云集技術學社 | 云安全的演進與關鍵技術能力介紹
9月2日,深信服方案專家廣博在信服云《云集技術學社》系列直播課上進行了《云安全的演進與關鍵技術能力介紹》的分享,詳細介紹了云和云安全的演進路徑,以及伴隨著路徑帶來的需求變化和關鍵技術能力。
看點一:云與云安全的演進路徑
云的演進路徑可以從三個角度來看待,一是從信息化的角度看,從虛擬化超融合承載部分業務系統到整體數據中心的云化,再到混合云乃至多云的統一管理。二是從服務模式的角度看,最初云大多是提供IaaS層面的一些服務慢慢演變成以容器服務、數據庫服務為代表的PaaS服務,最后演變為以提供軟件為代表的SaaS服務。三是從作用的角度上看,云也從IT支撐中心提高到IT服務中心,目前也在逐步演變為提供輕量化服務的創新中心。
與云演進路徑相對應的是,云端的安全風險也在逐步發生變化。除了傳統環境中已經存在的網絡應用數據的風險和合規需求外,云化環境以及利用虛擬化層漏洞的攻擊和海量不可視的橫向流量均帶來了新的安全風險。
在云化過程中,最為重要的是權責分離,即明確云服務商以及云服務用戶對各種資源的管理責任與義務。
伴隨著對云計算概念的逐步的探索,多云安全以及云原生安全也漸漸成為了用戶關心的重點。這也讓用戶開始考慮“適配云化環境的”安全,也要求用戶在開發階段就將安全考慮其中,即“安全左移”。
為了應對多變的云安全風險,云安全的技術也在發生非常大的變化,從最早期關注主機的漏洞修復,逐步擴展到針對云主機的殺毒。后面隨著云上業務越來越多,安全能力的NFV化和安全能力的平臺化也逐步成為用戶考慮的重點。此時就誕生了通過安全資源池來實現對于NFV組件統一管理的概念。近幾年,因為安全能力對應云的演進升級到了多云管理平臺以及云上的安全開發平臺,多云安全管理、云原生安全的概念應運而生。
總的來說,云安全的技術演進路徑可以總結為兩條,第一個就是通過安全能力的演進來解決發展過程當中的云安全問題。第二個是利用平臺進行納管,實現對于整體安全能力的整合。
看點二:云安全需求與關鍵技術能力
2017年全國信息安全標準化技術委員會就提出了GB/T 35279云計算安全參考架構,采用分層形式,清晰地描述出了在云服務當中參與決策的安全責任和計算角色、角色安全職責、安全功能組件以及它們之間的關系。這個架構適用于指導所有云計算參與者在進行云計算系統規劃時對安全的評估與設計。
結合參考架構及用戶云發展的情況,云安全的三大關鍵需求總結如下:
1.滿足合規要求的云計算平臺
當企業開始建設云底層平臺以及部分業務遷移上云的時候,企業需要的是一個滿足合規要求的云計算平臺。關于滿足合規要求,國內說的比較多的是等級保護。在等級保護中分為四大核心標準,分別是等保的定級指南、基本要求、安全設計技術要求以及測評要求。這4個標準共同構成了等級保護2.0標準體系。
在等保的這4個標準中,它分別解答了用戶最為關心的4個問題。“等保定級指南”解答了在云環境下包含了哪些定級對象?這里面包含了云計算平臺以及云上的業務應用系統。“基本要求”回答了在云計算環境下,做了哪些具體要求。“安全設計技術要求”解答了在云計算環境下如何進行系統設計以及建設的問題。“測評要求”回答了對于測評機構如何開展測評的問題。
對于黨政機關以及涉及到關鍵信息基礎設施來說,可能需要重點關注的是云安全審查,對應的是GB/T 31167-2014《信息安全技術云計算服務安全指南》和GB/T 31168-2014《信息安全技術云計算服務安全能力要求》。它的評估對象是面向于黨政機關以及關鍵信息基礎設施運營者,對于他們所使用的云服務的安全性進行審查。對于云服務商的征信、經營基本情況、平臺的穩定性、技術供應鏈安全、安全管理能力以及云平臺的整體防護能力等都提出了比較高的要求。
在等級保護和云安全審查的兩個合規需求推動下,在具體的落地時,合規能力可拆解為5個方面。一是安全能力NFV化及它是否適配云化業務/租戶;二是云平臺的南北向安全;三是云平臺的東西向安全;四是虛擬化層和宿主機安全;五是云管平臺安全。
2.滿足業務需要的云租戶應用安全
隨著云化持續推進,目前的業務系統很多都是基于云來進行開發,對于云安全來說,它需要適配到業務的全生命周期各個階段,重點需要提供的是服務化編排以及監測運營的能力。
云租戶有公有云和私有云這兩個不同的應用場景。在私有云場景下,業務上線時需要對服務能力進行編排。將云安全服務平臺作為中間承載平臺來實現的。在北向,云安全服務平臺能夠和云管平臺實現對接,提供API目錄被云管平臺所集成,也就是說通過云管平臺就可以直接和云安全服務平臺進行聯動。同時云安全服務平臺還起了承下的作用,通過和應用集成開放集成平臺進行對接,相當于直接支持相關第三方的一些安全能力。云安全服務平臺南北向的接口能夠實現對于整體安全的編排。
在運行階段,私有云重點在于業務運行時監測運營能力的構建,分為三個方面。第一是統一的安全監測,全面采集云數據中心各區域日志/流量,基于各類型模型算子深度關聯分析,實現統一安全監測預警。第二是策略優化統一配置,運營中心生成處置策略,對接安全資源池,基于服務鏈編排模塊管理云內或云外安全NFV組件,處置閉環安全事件。第三是現有建設有效利用,廣泛適配對接第三方NFV組件、安全設備、網絡設備,有效利用原有零散安全能力資源。
在公有云場景中,業務上線時重點關注的是安全配置管理。公有云配置的正確性和安全性,是一大難題,特別是云服務的采用率不斷增長,平臺服務的復雜性不斷增加情況下,公有云配置導致的安全與合規挑戰日益嚴峻。因此建議公有云采用CSPM(云安全配置管理)。CSPM能夠對基礎設施安全配置進行分析與管理。這些安全配置包括賬號特權、網絡和存儲配置、以及安全配置(如加密設置)。如果發現配置不合規,CSPM會采取行動進行修正。可以將CSPM視為一個持續改進和適應云安全態勢的過程,其目標是在配置層面降低攻擊成功的可能性,以及在攻擊者獲得訪問權限的情況下降低發生的損害。CSPM策略是在云應用的整個生命周期中進行持續評估和改進的一個策略,從研發開始一直延伸到運維,并在需要時做出響應和改進。
在業務訪問時,則需要CASB(云訪問安全代理)發揮作用。隨著SaaS服務的快速發展,從底層硬件資源到上層軟件資源,最終用戶都無法實施控制。
CASB主要運用的是以下幾個功能:
1.深度可視化:影子IT發現、云服務統一視圖、云服務用戶信息采集和管理。
2.數據安全:實施以數據為中心的安全策略,通過在數據層面的審計、警報、阻止、隔離、刪除和只讀等控制措施,實現云訪問過程的DLP。
3.威脅防護:提供AAC來防止有害設備、用戶和應用程序版本來訪問云服務,一般通過嵌入式UEBA、威脅情報、網絡沙箱以及惡意軟件識別和緩解。
4.合規性:幫助組織機構證明和管理云計算資源使用情況,確定云風險偏好并確定云風險承受能力,有助于滿足數據駐留和法律合規性要求。
在公有云場景下,在業務上線以及業務訪問過程當中,安全的能力已經實現。但目前在SaaS的這種環境下,用戶更多的時候需要云服務商通過SaaS化來交付安全的能力,因此就出現了SASE。
3.面向未來的多云和云原生安全
云目前已成為新型基礎設施,企業從優化資源、提升效能出發會選擇各類云服務。從“應用上云”到“應用生于云、長于云”,云原生應用快速爆發。也因此云安全需要適配多云和云原生場景,應對新場景安全挑戰,實現資產、配置、態勢的統一管理運營。
多云環境
在多云環境下,對于用戶來講首先需要面對的一個問題就是在多云環境下的資產管理。多云環境中,業務類型更多樣,變化更頻繁。同時業務和安全管理責任人更廣泛,權限更難梳理。在這種情況下,如何將業務和安全管理更好地進行結合
首先需要構建一個統一的資源安全中心,統一管理多云資產當中的配置風險,資產風險以及資產的各類訪問權限。
其次針對各類云平臺安全配置差異大、配置項復雜、存在安全風險和合規挑戰的問題,通過云安全配置管理(CSPM)功能,解決多云場景下控制平面的挑戰。
另外還可利用云安全服務平臺CSPM功能,掃描比對各個云平臺上各類型業務,自動化適配和制定合規管理模板,實現面向多云環境的統一自動化動態合規管理。
最后針對多云的安全策略管理,分為事前、事中、事后三個階段。事前需要通過云安全服務平臺和各個的云平臺云管實現對接,管理不同云平臺內整體的安全組件。同時云安全服務平臺對接云平臺原生安全組件,通過內置策略模板校驗策略安全性,集中調整安全配置,避免合規風險。事中重點在于事件和流量的統一的收集、態勢分析以及呈現。事后基于風險事件定位,利用云編排響應功能下發網絡、主機、配置編排策略,下發各類型安全控制點執行,反饋處置結果,實現多云安全事件處置閉環。
云原生環境
在云原生環境下,首先需要厘定云原生安全的定義和范圍。云原生的代表技術包括容器、服務網格、微服務、不可變基礎設施和聲明式API。云原生技術有利于各組織在公有云、私有云和混合云等新型動態環境中,構建和運行可彈性擴展的應用。云原生安全所保護的對象,是指以容器技術為基礎底座,以DevOps、面向服務等云原生理念進行開發并以微服務等云原生架構構建的業務系統共同組成的信息系統。
云原生安全主要還是以容器安全技術作為整體底座來保護云原生業務應用。
此外,云原生業務存在大量API發布和對外訪問交互,還需要針對API場景進行持續的監測和防護。目前應用比較多的是通過API的整體安全網關,匹配云原生場景下的API的安全監測和防護能夠對于像標準的一些API的格式進行解析。同時需要識別和防護SQL、XSS等注入攻擊,針對防護重放、篡改等攻擊形式實現阻斷。另外API安全網關還需要考慮一個功能,就是針對于后端資產的發現和校驗。基于請求方的身份權限來進行調用,實現對于API的整體的一個限流和審計。為了提高API的監測和防護能力,還會使用語義識別和機器學習等一些新技術,增強防御能力,降低檢測誤報。
