云安全將成為影響國家安全、社會穩定、行業安全等方方面面的關鍵因素之一
“十四五”規劃提出,要加快數字化發展、建設數字中國。作為數字經濟重點產業之一的云計算,將作為數字經濟的基礎設施,推動數字化轉型、推動各行各業的數字化和互聯互通。人工智能、大數據、區塊鏈、邊緣計算、5G、物聯網等新興技術也將在云計算的支撐下打破技術邊界,合力支撐產業變革、賦能社會需求。當越來越多的價值和使命由云計算來承載和支撐時,云安全將會成為影響國家安全、社會穩定、行業安全、企業安全,以及個人的人身安全、財產安全、隱私保護等方方面面的關鍵因素之一,亟需在政策、管理和技術創新上加強投入。
一、云計算與云安全的發展
2006 年,亞馬遜 AWS 推出首批云計算產品,包括在線存儲服務 S3 和彈性計算云 EC2 等云服務,拉開了現代云計算產業發展的大幕。時至今日,全球云計算市場規模已達每年數千億美元,涌現出了微軟、谷歌、阿里巴巴、騰訊、華為等大批云廠商,涵蓋公有云、私有云、混合云等基礎設施,包括平臺、應用等云服務。新冠疫情和數字化轉型加速了廣大企業上云,在海外云計算已經成為大多數企業默認的 IT 基礎設施,國內的云計算市場份額預計到“十四五”末也將突破萬億。隨著基礎設施即服務(IaaS)云市場的逐漸成熟穩健,軟件即服務(SaaS)的發展也如火如荼,各行各業的傳統軟件都紛紛向SaaS 在線訂閱模式轉型。據本翼資本預測,2025 年僅中國企業級 SaaS 服務的規模就將達到 370 億美元。
在云計算發展早期階段,云安全相對滯后。例如,云廠商不能很好地提供日志,合規很難解決,云安全風險成為云廠商、用戶企業、監管機構等方面的最大擔憂,因此難以在客戶方建立信任。這在很大程度上遲滯了云計算產業發展的速度。2009 年,國際云安全聯盟 CSA(Cloud Security Alliance)正式成立,發布了云計算領域的多項云安全標準和指南,與云廠商、網絡安全廠商、用戶企業、政府事業單位、研究機構等各領域的會員單位持續落地云安全最佳實踐,為云安全的標準化和產業化發展發揮了重要推動作用。現今,各大云廠商的安全能力及合規能力都越來越成熟,安全已能夠為云服務保駕護航,也不再是制約產業向云轉型或企業上云的主要障礙。同時,隨著容器、無服務器(Serverless)等技術的快速發展,云原生安全逐漸成為各大云廠商在云安全領域的戰略重心。
二、云安全風險和態勢現狀
CSA 于 2020 年發布了云計算的 11 大頂級威脅:數據泄露、配置錯誤和變更控制不足、云安全架構和策略缺失、身份/憑據/訪問和密鑰管理不足、賬號劫持、惡意內部人員、敲詐軟件、不安全的接口和應用程序編程接口(API)、受限的云使用可見性、濫用和惡意使用云服務、元結構和應用程序結構故障等。此外高級持續威脅(APT)、盡職調查不足、拒絕服務、供應鏈/共享技術安全風險也是云安全的主要風險。
根據 Cybersecurity Insiders《2022 云安全報告》對上千家云客戶樣本企業的調查顯示,2022 年云安全呈現出以下最新特征。
(一) 云客戶遭遇安全事件的比例有所下降
2021 年,27% 的云客戶遭遇了公有云安全事件,比 2020 年的 36% 有所下降。這表面看起來是個好現象,但是隨著云計算市場的快速發展,云客戶的基數也在飛速增長,再加上樣本數量有限,因此比例不能代表云安全事件的絕對數量。不管是對于云廠商還是云客戶,防范云安全事件都將任重道遠。
(二) 云安全事件的責任絕大部分在云客戶
在全部安全事件中,錯誤配置已經從去年的13% 上升到今年的 23%,超過用戶因誤泄露數據(15%)和賬號遭入侵劫持(15%)成為云安全事件的主要原因,這些云安全事件約有 95% 的責任都在云客戶。云客戶作為云安全的第一責任人要充分理解云安全責任共擔模型。要充分理解云廠商的安全能力和不足,理解各云廠商的安全最佳實踐,合理設計云架構,安全上云并做好持續的安全加固和防護。在監督云廠商履行安全職責的同時,也要切實履行云客戶側的安全職責,不能都依賴云廠商。
(三) 多云占比快速提升
采用多云(兩家或兩家以上云廠商)的云客戶從 2020 年的 62% 上升到 76%。因為不同云廠商的安全實現方式和管控粒度的差異,使得多云廠商的管理更加復雜。云客戶需要對每個云廠商開展盡職調查,確保各云廠商的安全能力都能滿足需求。
(四) 云原生安全關注度提升
6% 的云客戶已經落地了開發安全運營一體化(DevSecOps),37% 的云客戶將計劃采用DevSecOps。此外使用了基礎設施即代碼、Serverless和持續集成持續部署(CI/CD)的云客戶占比分別為44%、48% 和 44%。此外,和 Serverless 相比,容器的占比雖然只有 4%,但據《Sysdig 2022 云原生安全和使用報告》顯示,超過 75% 的運行容器存在高危或嚴重漏洞、62% 的容器被檢測出包含 shell 命令、76% 的容器使用 root 權限運行。
(五) 勒索軟件成為最大威脅
勒索軟件在云側、端側、傳統網絡環境中到肆意蔓延。更令人擔憂的是很多企業生產系統和備份系統都用同樣的管理員登錄憑證(如密碼),攻擊者可同時加密生產系統并摧毀備份數據。云廠商在做好勒索病毒防范工作的同時需要完善數據備份策略,例如離線備份。
三、云安全的新興技術
云安全技術隨著云計算的發展不斷迭代,逐步從早期基于靜態規則的防御(邊界防御、縱深防御等)向動態防御的思路(零信任、AI、安全智能編排等)發展。在云安全演進過程中,除了常規的資源測虛擬化安全與租戶隔離技術,身份側身份管理與訪問控制(IAM)技術,數據側加密技術、訪問控制技術、數據防泄露(DLP)技術,其他云安全防御技術以外,云安全還涉及很多新技術、新理念或新方案。
(一) 云原生安全
云原生計算基金會(CNCF)認為,云原生技術有利于各組織在公有云、私有云和混合云等新型動態環境中,構建和運行可彈性擴展的應用。云原生主要包括容器、不可變基礎設施(基礎設施即代碼)、彈性服務編排、微服務、開發運營一體化(DevOps)、CI/CD、Serverless 等技術。云原生安全作為一種新興的安全理念,強調以原生的思維構建云上的安全建設、部署與應用,即云客戶不需要進行額外的安全部署或配置就天然具備安全能力。云原生安全主要包括容器安全、微服務安全、DevSecOps、Serverless安全等。其中容器安全又包括容器本身的安全、鏡像安全、編排(如 K8s)安全、注冊安全、宿主操作系統風險等。Serverless 安全的本質是應用程序安全,因此首先要關注函數本身的安全,比如函數代碼漏洞、依賴庫的漏洞、認證授權及訪問控制等。當然 Serverless 廠商視角除了保證 Serverless 運行時及以下各層的安全以外,還需要具備識別和阻止通過 Serverless 發起攻擊的惡意使用行為的能力。微服務因為其松耦合的特點,使其跟單體應用程序相比具備更多的攻擊面、訪問控制策略也更加復雜、同時不同微服務之間的請求追蹤難度也更大。這些特點都會導致其安全成本的增加。
(二) 零信任
零信任的理念是“從不信任、始終驗證”,主要包括現代 IAM、微隔離、軟件定義邊界(SDP)三大核心技術。其中現代 IAM 以身份為中心、對資源實現動態驗證和授權,通常采用基于屬性的訪問控制進行細粒度的動態權限控制,例如通過訪問終端的類型、位置、時間等多個維度進行授權。微隔離可以實現不同工作負載之間東西向流量的細粒度訪問控制,可以實現工作負載之間點到點的策略管控。SDP 打破了傳統物理網絡的安全控制邊界,通過單包授權認證(SPA)技術實現網絡資源的隱身,只有通過認證的終端才能與后端資源建立動態連接,當訪問結束時及時斷開連接,從而實現南北向流量的保護。SDP 適合遠程辦公等場景,尤其是新冠疫情暴發以后,SDP 在遠程辦公方面的優勢進一步提升。
(三) DevSecOps
DevSecOps 是 Development、Security 和 Operations的縮寫,是 DevOps 的安全延伸。DevSecOps 在開發運維中融入安全管理的實踐,實現在云計算平臺中快速、安全地進行軟件持續交付。DevSecOps 跨越整個 IT 堆棧,包括網絡、服務器、容器、云和應用程序安全性。所有這些層都越來越多地轉變為軟件,這使得應用程序安全性成為 DevSecOps 的焦點。DevSecOps 是完整的安全開發生命周期:涵蓋整個軟件生命周期,包括開發和運營。在開發過程中,重點是識別和預防漏洞,而在運營中,監控和防御應用程序是目標。
(四) 安全訪問服務邊緣(SASE)
SASE 概念由 Gartner 在 2019 年首次提出,是指將軟件定義廣域網(SD-WAN)與網絡安全功能相結合,由單一服務商以云的形式交付。SASE 將安全 Web 網關(SWG)、云訪問安全代理(CASB)、防火墻即服務(FWaaS)、零信任網絡訪問(ZTNA)結合,綜合基于實體的身份、實時上下文、企業安全/合規策略,以一種持續評估風險/信任的服務形式來交付,其中實體的身份可與人員、人員組(分支辦公室)、設備、應用、服務、物聯網系統或邊緣計算場地相關聯。
(五) 云訪問安全代理(CASB)
CASB 由 Gartner 在 2012 年提出,目前在國外被廣泛使用。美國國家標準技術研究院(NIST)和安全機構 SANS 在標準和指南中把 CASB 作為云安全的必須解決方案。CASB 位于云服務使用者和云廠商之間,在各種云服務界面結合和插入企業安全策略。CASB 解決方案整合了多種類型的安全策略 . 例如身份驗證、單點登錄、權限控制、身份屬性和權限映射、設備指紋、數據加密、令牌、日志記錄、惡意軟件檢測/預防等。CASB 跨多個云服務同時提供策略和治理,并提供對用戶活動的精細可見性和對用戶活動的控制。
(六) 云工作負載安全防護平臺(CWPP)
CWPP 概念是保護云上工作負載(如云主機和容器)的安全產品和解決方案,包含主機入侵防御(HIPS)、終端防護中心(EDR)、殺毒等 10 多個細分技術領域。
(七) 云安全態勢管理(CSPM)
CSPM 被 Gartner 定義為一個可以降低攻擊成功率的持續的云安全改進和適應過程。CSPM 通常用于保護 IaaS 多云或混合云,側重于身份/安全/合規、安全監測與分析、多云資源管理、成本控制、配置風險發現等領域。
四、云安全的新趨勢預測
伴隨著云計算的越來越廣泛的應用場景和技術發展,云安全也呈現出新的發展變化。
(一) 云安全的下半場是云原生安全和云應用安全
隨著云原生市場如火如荼地發展,云原生安全也水漲船高。各大云廠商尤其是 IaaS 廠商已經將云原生安全作為云安全的戰略重點。此外 SaaS 市場也達到了爆發的拐點,各垂直領域軟件廠商都紛紛向 SaaS 轉型,因此 SaaS 安全也會成為云安全下半場的焦點。
(二) 基于 Serverless 的分布式攻擊增加
因為 Serverless 彈性、輕量級和冷啟動的特點,如果利用 Serverless 發動分布式網絡攻擊,溯源將會變得很困難。另外通過 Serverless 發起攻擊的門檻很低,開發人員都可以操作。因此 Serverless 將受到越來越多攻擊者的青睞。
(三) 機器身份的安全威脅持續增長
機器身份是指分配給非人類網絡實體(例如設備,應用程序,進程等)的擁有特權的唯一標識,例如數字證書。隨著機器身份的爆炸式增長,越來越多的攻擊者將利用機器身份的合法性獲得系統的高權限,并進行相關的攻擊或破壞活動。
(四) AI 技術提升攻擊的隱蔽性
利用 AI 技術發起的攻擊通常自動化程度高,經過模型訓練可以使攻擊行為無限接近真實訪問行為,具備很強的隱蔽性,給攻擊檢測帶來巨大挑戰。
(五) 利用區塊鏈匿名性發起的攻擊溯源困難
區塊鏈的匿名性如果被用來發起網絡攻擊或者開展非法交易,將很難進行攻擊溯源。
五、云安全相關的法律、政策、標準及認證
云安全的發展離不開相關標準引領,CSA、ISO 等國際組織在云安全發展過程中發揮了重要作用,一些國家和地區也制定了云安全相關的標準。從云安全評價的角度,也出現針對云廠商組織或產品視角的云安全體系認證或產品認證。
(一)CSA
2009 年,CSA 發布了首個云計算安全的最佳實踐《針對云計算重點領域的安全指南》,從管理和技術等方面告知從業人員應該如何保障云安全,成為云安全建設與云安全管理領域的最佳實踐。2010年,CSA 發布云控制矩陣(CCM),這一個針對云安全的控制框架,映射了大量法律法規和國際標準的要求,涵蓋了云技術的所有關鍵領域。它可以作為對云計算安全實施系統評估的工具,并為實施云計算安全控制提供指導。2013 年,CSA 正式發布了基于云端安全控制矩陣的云安全、信任、保障和風險(STAR)認證,成為全球云安全領域的通用安全評估認證。2016 年,CSA 大中華區發布了產品級云安全標準(CSTR)。2018 年,CSA 提出了《CSAGDPR 合規行為準則》,為歐盟 GDPR 合規提供了一致和全面的框架,幫助云廠商實現 GDPR 合規。2021 年,CSA 發布云計算可信廠商(TCP)標識,已有華為、亞馬遜、微軟等數十家云廠商獲此認證。2022 年,CSA 大中華區發布了云安全技術標準 2.0、云應用安全技術規范(CAST)和云原生安全技術規范(CNST),同時聯合我國公安部第三研究所發布了針對云原生和云應用的安全可信認證。
(二)ISO
國際標準化組織 ISO/IEC 以 ISO27001 為核心,形成 ISO 27000 系列標準,覆蓋信息安全主題的不同領域,包括云計算安全標準 ISO27017 和云隱私安全標準 ISO27018。
ISO 27017 是專門針對云服務信息安全的實用標準,為云廠商和云服務客戶提供特定的信息安全控制及實施指南。ISO 27018 是首個專注于云中個人信息保護的國際行為準則,提出適用于公有云的個人可識別信息(PII)控制體系,旨在補充 ISO 27002中的滿足公有云 PII 保護要求的安全控制措施。
(三)中國
2014 年,GB/T 31167《信息安全技術 云計算服務安全指南》與 GB/T 31168《信息安全技術 云計算服務安全能力要求》兩項云安全標準正式發布,適用于對政府部門使用的云服務進行安全管理,還適用于指導云廠商建設安全的云平臺和提供安全的云服務。2017 年,正式施行的《網絡安全法》第二十一條,明確“國家實行網絡安全等級保護制度”。網絡安全等級保護標準 GB/T 22239《信息安全技術網絡安全等級保護基本要求》,以信息系統為評估對象,包括基礎信息網絡、云計算、移動互聯、物聯網、大數據和工業控制系統等各個領域。2019 年,國家網信辦等四部門發布了《云計算服務安全評估辦法》,對采用和提供云服務提出了嚴格的安全要求。2021 年,《數據安全法》《個人信息保護法》正式實施,共同構建了國家數據安全防線,也適用于云安全的相關安全保護。
(四)美國
2011 年,在 RSA 大會的 CSA 峰會上,白宮首席信息官代表美國聯邦政府發布首個美國國家云計算戰略,之后美國要求為聯邦政府提供的云計算服務必須通過安全審查。為此美國啟動了聯邦風險及授權管理(FedRAMP)項目,其審查標準是《云計算安全基線》。目前,美國已有數十項云計算服務通過了安全審查。2011 年,CSA 還將云計算參考架構交接給 NIST 發布并維護。2014 年,NIST 又發布了網絡安全框架(CSF), 以便企業和云廠商根據自身需求加強網絡安全防御。
(五)歐盟
2012 年,歐盟在 CSA 的協助下,提出了歐洲云計算戰略,之后歐盟網絡與信息安全局(ENISA)發布了《政府云安全框架》的指導性報告。
2016 年,德國發布云安全國家標準 C5(CloudComputing Compliance Controls Catalog)云計算合規性標準目錄,它由德國聯邦信息安全局 (BSI) 制定,旨在基于標準化的檢查和報告證明云廠商的安全性,并于 2020 年根據 GDPR 等新要求進行了更新。
(本文刊登于《中國信息安全》雜志2022年第5期)
