綠盟科技云安全綱領(中)
綠盟科技自2012年開始研究并打造云計算安全解決方案,并于2022年正式推出“T-ONE云化戰略”,將安全產品與方案全面向云轉型,并構建開放的云化生態。本文將對綠盟科技的云計算安全風險與發展的認知、價值主張、合作體系、參考體系、技術體系與建設方案進行闡釋。因篇幅限制分為上中下三篇,本篇為中篇。
云計算安全架構體系全景圖
本部分給出了云計算安全的架構體系全景圖及責任模型,并將技術體系中的安全能力分為基礎云安全能力與復合云安全能力,最后給出了業界相關的優秀實踐。
云計算安全架構體系
云計算整體安全體系包括技術架構、安全流程和人員。從技術架構角度,進而可細分為四層,自底向上分別為基礎安全能力、場景化復合云安全能力、云安全框架方法論和架構,以及領域/行業級安全解決方案。這些層次描述分別如下:
云計算安全架構體系全景圖
基礎云安全能力
云領域較基礎的安全能力,只應對某單一類型的安全風險,如入侵檢測、URL過濾等。
復合云安全能力
即產品級解決方案,為多種基礎安全能力的聚合,并且基于業務場景做一些變形,旨在應對某單一場景下的多種安全風險,如Gartner提出CWPP、CSPM等。
云安全框架/方法論/架構
基于業務系統的風險分析和一定方法論,指導如何利用人、流程和技術應對安全風險。詳細內容在第五章論述。
領域/行業級安全解決方案
應對某領域或行業場景化的整體安全解決方案,如:政務云安全解決方案、多云安全解決方案等。以安全框架方法論和架構為理論指引,將人、流程和技術(云基礎能力或場景化復合云安全能力)進行有機的結合。詳細內容在第六章論述。
云安全責任模型
云計算安全的責任共擔已經成為了行業共識,無論是云等保標準還是主流公有云服務商都對各方的責任做了明確的劃分[1]。云安全責任主體方包含云計算服務商與云服務用戶,雙方的責任分擔原則:各主體應根據管理權限的范圍劃分安全責任邊界,責任邊界之下的屬于云服務商,邊界之上的屬于云服務用戶,邊界處由雙方共擔。
云計算安全責任模型
安全廠商雖然沒有直接體現在云安全責任模型上,但責任主體會購買或租用安全廠商的產品、平臺或服務,以承擔起所需的責任時,該責任也全部或部分地轉移到了安全廠商處。在不同場景下,安全廠商的角色是有所不同的。如安全廠商提供的是3.3 服務及方案中SaaS安全服務或運營服務,那么用戶側全部或大部分的責任則應由安全廠商承擔;而如安全廠商提供的是3.3 服務及方案中安全平臺或安全產品,那么安全廠商承擔其產品對應的安全能力,而相應的配置與策略、運營則應由云服務用戶承擔。
基礎云安全能力
Gartner在2022年提出了網絡安全網格架構(CyberSecurity Mesh Architecture,CSMA),這是一種應對高級威脅和復雜場景非常有效的安全架構,其將安全功能拆分成了諸多原子化的安全能力,進而通過控制層編排組合成各種安全產品和方案。無疑云計算的敏捷、彈性和編排特性助力CSMA落地。云計算環境中的原子化的安全能力,我們稱之為基礎云安全能力,它們是云安全的基石。本節將介紹基礎云安全能力分類,以及給出能力列表與安全框架的映射關系。
1)概述
下面通過領域分類的方式來歸類不同的云涉及的基礎安全能力,并將安全能力與一些標準安全框架中的安全能力做對應。下述基礎云安全能力、基礎云安全能力詳細信息以及典型廠商安全產品,詳見表1、表2。
表1 云計算安全基礎能力目錄與安全框架映射
表2 復合能力與基礎能力的映射
2)基礎云安全能力分類
基礎云安全能力的分類和層級可分為以下類型,如下圖所示:
基礎云安全能力分類
a) 身份與訪問層安全
云計算環境的用戶與程序都有各自身份,通過認證后的憑證訪問應用或服務。身份與訪問層安全覆蓋云計算用戶身份管理及云服務訪問管理領域所需的基礎安全能力,包含:身份安全、訪問安全。
b) 服務層安全
服務層安全覆蓋云上對外提供業務的服務所需的基礎安全能力,包含:開發安全、應用安全、數據安全、主機安全(含軟件平臺安全),以及Overlay網絡安全。
c) 資源層安全
資源層安全覆蓋云計算系統的基礎資源層所需的基礎安全能力,包括:
· 物理資源安全,包含災備、防火、防盜竊和防破壞、防水和防潮、防靜電、電磁防護、電力供應、防雷擊、防震,此部分不是本文重點,不做重點敘述。
· 資源管理平臺安全,包括:云組件配置核查、云組件身份安全、云組件應用安全、云資源合規檢測、云組件日志審計、云資產發現。
· 基礎硬件與網絡安全,包括宿主機安全、 Underlay網絡安全,以及存儲設備安全。
· 虛擬化層安全:防止虛擬機/容器逃逸等。
d) 安全管理
主要覆蓋安全分析閉環所需的基礎安全能力,包含:態勢感知、資產管理、SOAR/一鍵封堵、漏洞管理、安全推理、異常行為分析、威脅狩獵、威脅情報等。
e) 安全服務
覆蓋安全服務中所需的基礎能力,包含:合規、漏洞應急響應、安全事件檢測與響應、設備托管、滲透測試、代碼泄露監測、互聯網資產暴露面核查、暗網核查、網站安全云防護、網站安全監測、安全配置管理、安全報告。
3)能力目錄與安全框架映射
我們列舉、細化并歸納了基礎云安全能力,并且將這些能力映射到了業內主流的安全框架,詳見表1。
復合云安全能力
云計算的場景較為復雜,如有私有云、公有云、多云/混合云、云原生和SDWAN等。在各場景下適用的安全產品和安全方案,體現出了多種基礎云安全能力的組合。本節將介紹這些復合的安全能力,以及與基礎安全能力的關系。
概述
云計算技術的重要特點是彈性、按需和接口化,所以綠盟科技的基礎云安全能力也體現出這些特點。借助這些基礎云安全能力,我們就能構建出多種復雜的安全能力組合,即網絡安全服務網格架構,進而為用戶提供可編排的多種安全能力組合,我們稱之為復合云安全能力。
場景化的復合云安全能力為多種基礎云安全能力的聚合,并且基于業務場景做一些變形,旨在應對某一場景下的多種安全風險。下述復合云安全能力全面描述以及典型廠商安全產品。為保持一致,我們在此借用Gartner對云安全領域的場景化安全能力的分類。Gartner在2021年前定義了云安全的全場景核心成為CASB、CWPP、CSPM,隨著云計算技術的快速發展,2021年在前面分類的基礎上融合演變出來更多的安全能力子類,如CNAPP、SSPM等。
復合云安全能力全景圖
常見的復合云安全能力
a) 云訪問安全代理CASB
云訪問安全代理(Cloud Access Security Broker,CASB)最早是2012年由Gartner提出的概念,Gartner 將CASB市場定義為云服務所必備的產品和服務,用來解決組織使用云服務時的安全漏洞,能夠彌補組織使用云服務時存在的安全缺陷。CASB出現最早是為解決影子資產問題,以及其衍生出的影子IT和BYOD的問題,尤其是隨著SaaS服務的快速發展,從底層硬件資源到上層軟件資源,最終用戶都無法實施控制,因為企業用戶使用了哪些云服務和用什么設備訪問這服務都不受企業管控,從而引發數據泄露等安全問題,而CASB能很好地解決此類問題。
b) 云工作負載保護平臺CWPP
云工作負載保護平臺(Cloud Workload Protection Platform,CWPP)為所有類型的工作負載提供以工作負載為中心的安全保護解決方案,包括物理服務器、虛擬機(VM)、容器和無服務器工作負載。CWPP為跨企業內部和云環境的可視性和保護提供了一個單一的可觀察的窗口。按照重要性的順序,CWPP 包括八個控制層:
· 加固、安全配置與漏洞管理
· 網絡防火墻、可視化以及微隔離
· 系統信任保證
· 應用控制/白名單
· 漏洞利用預防/內存保護
· 服務器工作負載EDR、行為檢測、威脅檢測/響應
· 具有漏洞屏蔽功能的HIPS
· 反惡意軟件掃描
c) 云安全態勢管理CSPM
云安全態勢管理(Cloud Security Posture Management,CSPM)可評估云計算系統、應用的整體安全態勢,特別是對基礎設施安全配置進行分析與管理。這些安全配置包括賬號特權、網絡和存儲配置,以及安全配置(如加密設置)。如果發現配置不合規,CSPM會采取行動進行修正。
d) 云原生應用防護平臺CNAPP
云原生應用防護平臺(Cloud-Native Application Protection Platform,CNAPP)結合了云原生運行時安全與安全左移的開發安全,形成了DevSecOps整個安全閉環。其能夠掃描在開發環境中工作負載以及配置,并且對工作負載實時保護的解決方案。CWPP和CSPM的能力在云原生環境中合二為一,CNAPP解決方案也以一種兩者混合的形態出現。
e) SaaS管理平臺SMP
SaaS管理平臺(SaaS Management Platform,SMP)使安全管理人員能夠在數字化辦公場景中發現、管理和保護SaaS應用程序。
f) 安全服務邊緣SSE
安全服務邊緣 (Security Service Edge,SSE)為一組以云為中心的集成安全功能,它有助于安全訪問網站、SaaS 應用程序和私有應用程序。SSE 融合了以云為中心的安全功能,以促進對 Web、云服務和私有應用程序的安全訪問。SSE 功能包括訪問控制、威脅防護、數據安全和安全監控。SSE可對如下功能進行了融合,并將其整合到單一供應商、以云為中心的融合服務中。
· 零信任網絡訪問 (ZTNA)
· 安全 Web 網關 (SWG)
· 云訪問安全代理 (CASB)
· 防火墻即服務 (FWaaS)
上述之外還有其他一些云場景中適用復合安全能力的定義,如下:
g) 網絡檢測與響應NDR
網絡檢測與響應 (Network Detection&Response,NDR) 是一項新興技術,旨在彌補傳統安全解決方案留下的安全盲點,黑客利用這些盲點在目標網絡中立足。檢測響應是基于入侵檢測系統 (IDS) 開發的。IDS 解決方案安裝在網絡外圍并監控網絡流量是否存在可疑活動。NDR 是減輕 IDS 系統無法保護的缺點的響應。NDR 系統超越了基于簽名的檢測,可以分析進出網絡的所有網絡流量,并創建正常網絡活動的基線。基線稍后用于將當前流量與常規網絡活動進行比較,以檢測可疑行為。
NDR 解決方案利用先進技術來檢測新興和未知威脅,例如機器學習和人工智能 (AI)。使用這些技術允許 NDR 系統將從網絡流量收集的信息轉換為可操作的情報,用于檢測和阻止未知的網絡威脅。NDR 解決方案可以獨立于人工監督自動運行,以檢測網絡威脅并做出響應。NDR 還可以與現有的安全解決方案(例如 SIEM 和 SOAR)集成,以增強檢測和響應。
h) 拓展的檢測與響應XDR
拓展的檢測與響應(Extended Detection and Response,XDR)是一個基于SaaS化模式,將多源安全遙測數據進行聚合,把原先分散的單點安全能力以原生化方式進行有機融合,以此提升威脅檢測、調查、響應與狩獵能力的系統。用于檢測和處置網絡安全風險。
i) 云基礎設施權限管理CIEM
云基礎設施權限管理(Cloud Infrastructure Entitlements Management,CIEM)方案越來越多地被應用,其旨在打通多云間的認證授權管理,保障用戶使用云基礎設施和服務時的最低權限訪問原則,幫助組織抵御數據泄露、惡意攻擊以及過多云權限帶來的其他風險。
j) 網站云防護
網站云防護是以SaaS的方式為客戶Web網站提供安全防護,如綠盟網站云安全云防護(WCP)包含的安全防護能力見表3:
表3 網站安全云防護安全能力列表
k) 網站安全監測
網站安全云監測是以SaaS的方式為客戶Web網站提供安全監測,及時發現異常現象與惡意攻擊,如綠盟網站安全云監測(PAWSS)主要包括六個方面內容:資產核查、脆弱性監測、完整性監測、可用性監測、認證檢測、敏感信息監測。
· 資產核查服務,主要幫助用戶識別違規上線的應用,讓用戶對于外網暴露IP、端口有一個全面的了解;
· 脆弱性監測服務,主要幫助用戶發現其網站面臨的安全風險,為其提供專業化的安全建議;
· 完整性監測服務,能夠為用戶甄別出其站點頁面是否發生了惡意篡改,是否被惡意掛馬,是否被嵌入敏感內容等信息;
· 可用性監測服務,能夠幫助用戶了解其站點此時的通斷狀況,延遲狀況;
· 認證監測服務,主要能夠為用戶提供釣魚網站監測的功能。
· 敏感信息監測服務,可以幫助客戶發現泄露在外網的代碼信息,并進行發布者溯源。
不同場景下的基礎安全能力組合會非常多,因此其他復合云安全能力此處不一一列舉。
復合云安全能力與基礎云安全能力的映射
我們列舉了常見復合云安全能力,它們與前述基礎云安全能力的映射詳見表2《復合能力與基礎能力的映射》。
業界優秀實踐
作為行業最有影響力的公有云服務商之一,Amazon在云計算方面投入時間最久,其公有云Amazon AWS實踐非常成熟,本章我們將以Amazon AWS為例,簡要介紹業界云服務商在安全架構和安全能力建設方面所做的優秀實踐。
1)AWS責任共擔模型
AWS針對基礎設施服務、容器服務和抽象服務設計了對應的責任共擔模型,以識別AWS和客戶分別承擔的責任,得到了行業的認可。其通用模型如下圖所示,也可認為是經典的云計算安全責任共擔模型之一。
在此模型中,AWS負責“云本身的安全” ,即保護運行所有 AWS 云服務的基礎設施。該基礎設施由運行 AWS 云服務的硬件、軟件、網絡和設備組成。
客戶負責“云內部的安全” ,即由客戶所選的 AWS 云服務確定。這決定了客戶在履行安全責任時必須完成的配置工作。例如,Amazon Elastic Compute Cloud (Amazon EC2) 等服務被歸類為基礎設施即服務,因此要求客戶負責所有必要的安全配置和管理任務。部署 Amazon EC2 實例的客戶需要負責來賓操作系統(包括更新和安全補丁)的管理、客戶在實例上安裝的任何應用程序軟件或實用工具,以及每個實例上 AWS 提供的防火墻(稱為安全組)的配置。 對于抽象化服務,例如 Amazon S3 和 Amazon DynamoDB,AWS 運營基礎設施層、操作系統和平臺,而客戶通過訪問終端節點存儲和檢索數據。客戶負責管理其數據(包括加密選項),對其資產進行分類,以及使用 IAM 工具分配適當的權限。
AWS責任共擔模型
2) AWS安全、身份與合規性服務
AWS在整體安全方面,提供了如下相關服務:
· 身份與訪問管理:AWS Identity 服務支持用戶安全地批量管理身份、資源和權限。借助 AWS,用戶可以為員工和面向客戶的應用程序提供身份服務,以快速入門并管理工作負載和應用程序的訪問權限。
· 檢測監測:AWS 通過持續監控用戶云環境中的網絡活動和賬戶行為,來識別威脅。
· 網絡和應用程序保護:網絡和應用程序保護服務使用戶能夠在組織中的網絡控制點強制執行精細的安全策略。AWS 服務可幫助用戶檢查和過濾流量,以防止主機、網絡和應用程序級別邊界中發生未經授權的資源訪問。
· 數據保護:AWS 提供的服務幫助用戶保護數據、賬戶和工作負載免受未經授權的訪問。AWS 數據保護服務提供加密、密鑰管理和威脅檢測功能,可以持續監控和保護用戶的賬戶和工作負載。
· 事故響應:分析、調查和快速確定潛在安全問題或可疑活動的根本原因,自動從AWS 資源中收集日志數據并使用機器學習、統計分析和圖論來構建一組關聯的數據,進行更快、更有效的安全調查。
· 合規性:AWS 讓用戶可以全面了解合規狀況,并使用自動合規性檢查(基于用戶的組織遵守的 AWS 最佳實踐和行業標準),持續監控用戶的環境。
表4 AWS安全性、身份與合規性服務
