綠盟科技自2012年開始研究并打造雲計算安全解決方案,并于2022年正式推出“T-ONE雲化戰略”,将安全産品與方案全面向雲轉型,并建構開放的雲化生态。本文将對綠盟科技的雲計算安全風險與發展的認知、價值主張、合作體系、參考體系、技術體系與建設方案進行闡釋。因篇幅限制分為上中下三篇,本篇為中篇。
雲計算安全架構體系全景圖
本部分給出了雲計算安全的架構體系全景圖及責任模型,并将技術體系中的安全能力分為基礎雲安全能力與複合雲安全能力,最後給出了業界相關的優秀實踐。
雲計算安全架構體系
雲計算整體安全體系包括技術架構、安全流程和人員。從技術架構角度,進而可細分為四層,自底向上分别為基礎安全能力、場景化複合雲安全能力、雲安全架構方法論和架構,以及領域/行業級安全解決方案。這些層次描述分别如下:
雲計算安全架構體系全景圖
基礎雲安全能力
雲領域較基礎的安全能力,隻應對某單一類型的安全風險,如入侵檢測、URL過濾等。
複合雲安全能力
即産品級解決方案,為多種基礎安全能力的聚合,并且基于業務場景做一些變形,旨在應對某單一場景下的多種安全風險,如Gartner提出CWPP、CSPM等。
雲安全架構/方法論/架構
基于業務系統的風險分析和一定方法論,指導如何利用人、流程和技術應對安全風險。詳細内容在第五章論述。
領域/行業級安全解決方案
應對某領域或行業場景化的整體安全解決方案,如:政務雲安全解決方案、多雲安全解決方案等。以安全架構方法論和架構為理論指引,将人、流程和技術(雲基礎能力或場景化複合雲安全能力)進行有機的結合。詳細内容在第六章論述。
雲安全責任模型
雲計算安全的責任共擔已經成為了行業共識,無論是雲等保标準還是主流公有雲服務商都對各方的責任做了明确的劃分[1]。雲安全責任主體方包含雲計算服務商與雲服務使用者,雙方的責任分擔原則:各主體應根據管理權限的範圍劃分安全責任邊界,責任邊界之下的屬于雲服務商,邊界之上的屬于雲服務使用者,邊界處由雙方共擔。
雲計算安全責任模型
安全廠商雖然沒有直接展現在雲安全責任模型上,但責任主體會購買或租用安全廠商的産品、平台或服務,以承擔起所需的責任時,該責任也全部或部分地轉移到了安全廠商處。在不同場景下,安全廠商的角色是有所不同的。如安全廠商提供的是3.3 服務及方案中SaaS安全服務或營運服務,那麼使用者側全部或大部分的責任則應由安全廠商承擔;而如安全廠商提供的是3.3 服務及方案中安全平台或安全産品,那麼安全廠商承擔其産品對應的安全能力,而相應的配置與政策、營運則應由雲服務使用者承擔。
基礎雲安全能力
Gartner在2022年提出了網絡安全網格架構(CyberSecurity Mesh Architecture,CSMA),這是一種應對進階威脅和複雜場景非常有效的安全架構,其将安全功能拆分成了諸多原子化的安全能力,進而通過控制層編排組合成各種安全産品和方案。無疑雲計算的靈活、彈性和編排特性助力CSMA落地。雲計算環境中的原子化的安全能力,我們稱之為基礎雲安全能力,它們是雲安全的基石。本節将介紹基礎雲安全能力分類,以及給出能力清單與安全架構的映射關系。
1)概述
下面通過領域分類的方式來歸類不同的雲涉及的基礎安全能力,并将安全能力與一些标準安全架構中的安全能力做對應。下述基礎雲安全能力、基礎雲安全能力詳細資訊以及典型廠商安全産品,詳見表1、表2。
表1 雲計算安全基礎能力目錄與安全架構映射
表2 複合能力與基礎能力的映射
2)基礎雲安全能力分類
基礎雲安全能力的分類和層級可分為以下類型,如下圖所示:
基礎雲安全能力分類
a) 身份與通路層安全
雲計算環境的使用者與程式都有各自身份,通過認證後的憑證通路應用或服務。身份與通路層安全覆寫雲計算使用者身份管理及雲服務通路管理領域所需的基礎安全能力,包含:身份安全、通路安全。
b) 服務層安全
服務層安全覆寫雲上對外提供業務的服務所需的基礎安全能力,包含:開發安全、應用安全、資料安全、主機安全(含軟體平台安全),以及Overlay網絡安全。
c) 資源層安全
資源層安全覆寫雲計算系統的基礎資源層所需的基礎安全能力,包括:
· 實體資源安全,包含災備、防火、防盜竊和防破壞、防水和防潮、防靜電、電磁防護、電力供應、防雷擊、防震,此部分不是本文重點,不做重點叙述。
· 資源管理平台安全,包括:雲元件配置核查、雲元件身份安全、雲元件應用安全、雲資源合規檢測、雲元件日志審計、雲資産發現。
· 基礎硬體與網絡安全,包括主控端安全、 Underlay網絡安全,以及儲存設備安全。
· 虛拟化層安全:防止虛拟機/容器逃逸等。
d) 安全管理
主要覆寫安全分析閉環所需的基礎安全能力,包含:态勢感覺、資産管理、SOAR/一鍵封堵、漏洞管理、安全推理、異常行為分析、威脅狩獵、威脅情報等。
e) 安全服務
覆寫安全服務中所需的基礎能力,包含:合規、漏洞應急響應、安全事件檢測與響應、裝置托管、滲透測試、代碼洩露監測、網際網路資産暴露面核查、暗網核查、網站安全雲防護、網站安全監測、安全配置管理、安全報告。
3)能力目錄與安全架構映射
我們列舉、細化并歸納了基礎雲安全能力,并且将這些能力映射到了業内主流的安全架構,詳見表1。
複合雲安全能力
雲計算的場景較為複雜,如有私有雲、公有雲、多雲/混合雲、雲原生和SDWAN等。在各場景下适用的安全産品和安全方案,展現出了多種基礎雲安全能力的組合。本節将介紹這些複合的安全能力,以及與基礎安全能力的關系。
概述
雲計算技術的重要特點是彈性、按需和接口化,是以綠盟科技的基礎雲安全能力也展現出這些特點。借助這些基礎雲安全能力,我們就能建構出多種複雜的安全能力組合,即網絡安全服務網格架構,進而為使用者提供可編排的多種安全能力組合,我們稱之為複合雲安全能力。
場景化的複合雲安全能力為多種基礎雲安全能力的聚合,并且基于業務場景做一些變形,旨在應對某一場景下的多種安全風險。下述複合雲安全能力全面描述以及典型廠商安全産品。為保持一緻,我們在此借用Gartner對雲安全領域的場景化安全能力的分類。Gartner在2021年前定義了雲安全的全場景核心成為CASB、CWPP、CSPM,随着雲計算技術的快速發展,2021年在前面分類的基礎上融合演變出來更多的安全能力子類,如CNAPP、SSPM等。
常見的複合雲安全能力
a) 雲通路安全代理CASB
雲通路安全代理(Cloud Access Security Broker,CASB)最早是2012年由Gartner提出的概念,Gartner 将CASB市場定義為雲服務所必備的産品和服務,用來解決組織使用雲服務時的安全漏洞,能夠彌補組織使用雲服務時存在的安全缺陷。CASB出現最早是為解決影子資産問題,以及其衍生出的影子IT和BYOD的問題,尤其是随着SaaS服務的快速發展,從底層硬體資源到上層軟體資源,最終使用者都無法實施控制,因為企業使用者使用了哪些雲服務和用什麼裝置通路這服務都不受企業管控,進而引發資料洩露等安全問題,而CASB能很好地解決此類問題。
b) 雲工作負載保護平台CWPP
雲工作負載保護平台(Cloud Workload Protection Platform,CWPP)為所有類型的工作負載提供以工作負載為中心的安全保護解決方案,包括實體伺服器、虛拟機(VM)、容器和無伺服器工作負載。CWPP為跨企業内部和雲環境的可視性和保護提供了一個單一的可觀察的視窗。按照重要性的順序,CWPP 包括八個控制層:
· 加強、安全配置與漏洞管理
· 網絡防火牆、可視化以及微隔離
· 系統信任保證
· 應用控制/白名單
· 漏洞利用預防/記憶體保護
· 伺服器工作負載EDR、行為檢測、威脅檢測/響應
· 具有漏洞屏蔽功能的HIPS
· 反惡意軟體掃描
c) 雲安全态勢管理CSPM
雲安全态勢管理(Cloud Security Posture Management,CSPM)可評估雲計算系統、應用的整體安全态勢,特别是對基礎設施安全配置進行分析與管理。這些安全配置包括賬号特權、網絡和存儲配置,以及安全配置(如加密設定)。如果發現配置不合規,CSPM會采取行動進行修正。
d) 雲原生應用防護平台CNAPP
雲原生應用防護平台(Cloud-Native Application Protection Platform,CNAPP)結合了雲原生運作時安全與安全左移的開發安全,形成了DevSecOps整個安全閉環。其能夠掃描在開發環境中工作負載以及配置,并且對工作負載實時保護的解決方案。CWPP和CSPM的能力在雲原生環境中合二為一,CNAPP解決方案也以一種兩者混合的形态出現。
e) SaaS管理平台SMP
SaaS管理平台(SaaS Management Platform,SMP)使安全管理人員能夠在數字化辦公場景中發現、管理和保護SaaS應用程式。
f) 安全服務邊緣SSE
安全服務邊緣 (Security Service Edge,SSE)為一組以雲為中心的內建安全功能,它有助于安全通路網站、SaaS 應用程式和私有應用程式。SSE 融合了以雲為中心的安全功能,以促進對 Web、雲服務和私有應用程式的安全通路。SSE 功能包括通路控制、威脅防護、資料安全和安全監控。SSE可對如下功能進行了融合,并将其整合到單一供應商、以雲為中心的融合服務中。
· 零信任網絡通路 (ZTNA)
· 安全 Web 網關 (SWG)
· 雲通路安全代理 (CASB)
· 防火牆即服務 (FWaaS)
上述之外還有其他一些雲場景中适用複合安全能力的定義,如下:
g) 網絡檢測與響應NDR
網絡檢測與響應 (Network Detection&Response,NDR) 是一項新興技術,旨在彌補傳統安全解決方案留下的安全盲點,黑客利用這些盲點在目标網絡中立足。檢測響應是基于入侵檢測系統 (IDS) 開發的。IDS 解決方案安裝在網絡外圍并監控網絡流量是否存在可疑活動。NDR 是減輕 IDS 系統無法保護的缺點的響應。NDR 系統超越了基于簽名的檢測,可以分析進出網絡的所有網絡流量,并建立正常網絡活動的基線。基線稍後用于将目前流量與正常網絡活動進行比較,以檢測可疑行為。
NDR 解決方案利用先進技術來檢測新興和未知威脅,例如機器學習和人工智能 (AI)。使用這些技術允許 NDR 系統将從網絡流量收集的資訊轉換為可操作的情報,用于檢測和阻止未知的網絡威脅。NDR 解決方案可以獨立于人工監督自動運作,以檢測網絡威脅并做出響應。NDR 還可以與現有的安全解決方案(例如 SIEM 和 SOAR)內建,以增強檢測和響應。
h) 拓展的檢測與響應XDR
拓展的檢測與響應(Extended Detection and Response,XDR)是一個基于SaaS化模式,将多源安全遙測資料進行聚合,把原先分散的單點安全能力以原生化方式進行有機融合,以此提升威脅檢測、調查、響應與狩獵能力的系統。用于檢測和處置網絡安全風險。
i) 雲基礎設施權限管理CIEM
雲基礎設施權限管理(Cloud Infrastructure Entitlements Management,CIEM)方案越來越多地被應用,其旨在打通多雲間的認證授權管理,保障使用者使用雲基礎設施和服務時的最低權限通路原則,幫助組織抵禦資料洩露、惡意攻擊以及過多雲權限帶來的其他風險。
j) 網站雲防護
網站雲防護是以SaaS的方式為客戶Web網站提供安全防護,如綠盟網站雲安全雲防護(WCP)包含的安全防護能力見表3:
表3 網站安全雲防護安全能力清單
k) 網站安全監測
網站安全雲監測是以SaaS的方式為客戶Web網站提供安全監測,及時發現異常現象與惡意攻擊,如綠盟網站安全雲監測(PAWSS)主要包括六個方面内容:資産核查、脆弱性監測、完整性監測、可用性監測、認證檢測、敏感資訊監測。
· 資産核查服務,主要幫助使用者識别違規上線的應用,讓使用者對于外網暴露IP、端口有一個全面的了解;
· 脆弱性監測服務,主要幫助使用者發現其網站面臨的安全風險,為其提供專業化的安全建議;
· 完整性監測服務,能夠為使用者甄别出其站點頁面是否發生了惡意篡改,是否被惡意挂馬,是否被嵌入敏感内容等資訊;
· 可用性監測服務,能夠幫助使用者了解其站點此時的通斷狀況,延遲狀況;
· 認證監測服務,主要能夠為使用者提供釣魚網站監測的功能。
· 敏感資訊監測服務,可以幫助客戶發現洩露在外網的代碼資訊,并進行釋出者溯源。
不同場景下的基礎安全能力組合會非常多,是以其他複合雲安全能力此處不一一列舉。
複合雲安全能力與基礎雲安全能力的映射
我們列舉了常見複合雲安全能力,它們與前述基礎雲安全能力的映射詳見表2《複合能力與基礎能力的映射》。
業界優秀實踐
作為行業最有影響力的公有雲服務商之一,Amazon在雲計算方面投入時間最久,其公有雲Amazon AWS實踐非常成熟,本章我們将以Amazon AWS為例,簡要介紹業界雲服務商在安全架構和安全能力建設方面所做的優秀實踐。
1)AWS責任共擔模型
AWS針對基礎設施服務、容器服務和抽象服務設計了對應的責任共擔模型,以識别AWS和客戶分别承擔的責任,得到了行業的認可。其通用模型如下圖所示,也可認為是經典的雲計算安全責任共擔模型之一。
在此模型中,AWS負責“雲本身的安全” ,即保護運作所有 AWS 雲服務的基礎設施。該基礎設施由運作 AWS 雲服務的硬體、軟體、網絡和裝置組成。
客戶負責“雲内部的安全” ,即由客戶所選的 AWS 雲服務确定。這決定了客戶在履行安全責任時必須完成的配置工作。例如,Amazon Elastic Compute Cloud (Amazon EC2) 等服務被歸類為基礎設施即服務,是以要求客戶負責所有必要的安全配置和管理任務。部署 Amazon EC2 執行個體的客戶需要負責來賓作業系統(包括更新和安全更新檔)的管理、客戶在執行個體上安裝的任何應用程式軟體或實用工具,以及每個執行個體上 AWS 提供的防火牆(稱為安全組)的配置。 對于抽象化服務,例如 Amazon S3 和 Amazon DynamoDB,AWS 營運基礎設施層、作業系統和平台,而客戶通過通路終端節點存儲和檢索資料。客戶負責管理其資料(包括加密選項),對其資産進行分類,以及使用 IAM 工具配置設定适當的權限。
AWS責任共擔模型
2) AWS安全、身份與合規性服務
AWS在整體安全方面,提供了如下相關服務:
· 身份與通路管理:AWS Identity 服務支援使用者安全地批量管理身份、資源和權限。借助 AWS,使用者可以為員工和面向客戶的應用程式提供身份服務,以快速入門并管理工作負載和應用程式的通路權限。
· 檢測監測:AWS 通過持續監控使用者雲環境中的網絡活動和賬戶行為,來識别威脅。
· 網絡和應用程式保護:網絡和應用程式保護服務使使用者能夠在組織中的網絡控制點強制執行精細的安全政策。AWS 服務可幫助使用者檢查和過濾流量,以防止主機、網絡和應用程式級别邊界中發生未經授權的資源通路。
· 資料保護:AWS 提供的服務幫助使用者保護資料、賬戶和工作負載免受未經授權的通路。AWS 資料保護服務提供加密、密鑰管理和威脅檢測功能,可以持續監控和保護使用者的賬戶和工作負載。
· 事故響應:分析、調查和快速确定潛在安全問題或可疑活動的根本原因,自動從AWS 資源中收集日志資料并使用機器學習、統計分析和圖論來建構一組關聯的資料,進行更快、更有效的安全調查。
· 合規性:AWS 讓使用者可以全面了解合規狀況,并使用自動合規性檢查(基于使用者的組織遵守的 AWS 最佳實踐和行業标準),持續監控使用者的環境。
表4 AWS安全性、身份與合規性服務
參考文獻
[1] 雲計算安全責任共擔白皮書,雲計算開源産業聯盟,https://www.ambchina.com/data/upload/image/20220107/2020%E5%B9%B4%E4%BA%91%E8%AE%A1%E7%AE%97%E5%AE%89%E5%85%A8%E8%B4%A3%E4%BB%BB%E5%85%B1%E6%8B%85%E7%99%BD%E7%9A%AE%E4%B9%A6_%E4%BA%91%E8%AE%A1%E7%AE%97%E5%BC%80%E6%BA%90%E4%BA%A7%E4%B8%9A%E8%81%94%E7%9B%9F.pdf