雲安全将來時 | 雲安全的發展與未來趨勢

“十四五”規劃提出，要加快數字化發展、建設數字中國。作為數字經濟重點産業之一的雲計算，将作為數字經濟的基礎設施，推動數字化轉型、推動各行各業的數字化和互聯互通。人工智能、大資料、區塊鍊、邊緣計算、5G、物聯網等新興技術也将在雲計算的支撐下打破技術邊界，合力支撐産業變革、賦能社會需求。當越來越多的價值和使命由雲計算來承載和支撐時，雲安全将會成為影響國家安全、社會穩定、行業安全、企業安全，以及個人的人身安全、财産安全、隐私保護等方方面面的關鍵因素之一，亟需在政策、管理和技術創新上加強投入。

一、雲計算與雲安全的發展

2006 年，亞馬遜 AWS 推出首批雲計算産品，包括線上存儲服務 S3 和彈性計算雲 EC2 等雲服務，拉開了現代雲計算産業發展的大幕。時至今日，全球雲計算市場規模已達每年數千億美元，湧現出了微軟、谷歌、阿裡巴巴、騰訊、華為等大批雲廠商，涵蓋公有雲、私有雲、混合雲等基礎設施，包括平台、應用等雲服務。新冠疫情和數字化轉型加速了廣大企業上雲，在海外雲計算已經成為大多數企業預設的 IT 基礎設施，國内的雲計算市場佔有率預計到“十四五”末也将突破萬億。随着基礎設施即服務（IaaS）雲市場的逐漸成熟穩健，軟體即服務（SaaS）的發展也如火如荼，各行各業的傳統軟體都紛紛向SaaS 線上訂閱模式轉型。據本翼資本預測，2025 年僅中國企業級 SaaS 服務的規模就将達到 370 億美元。

在雲計算發展早期階段，雲安全相對滞後。例如，雲廠商不能很好地提供日志，合規很難解決，雲安全風險成為雲廠商、使用者企業、監管機構等方面的最大擔憂，是以難以在客戶方建立信任。這在很大程度上遲滞了雲計算産業發展的速度。2009 年，國際雲安全聯盟 CSA（Cloud Security Alliance）正式成立，釋出了雲計算領域的多項雲安全标準和指南，與雲廠商、網絡安全廠商、使用者企業、政府事業機關、研究機構等各領域的會員機關持續落地雲安全最佳實踐，為雲安全的标準化和産業化發展發揮了重要推動作用。現今，各大雲廠商的安全能力及合規能力都越來越成熟，安全已能夠為雲服務保駕護航，也不再是制約産業向雲轉型或企業上雲的主要障礙。同時，随着容器、無伺服器（Serverless）等技術的快速發展，雲原生安全逐漸成為各大雲廠商在雲安全領域的戰略重心。

二、雲安全風險和态勢現狀

CSA 于 2020 年釋出了雲計算的 11 大頂級威脅：資料洩露、配置錯誤和變更控制不足、雲安全架構和政策缺失、身份/憑據/通路和密鑰管理不足、賬号劫持、惡意内部人員、敲詐軟體、不安全的接口和應用程式程式設計接口（API）、受限的雲使用可見性、濫用和惡意使用雲服務、元結構和應用程式結構故障等。此外進階持續威脅（APT）、盡職調查不足、拒絕服務、供應鍊/共享技術安全風險也是雲安全的主要風險。

根據 Cybersecurity Insiders《2022 雲安全報告》對上千家雲客戶樣本企業的調查顯示，2022 年雲安全呈現出以下最新特征。

（一） 雲客戶遭遇安全事件的比例有所下降

2021 年，27% 的雲客戶遭遇了公有雲安全事件，比

（二） 雲安全事件的責任絕大部分在雲客戶

在全部安全事件中，錯誤配置已經從去年的13% 上升到今年的 23%，超過使用者因誤洩露資料（15%）和賬号遭入侵劫持（15%）成為雲安全事件的主要原因，這些雲安全事件約有 95% 的責任都在雲客戶。雲客戶作為雲安全的第一責任人要充分了解雲安全責任共擔模型。要充分了解雲廠商的安全能力和不足，了解各雲廠商的安全最佳實踐，合理設計雲架構，安全上雲并做好持續的安全加強和防護。在監督雲廠商履行安全職責的同時，也要切實履行雲客戶側的安全職責，不能都依賴雲廠商。

（三） 多雲占比快速提升

采用多雲（兩家或兩家以上雲廠商）的雲客戶從 2020 年的 62% 上升到 76%。因為不同雲廠商的安全實作方式和管控粒度的差異，使得多雲廠商的管理更加複雜。雲客戶需要對每個雲廠商開展盡職調查，確定各雲廠商的安全能力都能滿足需求。

（四） 雲原生安全關注度提升

6% 的雲客戶已經落地了開發安全營運一體化（DevSecOps），37% 的雲客戶将計劃采用DevSecOps。此外使用了基礎設施即代碼、Serverless和持續內建持續部署（CI/CD）的雲客戶占比分别為44%、48% 和 44%。此外，和 Serverless 相比，容器的占比雖然隻有 4%，但據《Sysdig 2022 雲原生安全和使用報告》顯示，超過 75% 的運作容器存在高危或嚴重漏洞、62% 的容器被檢測出包含

（五） 勒索軟體成為最大威脅

勒索軟體在雲側、端側、傳統網絡環境中到肆意蔓延。更令人擔憂的是很多企業生産系統和備份系統都用同樣的管理者登入憑證（如密碼），攻擊者可同時加密生産系統并摧毀備份資料。雲廠商在做好勒索病毒防範工作的同時需要完善資料備份政策，例如離線備份。

三、雲安全的新興技術

雲安全技術随着雲計算的發展不斷疊代，逐漸從早期基于靜态規則的防禦（邊界防禦、縱深防禦等）向動态防禦的思路（零信任、AI、安全智能編排等）發展。在雲安全演進過程中，除了正常的資源測虛拟化安全與租戶隔離技術，身份側身份管理與通路控制（IAM）技術，資料側加密技術、通路控制技術、資料防洩露（DLP）技術，其他雲安全防禦技術以外，雲安全還涉及很多新技術、新理念或新方案。

（一） 雲原生安全

雲原生計算基金會（CNCF）認為，雲原生技術有利于各組織在公有雲、私有雲和混合雲等新型動态環境中，建構和運作可彈性擴充的應用。雲原生主要包括容器、不可變基礎設施（基礎設施即代碼）、彈性服務編排、微服務、開發營運一體化（DevOps）、CI/CD、Serverless 等技術。雲原生安全作為一種新興的安全理念，強調以原生的思維建構雲上的安全建設、部署與應用，即雲客戶不需要進行額外的安全部署或配置就天然具備安全能力。雲原生安全主要包括容器安全、微服務安全、DevSecOps、Serverless安全等。其中容器安全又包括容器本身的安全、鏡像安全、編排（如 K8s）安全、注冊安全、宿主作業系統風險等。Serverless 安全的本質是應用程式安全，是以首先要關注函數本身的安全，比如函數代碼漏洞、依賴庫的漏洞、認證授權及通路控制等。當然 Serverless 廠商視角除了保證 Serverless 運作時及以下各層的安全以外，還需要具備識别和阻止通過 Serverless 發起攻擊的惡意使用行為的能力。微服務因為其松耦合的特點，使其跟單體應用程式相比具備更多的攻擊面、通路控制政策也更加複雜、同時不同微服務之間的請求追蹤難度也更大。這些特點都會導緻其安全成本的增加。

（二） 零信任

零信任的理念是“從不信任、始終驗證”，主要包括現代 IAM、微隔離、軟體定義邊界（SDP）三大核心技術。其中現代 IAM 以身份為中心、對資源實作動态驗證和授權，通常采用基于屬性的通路控制進行細粒度的動态權限控制，例如通過通路終端的類型、位置、時間等多個次元進行授權。微隔離可以實作不同工作負載之間東西向流量的細粒度通路控制，可以實作工作負載之間點到點的政策管控。SDP 打破了傳統實體網絡的安全控制邊界，通過單包授權認證（SPA）技術實作網絡資源的隐身，隻有通過認證的終端才能與後端資源建立動态連接配接，當通路結束時及時斷開連接配接，進而實作南北向流量的保護。SDP 适合遠端辦公等場景，尤其是新冠疫情暴發以後，SDP 在遠端辦公方面的優勢進一步提升。

（三） DevSecOps

DevSecOps 是 Development、Security 和 Operations的縮寫，是 DevOps 的安全延伸。DevSecOps 在開發運維中融入安全管理的實踐，實作在雲計算平台中快速、安全地進行軟體持續傳遞。DevSecOps 跨越整個 IT 堆棧，包括網絡、伺服器、容器、雲和應用程式安全性。所有這些層都越來越多地轉變為軟體，這使得應用程式安全性成為 DevSecOps 的焦點。DevSecOps 是完整的安全開發生命周期：涵蓋整個軟體生命周期，包括開發和營運。在開發過程中，重點是識别和預防漏洞，而在營運中，監控和防禦應用程式是目标。

（四） 安全通路服務邊緣（SASE）

SASE 概念由 Gartner 在 2019 年首次提出，是指将軟體定義廣域網（SD-WAN）與網絡安全功能相結合，由單一服務商以雲的形式傳遞。SASE 将安全 Web 網關（SWG）、雲通路安全代理（CASB）、防火牆即服務（FWaaS）、零信任網絡通路（ZTNA）結合，綜合基于實體的身份、實時上下文、企業安全/合規政策，以一種持續評估風險/信任的服務形式來傳遞，其中實體的身份可與人員、人員組（分支辦公室）、裝置、應用、服務、物聯網系統或邊緣計算場地相關聯。

（五） 雲通路安全代理（CASB）

CASB 由 Gartner 在 2012 年提出，目前在國外被廣泛使用。美國國家标準技術研究院（NIST）和安全機構 SANS 在标準和指南中把 CASB 作為雲安全的必須解決方案。CASB 位于雲服務使用者和雲廠商之間，在各種雲服務界面結合和插入企業安全政策。CASB 解決方案整合了多種類型的安全政策 . 例如身份驗證、單點登入、權限控制、身份屬性和權限映射、裝置指紋、資料加密、令牌、日志記錄、惡意軟體檢測/預防等。CASB 跨多個雲服務同時提供政策和治理，并提供對使用者活動的精細可見性和對使用者活動的控制。

（六） 雲工作負載安全防護平台（CWPP）

CWPP 概念是保護雲上工作負載（如雲主機和容器）的安全産品和解決方案，包含主機入侵防禦（HIPS）、終端防護中心（EDR）、殺毒等 10 多個細分技術領域。

（七） 雲安全态勢管理（CSPM）

CSPM 被 Gartner 定義為一個可以降低攻擊成功率的持續的雲安全改進和适應過程。CSPM 通常用于保護 IaaS 多雲或混合雲，側重于身份/安全/合規、安全監測與分析、多雲資源管理、成本控制、配置風險發現等領域。

四、雲安全的新趨勢預測

伴随着雲計算的越來越廣泛的應用場景和技術發展，雲安全也呈現出新的發展變化。

（一） 雲安全的下半場是雲原生安全和雲應用安全

随着雲原生市場如火如荼地發展，雲原生安全也水漲船高。各大雲廠商尤其是 IaaS 廠商已經将雲原生安全作為雲安全的戰略重點。此外 SaaS 市場也達到了爆發的拐點，各垂直領域軟體廠商都紛紛向 SaaS 轉型，是以 SaaS 安全也會成為雲安全下半場的焦點。

（二） 基于 Serverless 的分布式攻擊增加

因為 Serverless 彈性、輕量級和冷啟動的特點，如果利用 Serverless 發動分布式網絡攻擊，溯源将會變得很困難。另外通過 Serverless 發起攻擊的門檻很低，開發人員都可以操作。是以 Serverless 将受到越來越多攻擊者的青睐。

（三） 機器身份的安全威脅持續增長

機器身份是指配置設定給非人類網絡實體（例如裝置，應用程式，程序等）的擁有特權的唯一辨別，例如數字證書。随着機器身份的爆炸式增長，越來越多的攻擊者将利用機器身份的合法性獲得系統的高權限，并進行相關的攻擊或破壞活動。

（四） AI 技術提升攻擊的隐蔽性

利用 AI 技術發起的攻擊通常自動化程度高，經過模型訓練可以使攻擊行為無限接近真實通路行為，具備很強的隐蔽性，給攻擊檢測帶來巨大挑戰。

（五） 利用區塊鍊匿名性發起的攻擊溯源困難

區塊鍊的匿名性如果被用來發起網絡攻擊或者開展非法交易，将很難進行攻擊溯源。

五、雲安全相關的法律、政策、标準及認證

雲安全的發展離不開相關标準引領，CSA、ISO 等國際組織在雲安全發展過程中發揮了重要作用，一些國家和地區也制定了雲安全相關的标準。從雲安全評價的角度，也出現針對雲廠商組織或産品視角的雲安全體系認證或産品認證。

（一）CSA

2009 年，CSA 釋出了首個雲計算安全的最佳實踐《針對雲計算重點領域的安全指南》，從管理和技術等方面告知從業人員應該如何保障雲安全，成為雲安全建設與雲安全管理領域的最佳實踐。2010年，CSA 釋出雲控制矩陣（CCM），這一個針對雲安全的控制架構，映射了大量法律法規和國際标準的要求，涵蓋了雲技術的所有關鍵領域。它可以作為對雲計算安全實施系統評估的工具，并為實施雲計算安全控制提供指導。2013 年，CSA 正式釋出了基于雲端安全控制矩陣的雲安全、信任、保障和風險（STAR）認證，成為全球雲安全領域的通用安全評估認證。2016 年，CSA 大中華區釋出了産品級雲安全标準（CSTR）。2018 年，CSA 提出了《CSAGDPR 合規行為準則》，為歐盟 GDPR 合規提供了一緻和全面的架構，幫助雲廠商實作 GDPR 合規。2021 年，CSA 釋出雲計算可信廠商（TCP）辨別，已有華為、亞馬遜、微軟等數十家雲廠商獲此認證。2022 年，CSA 大中華區釋出了雲安全技術标準 2.0、雲應用安全技術規範（CAST）和雲原生安全技術規範（CNST），同時聯合我國公安部第三研究所釋出了針對雲原生和雲應用的安全可信認證。

（二）ISO

國際标準化組織 ISO/IEC 以 ISO27001 為核心，形成 ISO 27000 系列标準，覆寫資訊安全主題的不同領域，包括雲計算安全标準 ISO27017 和雲隐私安全标準 ISO27018。

ISO 27017 是專門針對雲服務資訊安全的實用标準，為雲廠商和雲服務客戶提供特定的資訊安全控制及實施指南。ISO 27018 是首個專注于雲中個人資訊保護的國際行為準則，提出适用于公有雲的個人可識别資訊（PII）控制體系，旨在補充 ISO 27002中的滿足公有雲 PII 保護要求的安全控制措施。

（三）中國

2014 年，GB/T 31167《資訊安全技術 雲計算服務安全指南》與 GB/T 31168《資訊安全技術 雲計算服務安全能力要求》兩項雲安全标準正式釋出，适用于對政府部門使用的雲服務進行安全管理，還适用于指導雲廠商建設安全的雲平台和提供安全的雲服務。2017 年，正式施行的《網絡安全法》第二十一條，明确“國家實行網絡安全等級保護制度”。網絡安全等級保護标準 GB/T 22239《資訊安全技術網絡安全等級保護基本要求》，以資訊系統為評估對象，包括基礎資訊網絡、雲計算、移動互聯、物聯網、大資料和工業控制系統等各個領域。2019 年，國家網信辦等四部門釋出了《雲計算服務安全評估辦法》，對采用和提供雲服務提出了嚴格的安全要求。2021 年，《資料安全法》《個人資訊保護法》正式實施，共同建構了國家資料安全防線，也适用于雲安全的相關安全保護。

（四）美國

2011 年，在 RSA 大會的 CSA 峰會上，白宮首席資訊官代表美國聯邦政府釋出首個美國國家雲計算戰略，之後美國要求為聯邦政府提供的雲計算服務必須通過安全審查。為此美國啟動了聯邦風險及授權管理（FedRAMP）項目，其審查标準是《雲計算安全基線》。目前，美國已有數十項雲計算服務通過了安全審查。2011 年，CSA 還将雲計算參考架構交接給 NIST 釋出并維護。2014 年，NIST 又釋出了網絡安全架構（CSF）, 以便企業和雲廠商根據自身需求加強網絡安全防禦。

（五）歐盟