《云上安全白皮書2021》是由嘶吼安全產(chǎn)業(yè)研究院通過多方調(diào)研和專家訪談,歷時(shí)一個(gè)多月撰寫而成。本次云上安全白皮書首次引入了甲方視角,嘶吼產(chǎn)業(yè)研究院在會(huì)上解讀表示,2021年云上安全市場(chǎng)即將突破百億大關(guān),盈利模式也從單純的賣產(chǎn)品和賣“人頭”開始向更多資本側(cè)、渠道側(cè)和經(jīng)濟(jì)型盈利模式側(cè)傾斜,未來云上安全的高速發(fā)展趨勢(shì)勢(shì)不可擋。
私有云安全需求
企業(yè)做私有云時(shí)初定的目標(biāo)是穩(wěn)定、高效、安全、綠色。剛開始覺得過等保是目標(biāo),后來發(fā)現(xiàn)遠(yuǎn)遠(yuǎn)不是。要從確保云能力持續(xù)穩(wěn)定安全的輸出的角度來看安全,能夠讓用戶始終都用上云上服務(wù)。
多條技術(shù)路徑混合,企業(yè)云安全充滿挑戰(zhàn)。在企業(yè)私有云里面,往往不是一種技術(shù)戰(zhàn),通常面對(duì)多種技術(shù)戰(zhàn),如基于VMWare、基于開源的OpenStack等結(jié)構(gòu),還有各種商業(yè)性的公司。大型國企里面,各種技術(shù)、廠家共存。當(dāng)要構(gòu)建云安全時(shí),面臨的問題不是單一的問題,而是多種技術(shù)基礎(chǔ)上,甚至在不同的私有云面前的建設(shè)問題。網(wǎng)絡(luò)安全的出口設(shè)備,包括云都不一樣,該怎么辦呢?怎么把這些能力串在一起,還能夠穩(wěn)定的進(jìn)行工作,這些都是非常大的挑戰(zhàn)。除此之外,通過調(diào)研標(biāo)準(zhǔn)化組織和機(jī)構(gòu)給出的云安全風(fēng)險(xiǎn) (OSCAR開源云聯(lián)盟、CSA云安全聯(lián)盟、ENISA歐洲信息安全管理局),整理成云安全風(fēng)險(xiǎn)列表可以看出:數(shù)據(jù)泄露、數(shù)據(jù)丟失、惡意內(nèi)部人員等風(fēng)險(xiǎn)是共性的安全風(fēng)險(xiǎn)。
基于此,總結(jié)出企業(yè)私有云的安全需求:
一致性:要和企業(yè)既有的及未來規(guī)劃的云計(jì)算架構(gòu)、安全設(shè)施架構(gòu)有機(jī)融合,這是一大挑戰(zhàn)。
合規(guī)性:站在用戶角度必須過等保,但這個(gè)過程中,能不能以能力建設(shè)應(yīng)對(duì)等保合規(guī)性是需要探索的問題。
靈活選擇安全能力的需求:結(jié)合企業(yè)實(shí)際情況,根據(jù)業(yè)務(wù)需要,能靈活選擇和分配能力,能以不同的成本、效能來選擇。
可持續(xù)實(shí)戰(zhàn)需求:能投入生產(chǎn),能實(shí)戰(zhàn),能支持云上應(yīng)用、服務(wù)能持續(xù)輸出。
云安全體系架構(gòu)
在上述需求基礎(chǔ)上要建立一個(gè)什么樣的云安全體系結(jié)構(gòu)呢?通過對(duì)CSA的云控制矩陣和等保2.0的體系結(jié)構(gòu),以及SANS滑動(dòng)標(biāo)尺模型、自適應(yīng)模型和零信任模型的梳理,總結(jié)出這樣兩點(diǎn)體會(huì):第一、強(qiáng)調(diào)要分層次,強(qiáng)調(diào)從基礎(chǔ)架構(gòu)到應(yīng)用的防護(hù)。第二、強(qiáng)調(diào)要疊加演進(jìn),從被動(dòng)到主動(dòng)的防護(hù),能力閉環(huán)。
結(jié)合私有云安全需求、SANS滑動(dòng)標(biāo)尺模型、云等保責(zé)任共擔(dān)模型,細(xì)化設(shè)計(jì)后的云數(shù)據(jù)中心安全體系架構(gòu)如圖:
在云安全體系結(jié)構(gòu)中,安全防護(hù)能力橫向分為4個(gè)層次:基礎(chǔ)結(jié)構(gòu)安全、縱深防御、積極防御、威脅情報(bào)。縱向分為云化安全防護(hù)和云平臺(tái)基礎(chǔ)防護(hù)。在等保里已明確提出所有的云防護(hù)測(cè)評(píng)需要分成兩部分:一是對(duì)云平臺(tái)自身的防護(hù),二是對(duì)其上云應(yīng)用的防護(hù)。業(yè)界普遍把研究重點(diǎn)集中到云化的安全防護(hù),但對(duì)云平臺(tái)的基礎(chǔ)防護(hù)基本沒人研究,云平臺(tái)到底該怎么防護(hù)?在這個(gè)過程中,按照云安全體系架構(gòu)設(shè)計(jì)思想,針對(duì)平臺(tái)側(cè)安全能力、租戶側(cè)安全能力,統(tǒng)一安全基礎(chǔ)設(shè)施提出了能力設(shè)計(jì),放到不同的模塊當(dāng)中。藍(lán)色代表云化的能力,橙色代表平臺(tái)側(cè)必須具有的能力,綠色代表統(tǒng)一的安全能力。云邊界的安全防護(hù)能力,需要結(jié)合實(shí)際,不僅給云提供邊界,同時(shí)給云平臺(tái)提供邊界,起到節(jié)約成本的效果。
基礎(chǔ)結(jié)構(gòu)安全。在各種安全能力中,有一些基礎(chǔ)能力非常關(guān)鍵,如基礎(chǔ)設(shè)施的統(tǒng)一身份認(rèn)證和管理,這也是零信任的核心問題;又如數(shù)據(jù)生命周期的安全管理等。
全面縱深防御。云平臺(tái)底層基礎(chǔ)設(shè)施網(wǎng)絡(luò)縱深防御以及租戶側(cè)虛擬網(wǎng)絡(luò)縱深防御是難點(diǎn)。平臺(tái)側(cè)縱深防御基于分區(qū)、分域的安全原則,把云管理平臺(tái)、云操作系統(tǒng)和資源池分別放到不同安全域里面,同時(shí)在中間加裝各種防火墻和防護(hù)機(jī)制,只允許配置過安全策略的這些節(jié)點(diǎn)之間相互通信,同時(shí)對(duì)外提供防火墻和其他防護(hù)機(jī)制,從而形成縱深的防御體系。
租戶側(cè)東西向、南北向流量防護(hù)也是難點(diǎn),業(yè)界的各種解決方案都各有利弊。
沒有一個(gè)方案是完美的,都有缺陷,最后怎么權(quán)衡?第一、投入的成本。第二、你希望取得的效果。沒有十全十美的解決方案,相信你選中的合作伙伴!
東西向流量防護(hù)、南北向流量防護(hù)。結(jié)合業(yè)界實(shí)踐情況,根據(jù)東西向防護(hù)、南北向流量防護(hù)不同路線的優(yōu)缺點(diǎn)和各種安全能力的特點(diǎn),采用最適合其發(fā)揮最大能效的實(shí)施方式。
積極防御和威脅情報(bào)。云管平臺(tái)需與集中安全管理平臺(tái)結(jié)合,還需與態(tài)勢(shì)感知平臺(tái)等相結(jié)合,雙向通信,形成主動(dòng)防御。
滑動(dòng)標(biāo)尺模型為云安全建設(shè)明確了建設(shè)步驟,在云安全建設(shè)的過程中,應(yīng)逐步完成基礎(chǔ)機(jī)構(gòu)安全、縱深防御、積極防御和威脅情報(bào),左側(cè)安全能力是右側(cè)安全能力的基礎(chǔ)和依賴,協(xié)同聯(lián)動(dòng)整體的安全能力。
建立起云安全體系架構(gòu)后,各種安全能力怎么整合,才能有效持續(xù)確保云能力持續(xù)穩(wěn)定安全的輸出,又成為下一個(gè)挑戰(zhàn)。而零信任模型似乎是一種思路,值得深入研究。
鐵信云對(duì)零信任模型的理解
零信任體系架構(gòu)是一種端到端的網(wǎng)絡(luò)/數(shù)據(jù)安全方法,包括身份、憑證、訪問管理、操作、終端、宿主環(huán)境和互聯(lián)基礎(chǔ)設(shè)施,是一種側(cè)重于數(shù)據(jù)保護(hù)的架構(gòu)方法。
零信任模型對(duì)傳統(tǒng)的邊界安全架構(gòu)思想重新進(jìn)行了評(píng)估和審視,并對(duì)安全架構(gòu)思路給出了新的建議:默認(rèn)情況下不應(yīng)該信任網(wǎng)絡(luò)內(nèi)部和外部的任何人、設(shè)備、系統(tǒng)和應(yīng)用,而是應(yīng)該基于認(rèn)證、授權(quán)和加密技術(shù)重構(gòu)訪問控制的信任基礎(chǔ),并且這種授權(quán)和信任不是靜態(tài)的,它需要基于對(duì)訪問主體的風(fēng)險(xiǎn)度量進(jìn)行動(dòng)態(tài)調(diào)整。
NIST給出的零信任模型定義為:零信任架構(gòu)提供了一個(gè)概念、思路和組件關(guān)系(架構(gòu))的集合,旨在消除在信息系統(tǒng)和服務(wù)中實(shí)施精確訪問決策的不確定性。零信任是一套不斷發(fā)展的網(wǎng)絡(luò)安全模式的術(shù)語,它將防御從靜態(tài)的、基于網(wǎng)絡(luò)的邊界,轉(zhuǎn)移到關(guān)注用戶、資產(chǎn)和資源上。
基于零信任模型的思想、定義理解,可以看出零信任模型重點(diǎn)是應(yīng)用和數(shù)據(jù)服務(wù)的安全交付。核心理念是基于身份的動(dòng)態(tài)權(quán)限管理,其關(guān)鍵能力可以概況為:以資產(chǎn)為基礎(chǔ),以身份為核心、業(yè)務(wù)安全訪問、持續(xù)信任評(píng)估和基于最小權(quán)限的動(dòng)態(tài)訪問控制。
因此將云安全體系架構(gòu)滑動(dòng)標(biāo)尺的安全能力和業(yè)務(wù)系統(tǒng)、信息化系統(tǒng)緊密結(jié)合起來,動(dòng)態(tài)聯(lián)動(dòng),形成耦合關(guān)系,就可以形成基于零信任架構(gòu)理念落地的一種內(nèi)生安全解決方案。
結(jié)合零信任模塊框架圖,一個(gè)深刻體會(huì)是策略執(zhí)行點(diǎn)的選擇。不同的場(chǎng)景,應(yīng)結(jié)合企業(yè)實(shí)際情況,靈活的選擇策略執(zhí)行點(diǎn),如主體資產(chǎn)上的客戶端安全軟件、遠(yuǎn)程訪問場(chǎng)景下的網(wǎng)關(guān)、數(shù)據(jù)訪問場(chǎng)景下的API網(wǎng)關(guān)、應(yīng)用軟件的授權(quán)控制模塊、應(yīng)用資源隔離場(chǎng)景下的微隔離防火墻等。這些策略執(zhí)行點(diǎn)的選擇可根據(jù)業(yè)務(wù)需要選擇單個(gè)或者多個(gè)組合,以滿足業(yè)務(wù)的需要。另外一個(gè)深刻體會(huì)是策略決策點(diǎn)在什么位置更合適,需要結(jié)合業(yè)務(wù)場(chǎng)景做選擇。
以內(nèi)生安全支撐云服務(wù)交付
為實(shí)現(xiàn)內(nèi)生安全的云服務(wù)交付,應(yīng)結(jié)合場(chǎng)景,先梳理核心資產(chǎn),清楚防護(hù)目標(biāo)的暴露情況,清楚訪問路徑,并結(jié)合云安全體系架構(gòu)滑動(dòng)標(biāo)尺中的各項(xiàng)能力對(duì)照,梳理出需要的安全能力、并分配到合理位置。將所需要的安全能力和業(yè)務(wù)軟件開發(fā)、系統(tǒng)建設(shè)融合,而不再單純是外掛式安全防護(hù)機(jī)制,實(shí)現(xiàn)安全和業(yè)務(wù)同步規(guī)劃、同步建設(shè),建立起以資產(chǎn)為基礎(chǔ)、以增強(qiáng)身份治理為核心、動(dòng)態(tài)調(diào)整授權(quán)的內(nèi)生安全機(jī)制,支撐業(yè)務(wù)的安全防護(hù)。
以應(yīng)用交付、數(shù)據(jù)交付場(chǎng)景為例。細(xì)化落實(shí)的過程異常復(fù)雜。舉例來說,一個(gè)軟件應(yīng)用最簡(jiǎn)化的模型可以由前臺(tái)門戶、業(yè)務(wù)服務(wù)、數(shù)據(jù)處理、認(rèn)證授權(quán)這幾個(gè)模塊組成,用戶通過電腦或手機(jī)經(jīng)過網(wǎng)絡(luò)來到云邊界,再到應(yīng)用邊界,再到應(yīng)用,這個(gè)場(chǎng)景大家都覺得很簡(jiǎn)單,傳統(tǒng)做法主要為加裝各種安全組件,縱深防御。但數(shù)據(jù)的防護(hù)和應(yīng)用的防護(hù)怎么辦?要防護(hù)到哪一級(jí)?菜單能點(diǎn)擊嗎?報(bào)表能看嗎?數(shù)據(jù)能取走嗎?把上述這些設(shè)計(jì)理念一一落實(shí)的過程異常復(fù)雜。在這個(gè)場(chǎng)景中,防護(hù)目標(biāo)是云上運(yùn)行的應(yīng)用,暴露面包含著域名、IP、端口、API、URL、頁面菜單、功能按紐、數(shù)據(jù)等。資產(chǎn)有用戶的終端設(shè)備、網(wǎng)絡(luò)設(shè)備、云主機(jī)、容器、應(yīng)用進(jìn)程等。訪問路徑可以從用戶終端-公司內(nèi)網(wǎng)-云邊界-數(shù)據(jù)中心網(wǎng)絡(luò)-應(yīng)用邊界-應(yīng)用內(nèi)虛擬網(wǎng)絡(luò)-應(yīng)用云機(jī)端點(diǎn)-應(yīng)用服務(wù)等。當(dāng)把網(wǎng)絡(luò)細(xì)分時(shí),有公司內(nèi)網(wǎng)、互聯(lián)網(wǎng)、數(shù)據(jù)中心之間的交互用戶進(jìn)一步細(xì)分,尤其是用戶的身份,在公司內(nèi)部就有普通用戶、應(yīng)用管理員、IT運(yùn)維人員。在公司外部還有協(xié)作人員、供應(yīng)鏈的人員等,疊加起來,不同場(chǎng)景下,每個(gè)人的權(quán)限都不一樣,每個(gè)人要賦予的職責(zé)也不一樣。
結(jié)合云安全體系架構(gòu)的安全能力,選擇所需要的安全能力。
在基礎(chǔ)結(jié)構(gòu)側(cè),結(jié)合上述細(xì)分訪問場(chǎng)景,細(xì)化安全能力選擇。例如對(duì)于公眾從互聯(lián)網(wǎng)訪問,可選擇用戶身份治理,如瀏覽器類型、版本的要求;而對(duì)于應(yīng)用的管理員/運(yùn)維人員從企業(yè)內(nèi)網(wǎng)訪問,則必須選擇用戶身份治理,訪問終端安全加固、補(bǔ)丁升級(jí)等安全基線管理;而對(duì)應(yīng)用運(yùn)維人員/企業(yè)云基礎(chǔ)設(shè)施運(yùn)維人員/企業(yè)云基礎(chǔ)設(shè)施供應(yīng)鏈供應(yīng)商從互聯(lián)網(wǎng)訪問,則在上述安全能力的基礎(chǔ)上,還需選擇終端合法性認(rèn)證、網(wǎng)絡(luò)流量加密等安全能力。
在縱深防御側(cè),基于基礎(chǔ)結(jié)構(gòu)的資產(chǎn)、訪問流向等,建立起逐層收縮攻擊面、逐層防御的立體安全策略執(zhí)行體系。云上工作負(fù)載的微隔離是縱深防御的難點(diǎn)。通過微隔離實(shí)現(xiàn)不同應(yīng)用間的隔離和應(yīng)用內(nèi)部中各云主機(jī)/服務(wù)的隔離,除允許必要的通信外,默認(rèn)拒絕任何其他訪問,實(shí)現(xiàn)云上資源內(nèi)部的微分段。
基于身份的動(dòng)態(tài)授權(quán)是內(nèi)生安全的關(guān)鍵,包含權(quán)限管理以及動(dòng)態(tài)調(diào)整兩個(gè)方面。權(quán)限包含靜態(tài)權(quán)限和動(dòng)態(tài)權(quán)限,靜態(tài)權(quán)限主要在網(wǎng)絡(luò)平面,負(fù)責(zé)為應(yīng)用提供穩(wěn)定、逐層收縮的高質(zhì)量網(wǎng)絡(luò)傳輸通道;動(dòng)態(tài)權(quán)限主要體現(xiàn)在應(yīng)用自身。
基于身份的分段授權(quán),權(quán)限的管理需要結(jié)合業(yè)務(wù)訪問路徑上的設(shè)備、系統(tǒng)進(jìn)行分段分層設(shè)置。網(wǎng)絡(luò)準(zhǔn)入負(fù)責(zé)終端接入企業(yè)網(wǎng)絡(luò)的管理,網(wǎng)絡(luò)縱深防御負(fù)責(zé)應(yīng)用IP/Port/DNS的管理,應(yīng)用負(fù)責(zé)微隔離/頁面菜單/頁面按鈕/數(shù)據(jù)的管理,作為執(zhí)行點(diǎn)的各個(gè)設(shè)備、系統(tǒng)應(yīng)將權(quán)限配置、執(zhí)行情況匯總到零信任模型的數(shù)據(jù)平臺(tái),以實(shí)現(xiàn)可視化和動(dòng)態(tài)調(diào)整。因此這是一個(gè)權(quán)限控制粒度從粗到細(xì)的一個(gè)過程,其中關(guān)鍵點(diǎn)是應(yīng)用自身實(shí)現(xiàn)基于身份的細(xì)粒度權(quán)限控制,這也是安全能力和應(yīng)用軟件融合實(shí)現(xiàn)非外掛式內(nèi)生安全的關(guān)鍵之一。應(yīng)用軟件通常都具有用戶認(rèn)證和權(quán)限管理模塊,在新建應(yīng)用系統(tǒng)的軟件規(guī)劃和設(shè)計(jì)時(shí),應(yīng)當(dāng)結(jié)合業(yè)務(wù)需要和零信任的思想,在認(rèn)證和權(quán)限模塊中做基于身份的細(xì)粒度權(quán)限管理,并和零信任的策略引擎等聯(lián)動(dòng),實(shí)現(xiàn)用戶身份的動(dòng)態(tài)驗(yàn)證、應(yīng)用訪問的動(dòng)態(tài)授權(quán)。
在此過程中,應(yīng)用能看到所有路徑的權(quán)限情況,是零信任策略決策點(diǎn)的最佳位置。
數(shù)據(jù)安全防護(hù)和業(yè)務(wù)應(yīng)用訪問場(chǎng)景基本一致,其差異點(diǎn)在于數(shù)據(jù)服務(wù)場(chǎng)景安全交付的重點(diǎn)是數(shù)據(jù)安全。數(shù)據(jù)服務(wù)交付場(chǎng)景面臨的風(fēng)險(xiǎn)包括API漏洞、缺乏細(xì)粒度數(shù)據(jù)訪問權(quán)限、身份認(rèn)證不足、數(shù)據(jù)泄露等,因此在規(guī)劃和設(shè)計(jì)上除了云安全體系架構(gòu)的基礎(chǔ)架構(gòu)安全能力、縱深防御能力,關(guān)鍵是結(jié)合應(yīng)用軟件和系統(tǒng)建設(shè)構(gòu)建面向數(shù)據(jù)的內(nèi)生安全能力。
面向數(shù)據(jù)的內(nèi)生安全能力首先要基于數(shù)據(jù)治理,梳理出重要數(shù)據(jù)、敏感數(shù)據(jù),按照零信任的思想,細(xì)化設(shè)計(jì)面向數(shù)據(jù)的身份驗(yàn)證、權(quán)限控制、訪問行為審計(jì)等安全能力,設(shè)計(jì)和態(tài)勢(shì)感知、零信任策略引擎互動(dòng)的安全能力,并在構(gòu)建數(shù)據(jù)訪問API和系統(tǒng)建設(shè)時(shí)將這些安全能力嵌入到軟件和系統(tǒng)中,實(shí)現(xiàn)用戶訪問數(shù)據(jù)范圍可控、可跟蹤。
另外在防止數(shù)據(jù)泄露上,還需要結(jié)合用戶終端安全管控軟件做細(xì)粒度權(quán)限管理,例如是否允許下載的數(shù)據(jù)通過微信、郵件等渠道外傳。
內(nèi)生安全能力與運(yùn)維/運(yùn)營融合構(gòu)建實(shí)戰(zhàn)化持續(xù)交付能力。為支撐云服務(wù)持續(xù)安全穩(wěn)定交付,需要能“可持續(xù)”的發(fā)現(xiàn)網(wǎng)絡(luò)攻擊并基于協(xié)同響應(yīng)的實(shí)戰(zhàn)化安全運(yùn)行做出有效響應(yīng),這就需要將網(wǎng)絡(luò)安全保障體系和運(yùn)維/運(yùn)營深度融合,實(shí)現(xiàn)可持續(xù)常態(tài)化安全保障,支撐云服務(wù)持續(xù)安全穩(wěn)定交付。
首先,通過網(wǎng)絡(luò)安全保障體系的建設(shè),形成網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施,形成標(biāo)準(zhǔn)化的安全服務(wù),并在日常工作中持續(xù)實(shí)施這些標(biāo)準(zhǔn)化的安全服務(wù),確保安全能力的持續(xù)輸出。
其次,需要將安全運(yùn)行融合到運(yùn)維運(yùn)營運(yùn)行中,包括在信息系統(tǒng)的制度、流程等方面嵌入安全運(yùn)行的要求,確保安全能力能被執(zhí)行。
再次,需要在安全團(tuán)隊(duì)和運(yùn)維運(yùn)營團(tuán)隊(duì)間形成緊密協(xié)作、循環(huán)提升工作機(jī)制。在面對(duì)網(wǎng)絡(luò)攻擊、威脅入侵、響應(yīng)處置、動(dòng)態(tài)策略配置及優(yōu)化、權(quán)限管理等工作時(shí),能團(tuán)結(jié)協(xié)作,形成以數(shù)據(jù)驅(qū)動(dòng)流程的運(yùn)行模式,確保實(shí)戰(zhàn)中能持續(xù)輸出安全能力,支撐云服務(wù)的持續(xù)交付,并在此過程中形成PDAC閉環(huán)的工作機(jī)制,循環(huán)提升安全運(yùn)行的水平,持續(xù)改進(jìn)網(wǎng)絡(luò)安全保障體系,支撐云服務(wù)持續(xù)輸出。
結(jié)束語
以內(nèi)生安全支撐云上服務(wù)交付,要以“動(dòng)態(tài)、綜合、可持續(xù)”為指導(dǎo),以安全能力建設(shè)為基礎(chǔ),圍繞服務(wù)交付確定防御重點(diǎn),規(guī)劃建設(shè)動(dòng)態(tài)綜合的網(wǎng)絡(luò)安全防御體系,使安全能力覆蓋服務(wù)交付路徑上的云資源、網(wǎng)絡(luò)、人員等所有IT要素,避免局部盲區(qū)而導(dǎo)致的防御體系失效,還要將安全能力深度融入物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)和用戶等各個(gè)層次,確保安全能力在IT的各個(gè)層次有效集成。圍繞人員和流程開展實(shí)戰(zhàn)化安全運(yùn)行,將網(wǎng)絡(luò)安全保障體系和運(yùn)維運(yùn)營深度融合,實(shí)現(xiàn)可持續(xù)常態(tài)化安全保障,支撐云服務(wù)持續(xù)安全穩(wěn)定交付。