为例,边缘计算安全防护方案是由两个部分构成——运行体系和生态体系,其中运行体系由云、管、端、边构成安全能力的纵深防御和深度协同。通过运营商通信安全增强能力、云端安全能力协同共同构成整个体系。生态体系覆盖了与边缘计算相关的基础设施、软件平台和APP的生命周期管理,以及边缘计算相关生态的安全测试验证,包括测试环境、测试工具、基础资源。结合用户业务能力将安全能力分别以云、管、端、边4个位置进行部署。边缘计算的安全能力部署在最靠近行业用户的位置,为本省、云端能力提供信息基础,为客户实现最直接的安全防护、检测和安全基础设施。

运营商行业的具体云安全建设,可参见绿盟科技后续发布的《运营商行业场景的云安全建设方案》;工业互联网的具体云安全建设,可参见绿盟科技后续发布的《工业互联网场景的云安全建设方案》。

参考文献

[1] 中国信通院,云计算白皮书(2022年)

本公众号原创文章仅代表作者观点,不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权,严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用,转载须注明来自绿盟科技研究通讯并附上本文链接。