一種基于多云風險評估的安全監管模型
云計算平臺廣泛應用于金融、交通、醫療、電力、教育等行業,尤其在新冠肺炎疫情影響下,用“云”量呈幾何級數增長,應用場景廣泛、部署模式多樣化。而資源相對集中、接口標準不統一、數據格式不一致、接口版本迭代快、安全防護要素多等特點,使其成為安全防護的薄弱區域,安全防護設備難以全面兼容,安全防護手段難以深入云內部,難以實現精細化、全要素安全防護。同時,現有的云資源模型僅圍繞資源管理調度進行設計,無法滿足云安全防護的整體需求,亟需針對云平臺安全防護的特點和要素,建立統一的云安全資源模型。
1、云安全現狀概述
當前,云安全現狀包括云安全標準規范、云安全研究現狀、云安全產品現狀,通過對這3 個方面進行分析和總結,發現云安全防護的問題和不足。
1.1 云安全標準規范
2017 年 7 月, 云 安 全 聯 盟(Cloud Security Alliance,CSA)發布《云計算關鍵領域安全指南 4.0》,該指南從治理和運行兩個角度,描述云計算安全的關注領域,解決云計算環境中戰略和戰術安全的“痛點”,從而獲得可應用于各種云服務和部署模式的組合。CSA 在云安全指南基礎上推出的“云安全控制矩陣”(Cloud Control Matrix,CCM),成為云計算信息安全行業的黃金標準。CCM 提供了評估云提供商整體安全風險的基本安全準則,通過對其他行業標準和監管要求的定制,CCM 在 16 個安全域內構建統一的控制框架,通過減少云中的安全威脅和弱點來加強現有的信息安全控制環境,提供標準化的安全和運營風險管理,并尋求將安全期望、云分類和術語體系,以及云中實施的安全措施等標準化。
2013 年 5 月,美國國家標準與技術研究院(National Institute of Standards and Technology,NIST)發布 SP 500-299《NIST 云計算安全參考框架(NCC-SRA)》,提出了云計算安全參考架構,描述云中不同角色的安全分工,對聯邦政府機構構建安全的云環境提供指導。
2017 年 12 月, 我 國 發 布 國 家 標 準 GB/T35279—2017《信息安全技術 云計算安全參考架構》,規范了各個角色的安全職責、安全功能組件及其關系,指導云計算系統建設規劃時對安全的考量和設計。2019 年 5 月,我國發布國家標準 GB/T 22239—2019《信息安全技術 網絡安全等級保護基本要求》,根據不同安全等級,對云計算安全提出了對安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心、安全建設管理、安全運維管理等方面的要求。
1.2 云安全研究現狀
目前,針對云安全的研究主要聚焦于云安全標準研究、云安全風險研究和云安全防護體系架構研究,從標準要求、安全風險及其防護思路出發,設計云安全防護系統,但是欠缺對云安全手段夠不夠、云安全防護能力足不足的感知和評估。
1.3 云安全產品現狀
當前,業界的云安全產品眾多,名稱相差極大。從功能上劃分,主要包括云資產發現、云風險監測、云漏洞掃描、云合規基線、云安全防護、云風險評估、云安全管控等安全產品。各安全廠商根據企業的技術特點和不同的用戶場景,基于上述產品功能推出了融合或超融合的云安全產品。
各類云安全產品受限于云平臺廠商類型、版本迭代等情況,因其適應性各不相同,體系性也各有側重,致使云安全防護能力建設呈現局部化、片面化、形式化等問題,缺乏云安全能力體系化設計、指導和評判。
2、多云安全監管模型設計
多云安全監管模型從云安全監測、評估和管控角度,可劃分為云安全狀態監測層、云安全融合評估層和云安全綜合管控層,如圖 1 所示。
圖 1 多云安全監管模型
2.1 云安全狀態監測層
云安全狀態監測層從云外部網絡、云計算節點、云平臺接口、云資源對象 4 個維度,分別劃分為云接入安全監測、云節點安全監測、云接口安全監測和云資源安全監測,采集云外部安全數據、云節點安全數據、云安全管控數據、云安全資產數據和云資源安全數據。
2.2 云安全融合評估層
云安全融合評估層主要是基于多種云安全評估引擎,將采集到的安全數據進行迭代分析,形成云資產運行狀態矩陣、云資產操作行為矩陣、云資產網絡行為矩陣和云資產安全事件矩陣,進而關聯分析,形成云安全風險矩陣,快速定位存在安全問題的云資產。
2.3 云安全綜合管控層
云安全綜合管控層通過構建云安全專家知識庫,并基于云安全風險矩陣關聯分析,深度發現云內安全問題,生成云安全防護策略并推送至第三方安全策略配置系統,推薦云安全防護建議給云安全管理員,生成云安全防護預案推送至第三方云安全載荷投遞系統和第三方安全策略驗證評估系統。
3、云安全監測機制
云資源安全監測機制從云資源安全監測、云接口安全監測、云節點安全監測和云接入安全監測 4 個維度,采集云安全狀態數據。
3.1 云資源安全監測
云資源安全監測采用輕量化代理設計,降低終端 CPU、內存、磁盤資源占用率。將輕量化代理放置于虛擬機操作系統內部,通過容器Sidecar 機制,將容器輕量化代理放置于容器實例旁路,輕量化代理程序在用戶空間運行,捕獲虛擬機、容器實例的狀態信息,包括系統資源狀態、進程運行狀態、網絡通信流量、網絡通信關系等。通過資源使用狀態、資源占用情況、資源變化規律等分析監測云資源的安全異常。
3.2 云接口安全監測
通過建立云安全資源模型,設計多層次的接口適配,第一層適配器對接華為云、阿里云、騰訊云、電科云、華三云等多種云平臺接口;第二層將不同云平臺的資產信息轉換為云安全資源模型中的不同要素;第三層將轉換后的云安全資源數據入庫。該模型將云內資產分為實體資產(服務器、存儲設備、網絡設備、云組件等)和虛擬資產(虛擬機、容器、云服務、云租戶、云存儲、云網絡等),將云內資產與安全資源(安全域 ID、身份 ID、策略 ID 等)建立映射關系,通過該模型對不同云平臺的資源信息進行轉換,實現云資源信息的統一采集。該模型持續監測非法資產、非授權訪問、資產異常互訪等安全風險。
3.3 云節點安全監測
云節點安全監測以輕代理的方式將監測程序部署在云平臺宿主機操作系統中,用于采集云平臺核心組件、進程的運行狀態、操作行為和網絡行為。
基于虛擬機內省技術,在虛擬機外部對虛擬機內部的運行狀態和系統信息等數據進行采集,包括 CPU 狀態、內存、磁盤、網絡信息等。通過分析系統狀態(軟件狀態和硬件狀態)來探測和檢查虛擬機的內部狀態,實現對虛擬機對象全面徹底的觀察和監控,及時發現虛擬機運行異常、內部資源使用異常、網絡流量異常等安全問題,同時實現對虛擬機內部的透明性,降低終端 CPU、內存、磁盤資源占用率,從而提高自身的安全性和執行效率。
3.4 云接入安全監測
通過在云節點外部網絡部署網絡探針的方式,采集外部終端與云平臺、虛擬機、容器的訪問請求、網絡連接和網絡流量信息。監測各類網絡威脅和惡意代碼流量。
4、云安全評估機制
云安全評估機制通過構建云安全評估框架,集成云安全策略效能評估、云安全合規檢測和云安全風險挖掘等多種云安全評估引擎。使用者可以按需組合不同云安全評估引擎,以流水線的方式串接不同云安全評估引擎,迭代分析云資產數據和云安全數據,生成云安全風險矩陣。
4.1 云安全策略效能評估引擎
云安全策略效能包含策略合理性和策略有效性。策略合理性是指在云平臺不同安全防護點,評估云安全防護策略是否重復配置、是否配置沖突等問題,比如在云防火墻和云平臺安全組配置的訪問控制策略沖突;策略有效性是指通過探測手段,判斷訪問控制策略是否生效,同時綜合在云平臺不同安全防護點配置的訪問控制策略,若允許訪問,設置為“通道”,若不允許訪問,則設置為“墻壁”,生成類似迷宮的模擬環境,再基于深度強化學習智能體,自動游走迷宮環境中各個點位,結合已配置的訪問控制策略和實際生效的訪問控制策略,發現大規模、復雜化、人為影響導致的策略配置問題,評估是否達到防止非法訪問的能力,產生云資產安全事件。
4.2 云安全合規檢測引擎
云安全合規檢測引擎基于等級保護標準規范約束的安全合規要求,以及企業基于業務現狀構建的安全基線,制定合規檢測項,再根據檢測項生成檢測任務。由檢測任務從云外部安全數據、云節點安全數據、云安全管控數據、云安全資產數據和云資源安全數據中,發現不合規問題,產生云資產安全事件。
云安全合規檢測引擎包含云硬盤加密合規檢測、鏡像運行狀態合規檢測、安全組配置合規檢測、高危端口合規檢測、虛擬機運行時間合規檢測、實例鏡像合規檢測、網絡狀態合規檢測、模板類型合規檢測等,并按需擴展規則解析能力。
4.3 云安全風險挖掘引擎
云安全風險挖掘引擎基于層次分析法與模糊綜合評價法,構建云安全綜合評估模型。通過對云安全風險綜合分析,將云資產數據與云外部安全數據、云節點安全數據、云安全管控數據、云安全資產數據和云資源安全數據關聯,基于模型評估云安全功能完備程度和云安全要求符合程度,生成云安全風險矩陣和評估報告,給出云安全風險評分和風險點分布,作為云安全能力評估的最終結果。云安全綜合評估模型如圖 2 所示。
圖 2 云安全綜合評估模型
(1)建立云安全綜合評估指標層次結構模型。以云平臺的安全性為決策目標,將云安全評估指標模型的指標要素分解為目標層、判斷層、指標層和方案層,建立如圖 3 的層次結構模型。第一層要素為評估目標,對應云平臺的安全性;第二層要素為評估判斷,對應安全合規檢查中的測評類準則;第三層要素為評估指標,對應安全合規檢查中的測評子類指標;第四層要素為評估方案,對應安全合規檢查中的安全控制點,是決策目標進行安全評估的具體方案指標。用于風險要素權重評估的遞階層次結構共分為 3 層:第一層為目標層 R;第二層為判斷層
;第三層為指標層
為
的第
個元素。
圖 3 云安全綜合評估指標要素分解
(2)確定判斷層對目標層的權重。根據層次模型中的關聯關系,依據 Satty 提出的 9 級標度法,通過在各層元素中進行兩兩比較,構造出云安全綜合評估指標判斷矩陣。云安全綜合評估指標判斷矩陣表示本層次因素間針對上一層次因素的相對重要性比較。云安全綜合評估指標判斷矩陣是層次分析法的基本信息,也是進行相對重要性計算的依據。
以
為例,通過云安全專家進行兩兩比較,評估判斷層各元素對于目標層的重要性,基于三角模糊數方法構造出判斷層對于目標層的模糊判斷矩陣,如表 1 所示。
表 1 云安全綜合評估指標判斷矩陣
對各模糊判斷矩陣,計算其第 i 個元素
相較于其他各元素的重要性程度為:
式中:n 為元素總個數;
為通過模糊矩陣得到
的綜合重要程度值;
為
重要性大于
的可能性程度值。由此得出判斷層各元素對于目標層的重要度權重向量為
歸一化之后的權重向量為
。對上述
的計算結果為
。
(3)確定指標層對于判斷層的權重。指標層對于判斷層的模糊判斷矩陣的構造原理與判斷層對目標層的模糊判斷矩陣的構造原理相同。由之前計算判斷層各元素對于目標層排序權重分別為
,若判斷層第i 個元素
包含 m 個指標層因素,同樣的方式計算指標層對于判斷層權重為
。
(4)確定指標層對于目標層的權重。前文進行的是層次單排序,為了得到最底層次所有元素與最高層間的相對重要性比較,還須在單排序的基礎上進行風險因素的總排序。此時,指標層對于目標層的權重為:
式中:n 為判斷層元素個數;m 為第i 個目標層元素下的指標層元素個數。
根據云安全綜合評估模型確定的評判矩陣計算出每個云安全風險點的評分權重 A,采用計數減分方法進行云安全風險評分,根據云安全綜合掃描結果判斷云安全風險點是否計分,對云安全風險點對應的掃描結果進行“&&”操作,若云安全風險點對應的檢測規則全部通過,則判斷該風險點為安全;反之,則判斷為風險點存在風險。具體判斷規則如圖 4 所示。
圖 4 云安全風險點風險判斷規則
對通過檢測的云安全風險點進行計分,單個云安全風險點計分的基準為 5 分,結合上述模型計算的每個云安全風險點的評分權重 A ,得出單個云安全風險點計分為5A 。在不同的云平臺安全防護等級中,相同的風險點造成的危害不盡相同,防護等級越高危害越大,因此,云安全風險點計分增加防護等級調整因子I ,具體調整因子如表 2 所示。
表 2 云安全風險點計分調整因子
定義 P 為云安全風險評估得分,n 為未通過安全風險評估的風險點數量。上文計算 A 取值在 0.011~0.057 之間,云安全風險評估的百分制計分規則為:
云安全風險評估得分 P 采用百分制計分,計分結果表示云平臺安全程度,具體云平臺安全程度對應關系如表 3 所示。
表 3 云平臺安全程度對應關系
5、云安全管控機制
云安全管控機制通過搜集業界云安全產品和方案,形成云安全產品目錄和云安全專家知識圖譜,并從云安全風險出發,基于智能算法決策和推薦云安全防護策略、云安全防護建議和云安全防護預案,對云安全運營提供智能輔助。云安全綜合管控機制如圖 5 所示。
圖 5 云安全綜合管控機制
5.1 云安全防護策略
云安全防護策略包括云防火墻、云網站應用防火墻、云入侵檢測、云漏洞掃描、云主機綜合防護等云安全軟件的防護策略。基于云資產運行狀態和云安全綜合評估,進而關聯分析,生成應對具體云安全風險的云安全防護策略。
5.2 云安全防護建議
云安全防護建議基于向量空間模型(Vector Space Model,VSM)、逆文檔頻率(Term Frequency- Inverse Document Frequency,TF-IDF)算法等,云安全資源庫中的云安全產品和云安全知識圖譜的信息內容特征化,基于云安全風險矩陣中的關鍵信息,進而關聯分析、推薦云安全產品、云安全建設方案和云安全防護規則。
5.3 云安全防護預案
云安全防護預案基于云安全風險、云安全產品目錄和云安全知識圖譜,生成云安全載荷投遞預案和云安全策略強化預案。云安全載荷投遞預案輸出云安全防護服務部署配置清單,由云安全管理員確認后,投遞至安全服務平臺完成部署;云安全策略強化預案輸出云安全防護策略配置清單,由云安全管理員確認后,提交至第三方安全策略驗證評估系統完成防御效能驗證。
6、結 語
基于多云風險評估的安全監管模型,實現云資產數據和云安全數據采集和融合,通過層次化分析方法和模糊綜合評估法挖掘云平臺的安全風險,進而結合云安全專家知識庫,推薦適用的云安全防護策略、建議和方案,有效應對當前云平臺呈現的“黑盒”情況,輔助云安全管理員快速定位分析問題和獲取解決方案,提升云安全運營過程中安全防護的效率和質量。
