9月2日,深信服方案专家广博在信服云《云集技术学社》系列直播课上进行了《云安全的演进与关键技术能力介绍》的分享,详细介绍了云和云安全的演进路径,以及伴随着路径带来的需求变化和关键技术能力。
看点一:云与云安全的演进路径
云的演进路径可以从三个角度来看待,一是从信息化的角度看,从虚拟化超融合承载部分业务系统到整体数据中心的云化,再到混合云乃至多云的统一管理。二是从服务模式的角度看,最初云大多是提供IaaS层面的一些服务慢慢演变成以容器服务、数据库服务为代表的PaaS服务,最后演变为以提供软件为代表的SaaS服务。三是从作用的角度上看,云也从IT支撑中心提高到IT服务中心,目前也在逐步演变为提供轻量化服务的创新中心。
与云演进路径相对应的是,云端的安全风险也在逐步发生变化。除了传统环境中已经存在的网络应用数据的风险和合规需求外,云化环境以及利用虚拟化层漏洞的攻击和海量不可视的横向流量均带来了新的安全风险。
在云化过程中,最为重要的是权责分离,即明确云服务商以及云服务用户对各种资源的管理责任与义务。
伴随着对云计算概念的逐步的探索,多云安全以及云原生安全也渐渐成为了用户关心的重点。这也让用户开始考虑“适配云化环境的”安全,也要求用户在开发阶段就将安全考虑其中,即“安全左移”。
为了应对多变的云安全风险,云安全的技术也在发生非常大的变化,从最早期关注主机的漏洞修复,逐步扩展到针对云主机的杀毒。后面随着云上业务越来越多,安全能力的NFV化和安全能力的平台化也逐步成为用户考虑的重点。此时就诞生了通过安全资源池来实现对于NFV组件统一管理的概念。近几年,因为安全能力对应云的演进升级到了多云管理平台以及云上的安全开发平台,多云安全管理、云原生安全的概念应运而生。
总的来说,云安全的技术演进路径可以总结为两条,第一个就是通过安全能力的演进来解决发展过程当中的云安全问题。第二个是利用平台进行纳管,实现对于整体安全能力的整合。
看点二:云安全需求与关键技术能力
2017年全国信息安全标准化技术委员会就提出了GB/T 35279云计算安全参考架构,采用分层形式,清晰地描述出了在云服务当中参与决策的安全责任和计算角色、角色安全职责、安全功能组件以及它们之间的关系。这个架构适用于指导所有云计算参与者在进行云计算系统规划时对安全的评估与设计。
结合参考架构及用户云发展的情况,云安全的三大关键需求总结如下:
1.满足合规要求的云计算平台
当企业开始建设云底层平台以及部分业务迁移上云的时候,企业需要的是一个满足合规要求的云计算平台。关于满足合规要求,国内说的比较多的是等级保护。在等级保护中分为四大核心标准,分别是等保的定级指南、基本要求、安全设计技术要求以及测评要求。这4个标准共同构成了等级保护2.0标准体系。
在等保的这4个标准中,它分别解答了用户最为关心的4个问题。“等保定级指南”解答了在云环境下包含了哪些定级对象?这里面包含了云计算平台以及云上的业务应用系统。“基本要求”回答了在云计算环境下,做了哪些具体要求。“安全设计技术要求”解答了在云计算环境下如何进行系统设计以及建设的问题。“测评要求”回答了对于测评机构如何开展测评的问题。
对于党政机关以及涉及到关键信息基础设施来说,可能需要重点关注的是云安全审查,对应的是GB/T 31167-2014《信息安全技术云计算服务安全指南》和GB/T 31168-2014《信息安全技术云计算服务安全能力要求》。它的评估对象是面向于党政机关以及关键信息基础设施运营者,对于他们所使用的云服务的安全性进行审查。对于云服务商的征信、经营基本情况、平台的稳定性、技术供应链安全、安全管理能力以及云平台的整体防护能力等都提出了比较高的要求。
在等级保护和云安全审查的两个合规需求推动下,在具体的落地时,合规能力可拆解为5个方面。一是安全能力NFV化及它是否适配云化业务/租户;二是云平台的南北向安全;三是云平台的东西向安全;四是虚拟化层和宿主机安全;五是云管平台安全。
2.满足业务需要的云租户应用安全
随着云化持续推进,目前的业务系统很多都是基于云来进行开发,对于云安全来说,它需要适配到业务的全生命周期各个阶段,重点需要提供的是服务化编排以及监测运营的能力。
云租户有公有云和私有云这两个不同的应用场景。在私有云场景下,业务上线时需要对服务能力进行编排。将云安全服务平台作为中间承载平台来实现的。在北向,云安全服务平台能够和云管平台实现对接,提供API目录被云管平台所集成,也就是说通过云管平台就可以直接和云安全服务平台进行联动。同时云安全服务平台还起了承下的作用,通过和应用集成开放集成平台进行对接,相当于直接支持相关第三方的一些安全能力。云安全服务平台南北向的接口能够实现对于整体安全的编排。
在运行阶段,私有云重点在于业务运行时监测运营能力的构建,分为三个方面。第一是统一的安全监测,全面采集云数据中心各区域日志/流量,基于各类型模型算子深度关联分析,实现统一安全监测预警。第二是策略优化统一配置,运营中心生成处置策略,对接安全资源池,基于服务链编排模块管理云内或云外安全NFV组件,处置闭环安全事件。第三是现有建设有效利用,广泛适配对接第三方NFV组件、安全设备、网络设备,有效利用原有零散安全能力资源。
在公有云场景中,业务上线时重点关注的是安全配置管理。公有云配置的正确性和安全性,是一大难题,特别是云服务的采用率不断增长,平台服务的复杂性不断增加情况下,公有云配置导致的安全与合规挑战日益严峻。因此建议公有云采用CSPM(云安全配置管理)。CSPM能够对基础设施安全配置进行分析与管理。这些安全配置包括账号特权、网络和存储配置、以及安全配置(如加密设置)。如果发现配置不合规,CSPM会采取行动进行修正。可以将CSPM视为一个持续改进和适应云安全态势的过程,其目标是在配置层面降低攻击成功的可能性,以及在攻击者获得访问权限的情况下降低发生的损害。CSPM策略是在云应用的整个生命周期中进行持续评估和改进的一个策略,从研发开始一直延伸到运维,并在需要时做出响应和改进。
在业务访问时,则需要CASB(云访问安全代理)发挥作用。随着SaaS服务的快速发展,从底层硬件资源到上层软件资源,最终用户都无法实施控制。
CASB主要运用的是以下几个功能:
1.深度可视化:影子IT发现、云服务统一视图、云服务用户信息采集和管理。
2.数据安全:实施以数据为中心的安全策略,通过在数据层面的审计、警报、阻止、隔离、删除和只读等控制措施,实现云访问过程的DLP。
3.威胁防护:提供AAC来防止有害设备、用户和应用程序版本来访问云服务,一般通过嵌入式UEBA、威胁情报、网络沙箱以及恶意软件识别和缓解。
4.合规性:帮助组织机构证明和管理云计算资源使用情况,确定云风险偏好并确定云风险承受能力,有助于满足数据驻留和法律合规性要求。
在公有云场景下,在业务上线以及业务访问过程当中,安全的能力已经实现。但目前在SaaS的这种环境下,用户更多的时候需要云服务商通过SaaS化来交付安全的能力,因此就出现了SASE。
3.面向未来的多云和云原生安全
云目前已成为新型基础设施,企业从优化资源、提升效能出发会选择各类云服务。从“应用上云”到“应用生于云、长于云”,云原生应用快速爆发。也因此云安全需要适配多云和云原生场景,应对新场景安全挑战,实现资产、配置、态势的统一管理运营。
多云环境
在多云环境下,对于用户来讲首先需要面对的一个问题就是在多云环境下的资产管理。多云环境中,业务类型更多样,变化更频繁。同时业务和安全管理责任人更广泛,权限更难梳理。在这种情况下,如何将业务和安全管理更好地进行结合
首先需要构建一个统一的资源安全中心,统一管理多云资产当中的配置风险,资产风险以及资产的各类访问权限。
其次针对各类云平台安全配置差异大、配置项复杂、存在安全风险和合规挑战的问题,通过云安全配置管理(CSPM)功能,解决多云场景下控制平面的挑战。
另外还可利用云安全服务平台CSPM功能,扫描比对各个云平台上各类型业务,自动化适配和制定合规管理模板,实现面向多云环境的统一自动化动态合规管理。
最后针对多云的安全策略管理,分为事前、事中、事后三个阶段。事前需要通过云安全服务平台和各个的云平台云管实现对接,管理不同云平台内整体的安全组件。同时云安全服务平台对接云平台原生安全组件,通过内置策略模板校验策略安全性,集中调整安全配置,避免合规风险。事中重点在于事件和流量的统一的收集、态势分析以及呈现。事后基于风险事件定位,利用云编排响应功能下发网络、主机、配置编排策略,下发各类型安全控制点执行,反馈处置结果,实现多云安全事件处置闭环。
云原生环境
在云原生环境下,首先需要厘定云原生安全的定义和范围。云原生的代表技术包括容器、服务网格、微服务、不可变基础设施和声明式API。云原生技术有利于各组织在公有云、私有云和混合云等新型动态环境中,构建和运行可弹性扩展的应用。云原生安全所保护的对象,是指以容器技术为基础底座,以DevOps、面向服务等云原生理念进行开发并以微服务等云原生架构构建的业务系统共同组成的信息系统。
云原生安全主要还是以容器安全技术作为整体底座来保护云原生业务应用。
此外,云原生业务存在大量API发布和对外访问交互,还需要针对API场景进行持续的监测和防护。目前应用比较多的是通过API的整体安全网关,匹配云原生场景下的API的安全监测和防护能够对于像标准的一些API的格式进行解析。同时需要识别和防护SQL、XSS等注入攻击,针对防护重放、篡改等攻击形式实现阻断。另外API安全网关还需要考虑一个功能,就是针对于后端资产的发现和校验。基于请求方的身份权限来进行调用,实现对于API的整体的一个限流和审计。为了提高API的监测和防护能力,还会使用语义识别和机器学习等一些新技术,增强防御能力,降低检测误报。
