解讀美《云安全技術參考架構》
6月23日,國土安全部(DHS)部長、網絡和基礎設施安全局(CISA)局長、預算和管理辦公室(OMB)主任、聯邦風險授權管理計劃(FedRAMP)執行總務局長共同協商,制定并發布了《云安全技術參考架構》(Cloud Security Technical Reference Architecture)2.0版本,為機構利用云安全態勢管理(Cloud Security Posture Management,CSPM)收集和報告云遷移和數據保護提供方法建議。
一、報告發布背景
近年來,美國針對日益突出和重要的網絡安全態勢,陸續發布了一系列行政命令,如:
2013年2月發布的第13636號“改進關鍵基礎設施網絡安全”行政命令,擴大信息共享項目,例如增強網絡安全服務,向美國公司提供機密和非機密的網絡威脅信息。
2017年5月發布的第13800號“加強聯邦網絡和關鍵基礎設施的網絡安全”行政命令授權各機構利用美國國家標準與技術研究院的網絡安全框架(NIST CSF)實施風險管理措施,以減輕未經授權獲取政府信息技術資產的風險。行政命令還指示各機構在IT采購中確定共享服務的優先次序。通過這種方式,指導機構在遷移到云環境時實現對數據的有效保護。行政命令更加強調網絡安全框架的重要性,并為整個聯邦政府更迅速地采用云奠定了基礎。
2019年5月發布的第13873號“保障信息和通信技術及服務供應鏈的安全”行政命令,強調保護關鍵基礎設施IT通過保障供應鏈的獲取。通過這種方式,它突出了供應鏈和IT采購對于政府運作和機構使命履行的重要性。
2021年5月發布的第14028號“改善國家網絡安全”的行政命令,為了跟上現代技術的進步和不斷變化的威脅,聯邦政府陸續向云遷移。
隨著各機構相繼使用云技術,為了以一種協調、慎重的方式從而使聯邦政府能夠預防、發現、評估和補救網絡事件。更為推進這種做法,要求向云技術的遷移應在可行的情況下采用零信任架構。網絡和基礎設施安全局作為聯邦民用網絡安全的業務領導機構,根據最近影響云計算環境的網絡攻擊、不斷變化的威脅以及不斷變化的需求等情況,努力尋求為采用云服務的機構提供更好的支持,以提高云環境中的情景感知和事件響應,使當前的網絡安全程序、服務和功能現代化,讓其能夠在具有零信任架構的云計算環境中充分發揮功能。
云遷移需要文化改變、確定優先順序和設計新的方法,這些都必須得到所有機構的支持才能取得成功,由此推動了《云安全技術參考架構》2.0版本的制定和發布。
二、報告主要內容簡介
《云安全技術參考體系架構》的目的是在各機構采用云技術時組織、協調和指導它們。使聯邦政府能夠識別、發現、保護、應對和從網絡事件中恢復過來,同時改善政府和企業的整體網絡安全。正如行政命令14028所概述的那樣,因為開創性地實現零信任架構,旨在讓各機構了解采用基于云的服務的優勢和內在風險。《云安全技術參考體系架構》還闡述了用于機構數據收集和報告的云遷移和數據保護的推薦方法。
《云安全技術參考體系架構》旨在以下列方式為采用云服務的機構提供指導:
· 云部署:為機構安全地過渡、部署、集成、維護和操作云服務提供指導。
· 適應性解決方案:提供靈活和廣泛適用的體系架構,以標識云功能并提供與商家無關的解決方案。
· 安全體系架構:支持建立云環境,并為代理操作提供安全的基礎設施、平臺和服務。
· 開發、安全和運營(DevSecOps):支持工程周期的動態安全開發,開發周期內通過構建、學習和迭代來完成設計、開發和交付,最終實現在全生命周期的每個階段自動實現安全性。
· 零信任:支持計劃采用零信任架構的代理機構。
這一技術參考架構分為三個主要部分:
· 共享服務:涵蓋評估云服務安全性的標準化基線。
· 云遷移:概述云遷移的策略和考慮因素,包括對常見遷移場景的闡釋。
· 云安全態勢管理:定義云安全態勢管理,并列舉用于云環境中的監視、開發、集成、風險評估和事件響應的相關安全工具。
《云安全技術參考體系架構》圍繞組成和協同作用(見下圖),詳細闡述如下:
1、共享服務層
盡管近年來隨著云多年來的發展,各種各樣的服務包括桌面即服務(DaaS)、安全即服務(SecaaS)、人工智能即服務(AIaaS)、容器即服務(CaaS)、災難恢復即服務(DRaaS)、物聯網即服務(IOTaaS)、位置即服務(LaaS)、監控即服務(MAaS)、通信即服務(UCaaS)和工作空間即服務(WaaS)等服務大大混淆了云最基本服務的概念,依據NIST定義的三個基本的云服務模型(SaaS,或軟件即服務;PaaS,或平臺即服務;IaaS,或基礎設施即服務)來進行分類和確定使用和保護方式。并明確各方對技術、安全、數據等負有的責任。詳見下圖:
需要特別強調的是其中描述的云服務模型的特性依賴于采購期間設置的合同條款(云獲取不在這一技術參考體系架構的范圍內)。
在此基礎上,詳細介紹了FedRAMP機構、適用范圍,闡述了FedRAMP及相關的角色和責任,以及機構如何利用FedRAMP服務支持其云遷移。
FedRAMP下的安全考慮事項:連續監視、事件響應和授權邊界。
2、云遷移
介紹機構在云環境中設計、實施和維護數字服務時的計算平面和注意事項。為確保向云服務的有效和安全過渡,各機構應:
· 設計云軟件:各機構可以利用云的靈活性來組合服務以支持他們的工作,各機構應在軟件開發生命周期(SDLC)中盡早在基于云的數字服務中實施安全措施。從一開始就確定需要實現的服務和功能,以便創建一個安全高效的云環境。促進DevSecOps自動化安全測試的機構將能夠開發可擴展、可重復、可靠和與零信任理念相一致的體系架構。DevSecOps可以與由IT部門支持的集中式SaaS相結合,以支持軟件發布的安全性測試。基于云的數字服務可以跨越IaaS、PaaS和SaaS。這些服務模型以及內部模型,在系統的不同層次上有所不同。
· 創建云遷移策略:云遷移是將業務操作和任務轉移到云中的過程。對許多機構來說,這意味著從可能不再支持用到的老舊基礎設施,轉向獲得支持機構應用解決方案的更靈活和更符合成本效益的現代基礎設施。云環境本質上涉及到從現場解決方案到思維方式的轉變。云遷移涉及很多準備工作,取決于應用程序生態系統的大小、當前應用程序和系統的年代、用戶基礎和數據量。各機構應考慮;隨著時間的推移,數據的積累會給云遷移帶來更多的挑戰。當代理機構決定遷移他們的應用程序到云時,應該綜合權衡采用基于云的技術的好處、風險和挑戰。
· 云遷移場景:每個云遷移都與原始應用程序一樣獨特,因此就如何執行遷移給出通用的建議是很有挑戰性的。《云安全技術參考體系架構》提出遵循以下步驟可以增加成功的機會:
1)計劃:確定要使用的策略、云服務提供商和服務類型以及應用程序的路線圖。
2)設計:創建應用程序的體系架構,重點關注系統的分布式特性。評估云服務提供商為本機構提供的服務。
3)試驗:創建一個最小可行的產品(MVP)來演示應用程序將在云中工作情況。
4)遷移:準備好產品的云版本,包括移植全部需要的數據。
5)維護:無論是從產品特性角度還是從性能角度持續改進云應用。
· 采用開發、安全和運營(DevSecOps)方法:DevSecOps--一種開發、安全和操作的組合是一種軟件開發理念,它將編寫代碼與測試、安全和部署代碼緊密結合在一起。它可以分解開發人員、安全工程師、操作工程師和質量保證專業人員之間的傳統角色,并讓他們作為一個團隊發揮作用。這是通過組成跨功能團隊與這些角色并肩作戰來實現的,完全擁有成功地開發、啟動和維護他們的服務。DevSecOps應該是各機構開發、安全和交付云中應用程序的主要方法。DevSecOps通常使用持續集成(CI)、連續交付(CD)、基礎設施代碼(IAC)、安全測試和最小特權原則來利用自動化和產生可靠和可預測的數字服務。
· 集中公共云服務:當開發人員在云中遷移、創建和部署應用程序時,他們的代理可以通過管理和維護共享服務來提供幫助。通過提供共享服務,開發人員可以將更多的時間集中在任務上,而用更少的時間開銷用于維護任務。這些服務分為四個領域:
1) 機構PaaS
2) 開發工具和服務
3) 面向公眾的服務
4) 安保服務
在代理級別共享一些服務可以幫助團隊減少管理開銷,更快地開始使用云本地技術,從而可以有空考慮降低其他開銷。
· 人力投資:通過云服務供應商構建可伸縮、可重復的體系架構需要對流程和過程進行更改,不僅涉及部署工具和應用程序的工作人員,而且涉及這些工具有關的眾多用戶。機構將需要投資于人員,以交付基于云的項目。他們還需要重新設計程序,對所有工作人員進行培訓,并促進接入的可靠性。
3、云安全態勢管理
云安全態勢管理是指通過識別、提醒和減輕云漏洞、降低風險和提高云安全性來持續監視云環境的過程。
云安全態勢管理功能力求支持以下活動成果:
· 治理和遵約
· 標準和政策
· 特權和身份訪問管理
· 數據保護
· 基礎設施和應用保護
· 系統健康和資源監測
· 事故反應和恢復
這些能力包括:
· 安全和風險評估
· 持續監測和警報
· 身份、證書和訪問管理(ICAM)
· DevSecOps集成
· 基于人工智能((AI)和機器學習(ML)的安全能力
此外,特別強調采用云與零信任遷移之間的關系,雖然這并不意味著遷移到云服務會立即轉化為零信任架構。云服務能夠實現零信任,部分原因在于云的分布式特性需要額外的配置和管理支持,以便實現對資產、用戶和數據的安全性和可見性,而零信任體系架構正好需要這種安全性和可見性。
4、總結
《云安全技術參考體系架構》闡述了在聯邦機構繼續采用云技術時所推薦的云遷移和數據保護方法。這些方法將使聯邦政府能夠識別、發現、保護、應對和從網絡事件中恢復過來,同時改善整個政府和企業的網絡安全。此外,這些方法使各機構了解隨著其網絡體系架構的發展,采用基于云的服務的優勢和內在風險。
三、對我們的啟示
本次發布的《云安全技術參考體系架構》2.0版,作為頂層文件它并不抽象、空洞,十分詳實具體;作為底層指導性文件,它并不啰嗦繁雜,它十分簡潔實用。縱觀全文,有以下幾點給人印象深刻,特別值得我們學習和借鑒。
1、頂層設計科學嚴謹
一直以來,美國的方方面面似乎給我們留下了自由奔放的企業主導、自下而上的印象,其實不然,在關乎國家安全的各個領域--特別是密碼、安全領域,美國一直采用的是自頂向下的模式,國家層面的戰略、架構設計乃至實施技術規范、遷移推進步驟、監管與評估從未放手過,均采用的政府主導甚至直接主抓并嚴管、嚴控,因此政府各級主管部門的戰略與頂層設計能力經長期培養與鍛煉后能力十分突出,本次發布的《云安全技術參考體系架構》展現了這種頂層設計能力,它不是那種見招拆招的應急式文件,而是梳理清楚了云服務的模型、明確了各主體的責權利、指出了云遷移面臨的風險、提出了具體的安全措施,更是圍繞中長期目標--零信任架構的全面實現而實實在在地推進的頂層設計文件,具有十分突出的前瞻性指導作用。
2、強調云安全態勢管理
云安全態勢管理為機構提供了對云資源、應用程序和數據的訪問和管理。由于將數據和應用程序移動到云端后,其實的機構是放棄了對資源的物理訪問的,隨著云部署的成熟,要管理數據和應用程序變得越來越復雜、越來越困難,因為要涉及多個供應商和工具。此外,近年來針對云的網絡攻擊越來越多、影響越來越大,因此云服務提供主動管理和監控對于保護聯邦政府免受網絡威脅的必要性越來越突出,風險管理的要求越來越迫切。
隨著遷移到云,也有機會實施細粒度控制和保護,以及通過使用自動化工具來監視云的所有方面、發現威脅和警告異常,從而管理云安全,這就是云安全態勢管理的實質。它支持不斷改進機構的網絡安全態勢和能力,使各機構能夠跟上新出現的威脅,防止配置不當,并減少安全事件或數據泄露的風險。為此,《云安全技術參考體系架構》中針對不同情形給出了十分詳細的參考做法,指導不同機構具體實施。
3、零信任落地
《云安全技術參考體系架構》明確了通過云安全態勢管理從而促進零信任架構來實現這一目標。
正如14028號命令所描述的那樣,遷移到云部署的機構應該采用零信任原則,并將其環境轉換為零信任體系架構。為實現這一目標,各機構應側重于加強網絡安全能力的基本領域--如身份管理、資產管理、網絡安全、應用程序安全和數據保護--將其集成在辦公場所內和云中,這完全符合NIST SP 800-207所指出的設計出零信任架構的方法,具體而言:零信任架構要求機構致力于一種身份管理解決方案,提供跨云和現場環境的全范圍的身份識別,有效地管理這些身份和相關憑證,并提供全面統一的安全保護。云安全態勢管理要求各機構將其在現場的身份與云環境中的身份進行集成,提供監視和分析,從而確保在規模和跨環境的情況下為部署的服務自動配置訪問控制,可以說是為零信任架構做好了前期鋪墊;此外,云安全態勢管理工具可用于收集漏洞數據和強制執行規范,確保用于訪問服務和數據(包括托管在云環境中的服務和數據)的設備的完整性;使用云安全態勢管理功能來管理云網絡和可見性,符合零信任架構中要求的機構應該分割他們的網絡、減少橫向移動、限制權限和控制攻擊向量的要求;云安全態勢管理功能可用于監視和管理應用程序部署配置,符合零信任要求的將安全控制與其應用程序工作流程更緊密地結合起來的指導方針;云安全態勢管理工具提供對訪問日志中異常活動的持續監視和警報,并幫助識別和防止可能導致數據泄漏和數據丟失的錯誤配置,符合零信任體系架構要求機構持續評估如何在云中保護數據的要求。
