孔松(信通院)-數字化時代云安全能力建設及趨勢
云時代企業安全建設面臨新需求
我們可以看到,這兩年隨著企業數字化轉型的不斷推進,我國云計算市場規模呈現一個蓬勃發展的態勢。
在國家政策層面,積極的推動企業上云用云,包括二零三五年遠程目標綱要,以及十四五數字經濟發展規劃,都提出了要實施上云用數賦智的行動。
像云計算,網絡安全等這種新興的數字產業,需要去大力的培育。即使在新冠疫情的沖擊之下,我國整個云計算市場仍然保持著一個比較穩定的增速。
2021年,據我們統計,整個國內的云計算市場達到了3000多億元,而其中公有云市場占據了比較高的比例達到了2000多億元,增速相較于2020年達到了70%。
因此,隨著整個云計算的持續發展,它也越來越成為黑客攻擊的重要目標。根據相關的數據可以看到,在數量上來說,云平臺承載更多的攻擊,與傳統的IT環境相比,它所占的安全事件的比例是遠超過傳統IT環境的。
在類型上來說,一方面云計算也面臨著典型的攻擊方式和事件類型,也會有一些新的攻擊方式,包括云計算引入了虛擬化容器微服務等新的技術,這些新技術也成為了攻擊者的利用對象,比如一些被部署惡意容器的事件等。
這兩年軟件供應鏈事件也是受到了非常多的關注。尤其是在云計算場景下,一方面涉及到非常多的容器鏡像,云平臺的云服務商可能也被黑客作為一個突破口,利用云平臺的一些薄弱點,或者云服務商的一些能力的薄弱點,進而去影響云上的租戶。
在整個嚴峻的態勢背景之下,企業越來越重視云安全的建設。我們在去年開展了相應的發展調查報告。
在這個調查中,我們了解到,企業在選擇云服務商的時候,除了產品的價格這些考慮因素之外,服務安全性是他們最關注的一點,他們會選擇相對可信、安全的云服務商。
從整個市場上來看,公有云安全服務的市場也呈現著一個穩定增長的態勢。
據Gartner的統計,整個21年,全球的市場規模達到了100多億美元,而2022年的話也是保持著一個較好的增幅,不管是市場層面,還是用戶層面,對于云安全都是呈現越來越重視的趨勢。
那么,我們該如何去開展整個云安全建設?在我看來更多的是需要去探索在企業上云過程中產生的變化,這些變化又對應的是哪些安全需求,而這些安全需求都應該貫徹到整個云安全的建設過程中。
從部署模式上來看
在公有云場景下,資源和數據基本上都是由于服務商控制,這也就決定著企業上云用云之后,它的安全建設不只是自己的事情,云平臺和云服務商是一個非常大的重要的組成部分。
這兩年多云混合云也成為了租戶考慮的一個比較重要的部署模式,這種多云混合云中跨云的數據交互比較頻繁,資源暴露面也非常大,這也就為用戶上云之后的安全防護的性能提出了比較高的要求。
從技術應用角度來看
一是平臺涉及到虛擬化容器等技術,也就導致租戶其實是共享底層技術架構的,這一方面更多的就體現在服務商和平臺它在做安全建設的時候應該充分考慮到這種多租戶之間的一些安全的問題。
同時,像微服務分布式架構的廣泛應用也導致企業云上的東西向流量的激增,所以用戶在整個安全建設中,其實我們不不僅僅需要考慮南北向的這種安全防護,更多的也需要考慮東西向的一些安全防護的機制。
合規要求的變化
一方面網絡安全法數據安全法這種比較通用的法律法規也在逐步的發布實施,所以企業需要針對于這些法規要求去做云安全的建設。另一方面,是面向云的一些規范制度標準要求也在不斷地完善。
我們可以看到,想要建設一個完整的云安全體系,需要從兩側去出發,包括平臺側云服務商的一些安全能力,同時也包括用戶側它自己結合行業的一些特性需求,或者是一些業務屬性的需求,去開展自身的安全防護的建設。在整個過程中,其實都秉承著一個責任共擔理念。
云平臺安全性筑牢上云基座
第二塊,我們分析一下平臺側如何去建設安全工作,為用戶提供比較安全的上云基座。
第一部分, 從用戶和服務商之間的互動,我們可以看到最直接的就是服務商去向用戶交付云服務,尤其是在公用云的場景之下。所以我們提倡云服務商應該從云服務的要求階段起,一直到整個下線階段的全流程去貫徹安全前置的理念,從整個流程上都融入一定的安全機制,進而優化云服務的安全能力,來提升用戶的體驗。
我們之前調研發現用戶非常多的安全事件都是由于沒有非常好的去使用云服務配置,導致發生了非常多的損失,所以這就需要云服務商去重復考慮這樣的一個情況,將安全貫徹到整個云服務的生命周期。
在整個生命周期中,IaaS PaaS SaaS云服務均需考慮三大類安全要素。
第一類是服務應該面向用戶側做一些訪問控制和身份鑒別。
第二類是服務和用戶之間的交互過程中應該去充分考慮行為審計機制,同時對交互的數據有一定的保護機制。
第三類是考慮到服務自身應該有一些安全運行的能力,同時有一些安全策略管理的能力。
第二部分,是云服務商應該針對云計算這樣特殊的業務去開展持續的風險管理工作,包括持續進行風險的評估,做風險的處置,監測,然后持續降低相應的云計算的風險。
在整個風險評估過程中,其實主要涉及到九大類
- 服務商是不是有合理的云計算相關的風險管理的組織架構和相應的針對性的細致的可落地的策略并執行相應的要求。
- 需要充分考慮云計算外部的風險,包括云計算底層的數據中心、依賴的物理設備以及云計算的計算存儲網絡架構。
- 需要充分考慮云平臺的一些風險,包括多租戶的安全隔離,以及租戶和平臺之間的相應的安全隔離,同時還有像控制臺、云服務數據等這些關鍵要素的安全。
- 需要充分考慮服務商內部跟云計算相關的開發測試,運維等等人員,以及外包人員的一些風險。
- 需要對整個云計算,從整個流程上是不是有相應的一些風險管理機制。
- 需要考慮云計算的合規,既包括云服務商內部的合規機制,又包括云服務商對云用戶的一些要求,如實名認證。
- 需要考慮云計算的業務連續性,服務上需要制定相應的業務連續性的計劃,開展相應的一些應急演練。
- 供應鏈其實也是云計算中非常重要的一點,主要是因為云計算在開發的過程中涉及到非常多的一些開源軟件以及上下游,都比較復雜,所以一定要開展相應的風險管理的工作。
- 最后需要有一個持續的風險溝通和監測的機制,既包括服務商跟用戶之間的這些及時的風險告知和它的一些責任劃分,同時也包括云計算相關的一些鏈條里的威脅情報。
第三大部分其實是用戶最關心的一塊,尤其是在公有云場景下,上云之后,服務商是不是能夠對數據提供充分的保護能力,能夠建立這樣的一個信任機制。我們認為在整個數據保護方面,服務商應該從事前、事中和事后三個層面去建設一定的管理機制和技術手段。
在整個要求中,我們前期調研后發現用戶在事前防范中其實特別關注數據隱私性、數據知情權和數據銷毀安全性這三個要求。
對于隱私性,更關注數據上傳到云之后服務商內部的一些人員是否有權利去查看到我的數據,我的數據對于服務商是不可見的。
對于數據知情權,是用戶希望能夠及時的知道他的數據被如何去使用,如被監管機構調取證。
對于數據銷毀性,其實也是用戶最關心的,就是當服務銷毀,或者是主動刪除數據之后,這個數據在云平臺是否徹底的銷毀,沒有留存。
在事后追溯的方面,用戶特別關注用戶側行為的安全審計能力和服務商的行為審計能力,以保證從兩側都能夠做到行為的可審可溯。在安全事件發生之后就可以快速定位到原因,快速的去進行阻斷。
在整個的這個流程中,云服務商更多是需要從兩大方面來去貫徹這個數據保護能力的提升。一方面是上述的整個機制都需要去做到這種平臺化,自動化,能夠去做到一些自動化的記錄,阻斷或者是告警,進而增加整個數據安全事件的可審計性和可追溯性。
同時,其實為了建立這個可信,需要服務商能夠做到對用戶及時的披露,以及做到履約執行的相應的能力,包括不管是事前措施能夠及時的告知用戶,以及事中的一些問題,或者是事后的一些處置手段,都需要去及時披露給用戶,進而建立服商和用戶之間一個可信的橋梁。
最后一部分,服務商非常需要去做的就是責任的共擔,我們認為其實應該去從幾大方面來講,分別包括物理基礎設施的安全、資源抽象和管理層面的安全、操作系統的安全、網絡控制安全、應用安全、數據安全以及身份識別和訪問管理的安全等等方面。
需要注意的是在比如說IaaS PaaS或者SaaS不同類的這種服務中可能對于某一些責任,它的定義是有區別的。
對于鏡像安全來說,在IaaS場景下,其實更多的是指代云服務商向用戶交互的這種公共的鏡像,或者是第三方服務市場中的鏡像,以及用戶自己使用的一些其他來源的鏡像。
而在PasS和SaaS場景下,其實是不涉及到向用戶交付相應的鏡像,更多的是服務商自己使用的一些鏡像的安全,所以這個需要在不同的場景下明確不同的責任的定義。
在整個責任定義明確之后,需要建立一個責任共擔模型,進而去識別哪些是云服務提供者的責任,哪些是云服務客戶的責任。
這樣能夠在事前明確雙方的責任之后,最大可能避免安全事件的發生。一定要確保相應的用戶和服務商都能夠承擔自己的責任,而同時,因為責任清晰的界定,如果發生了事件,在事后也更能夠去客觀的做事件的定責,進而能夠通過法律或者是經濟的手段來降低相應的責任的損失。
云安全防護保障企業業務安全
上述是我們認為的云服務商應該從哪些視角去不斷的提升自己的安全能力。同時用戶因為有自己的一些業務屬性,或者是一些行業的要求,在云平臺的安全性基礎之上,還應該開展自身的安全防護能力的建設。
第一方面我們認為最關鍵的就是做云工作負載的保護。這個主要是考慮到兩方面的挑戰,一是用戶上云之后,涉及本地的物理設備以及云上的這種虛擬機容器,以及多云環境下不同的虛擬機容器之類,各種異構資源的安全的問題。
多云混合云場景下,如何做跨云的統一安全管理也是它的一個痛點。在此背景之下,其實Gartner早在幾年之前就提出了云工作負載保護CWPP的概念,來去為云上資產最后一公里云工作負載去提供相應的保護。
我們認為在整個CWPP的建設過程中,其實它分兩大類的能力。
第一是核心的安全能力。也就是能夠通過這些能力去保證工作負載的安全,包括傳統意義上物理服務器安全過程中涉及到的,比如安全基線的掃描,入侵檢測,惡意代碼防范等等,也包括云環境下需要去做一些容器的安全,需要去做一些微隔離等等。
第二是安全管理的能力,這一部分的能力更多的是支撐核心的安全能力充分發揮,提升企業上云之后對工作負載的安全管理,包括像統一的資源管理,可視化,安全策略的管理等等。
綜上,其實是考慮到需要做云上的這種應用和網絡的安全,這也是兩個其實在行業里發展比較成熟的方案,云WAF和防火墻,而這兩個方案隨著云的發展,也呈現了一定的演進和變化。
我們強調云WAF和防火墻,隨著上云進程的推進,需要去朝著原生云方向去發展,包括對于云WAF來說,我們需要它在公有云場景下,能夠跟這種CDN等等云的網絡設施進行比較好的融合整合,進而給云上應用提供更好的安全防護。
第二是對于防火墻,用戶不僅僅需要關注互聯網到內網之間的安全防護,更多的也需要去考慮到VPC和VPC之間的一些訪問控制,這個也是云防火墻的一個比較重要的能力。
因為隨著云整個資產的彈性變化,云上業務和應用的彈性變化,WAF和防火墻也都強調分布式部署和彈性擴展的能力。
在以上的能力建設之后,其實我們也強調用戶需要去做統一的這種安全管理和運營。這個也是希望能夠進一步的實現安全資源的整合,在統一安全管理和運營的階段,其實不僅僅需要平臺,還需要人員的能力建設和運營管理機制的一個完善。
在整個這三大塊過程中,其實主要是實現四點目標;
- 能夠對云上的資產進行統一的管理,包括自動化的盤點,配置的檢查等等。
- 需要對所有的安全事件進行統一的關聯分析。因為隨著整個業務的增長,我們的安全數據呈爆炸式增長,如何去利用這些安全數據也是比較關鍵的,所以需要通過關聯分析發現潛在的安全風險。
- 安全策略的統一管理和編排。這個也是因為涉及到非常多的安全工具和設備,需要有一個高效的手段能夠做到統一的這種策略的下發和配置。
- 需要有安全態勢的可視化的能力。這樣能夠更直觀形象的去掌握整體的態勢。
最后,隨著上云的發展,云上的業務更加復雜,不僅僅需要關注網絡數據安全等,同時也需要關注一些業務側的風險。
所以,隨著整個黑灰產的不斷的發展,上云企業需要去結合大數據,人工智能隱私計算等等這些新的技術去提升自己的業務風控能力,進而實現云上業務的安全。
云安全趨勢展望
最后想跟大家講講對整個云安全發展的一個小小的展望。
這兩年以及未來的幾年,零信任一定是非常需要大家關注的一個點。我們認為整個零信任在未來一定會貫穿到云基礎設施,到云上層應用的各個層面,包括比如說在平臺側服務商需要基于零信任理念去構建不同的服務,包括IaaS PaaS SaaS等等。
在整個服務的研發運營過程中充分的利用零信任,比如在開發的時候,人員需要用零信任理念去做開發,同時把零信任的一些理念貫穿到IaaS PaaS SaaS的安全的功能上面。對于用戶側來說,用戶也需要基于相應的零信任理念去實現不同場景的安全機制,比如說多云混合云的接入,或者是一些API的防護等等。
目前來說,大家越來越重視安全,所以涉及到非常多的一些安全工具,安全技術,安全手段的采納。在整個過程中,用戶也面臨一定問題,比如沒有那么多專業的人員去充分的利用平臺,一些安全事件的操作比較復雜。
所以用戶越來越意識到安全的建設不是一味的去疊加安全工具,而是需要去做一定的安全整合,平臺或者供應商的整合,進而提升安全資源的利用率,充分的去釋放整個安全數據的價值。
中國信通院一直聚焦在云安全領域開展了非常多的工作,包括會制定相應的一些行業標準,國家標準或者是一些ITU/IEEE等等國際的標準。進而去規范行業的發展,同時也會基于標準去開展一定的測試評估工作。
每年我們也會聚焦在一些云安全的重點領域或者是一些痛點去發布相應的一些報告,比如我們會發布一些責任共擔的白皮書,云服務安全治理的白皮書,以及供應側的一些全景圖的梳理等等。
與此同時,我們也建立了生態聯盟,希望能夠依托生態聯盟去建立云服務商安全廠商和重點用戶之間的這樣的一個橋梁。來提升他們在某一些方面的安全能力,所以目前我們聚焦在像業務安全,供應鏈安全,零信任等等方向都成立了一些生態聯盟,進而推動細分安全領域的發展。
