云與安全深度融合推動原生云安全發展
文│中國信通院云計算與大數據研究所所長 何寶宏
全球數字經濟背景下,云計算成為企業數字化轉型的必然選擇。在企業上云過程中,傳統安全防護機制暴露不足,探索云安全建設新方法成為重點。原生云安全理念強調安全建設與云在時間和空間上的深度融合,成為實現云安全的關鍵選擇。
一、傳統安全防護機制在云計算場景存在瓶頸
與傳統 IT 系統架構相比,云計算因引入新技術、運營模式變化等原因,面臨新的安全風險,傳統安全防護機制遭遇挑戰。
(一)虛擬化、容器等技術打破物理安全邊界,云內防護是短板
傳統安全防護機制側重在內網邊界針對南北向(外部)流量進行檢測和防護。但隨著虛擬化、容器等技術的發展,資源粒度不斷細化,從物理服務器,向虛擬機、容器,以及無服務方向演化,為應用由單體架構向微服務分布式架構升級帶來契機。分布式架構中各服務間需進行頻繁的交互,導致負載間的東西向(內部)流量大幅度增加,一旦外部威脅突破內網防護邊界,將在內部橫行無阻,帶來不可估量的損失。
(二)資源暴露面增大,海量威脅對安全防護性能提出更高要求
傳統 IT 架構下,應用、數據、計算資源(物理服務器、虛擬機、容器等)等資源位于企業數據中心內網,僅對互聯網開放有限端口,企業對資源安全管理和把控能力強。隨著多云、混合云成為企業 IT 建設的主要選擇,資源分布于云端,跨云的連接和數據傳輸使得暴露面增大,面臨更多來自互聯網的規模化、多樣化威脅,安全防護能力需不斷提升。然而,傳統安全防護機制以部署各類安全設備為主,防護性能依賴硬件的疊加,擴展性較差。
(三)安全建設滯后,難以適應研發運營迭代速度
隨著容器、微服務等云原生技術的快速演進,云計算平臺的設計開發工作復雜度不斷提升,雖然實現了安全的基本功能需求,如身份認證、加解密、日志審計等,但整體防護機制相對滯后,以后期安全防護為主,前期自身安全性同步建設往往被忽視,安全保護措施同步規劃、同步建設、同步使用情況仍存在短板。
(四)孤島式安全設備導致海量安全數據利用率低
傳統安全防護機制中,不同安全域、不同類型的安全設備通常獨立部署,彼此之間較少進行數據互通,只著眼于局部數據。隨著企業上云用云程度加深,云資源、云上應用以及安全設備等規模不斷擴大,沉淀海量網絡數據、日志、安全告警等,孤島式部署模式下安全設備缺乏對全局的掌控與分析,致使對殺傷鏈離散威脅信號的敏感度低,難以察覺與對抗愈發復雜的攻擊手段與高級可持續威脅。
二、原生云安全理念定義
國內外組織機構紛紛提出原生云安全理念。為緩解傳統安全防護建設中存在的痛點,促進上云企業更加安全的使用云計算,原生云安全理念興起,國內外組織機構紛紛提出以原生為核心構建和發展云安全。
Gartner 提倡以云原生思維建設云安全體系。基于云原生思維,Gartner 提出的云安全體系覆蓋八方面,如圖 1 所示。其中,基礎設施配置、身份和訪問管理兩部分由云服務商作為基礎能力提供,其他六部分,包括持續的云安全態勢管理,全方位的可視化、日志、審計和評估,工作負載安全,應用、PaaS 和 API 安全,擴展的數據保護,云威脅檢測,云用戶需基于安全產品實現。
圖1 Gartner 云原生安全體系
Forrester 以 37 項指標評估公有云平臺原生安全能力。Forrester 認為公有云平臺原生安全(Publiccloud platform native security, PCPNS)應從三大類、37 個方面去衡量,如表 1 所示。從已提供的產品和功能,以及未來戰略規劃可以看出:一是考察云服務商自身的安全能力和建設情況,如數據中心安全、內部人員等;二是云平臺具備的基礎安全功能,如幫助和文檔、授權和認證等;三是為用戶提供的原生安全產品,如容器安全、數據安全等。
表1 Forrester 公有云平臺原生安全能力指標
結合我國產業現狀與痛點,原生云安全指更安全的云數字基礎設施和更適配云數字基礎設施的安全防護能力。更安全的云數字基礎設施一方面通過云計算特性幫助用戶規避部分安全風險,另一方面能夠將安全融入從設計到運營的整個過程中,向用戶交付更安全的云服務。更適配云數字基礎設施的安全防護能力要求安全產品原生化,能夠融合于云平臺,解決用戶云計算環境和傳統安全架構割裂的痛點。
圖2 原生云安全理念
三、更安全的云數字基礎設施
原生云安全強調云平臺安全原生化,一方面借助云計算特性,另一方面云服務商從云平臺的設計階段起考慮安全因素、納入解決方案,將安全前置,讓云計算成為更安全的數字基礎設施。
(一)云計算特性規避部分安全風險
與傳統 IT 環境相比,云計算具備多種特性優勢。上云后,借助和利用云計算特性,云用戶面臨的部分安全風險迎刃而解,主要體現在以下三點。第一,云計算采用分布式存儲的方式,保證了數據的高可靠性,降低數據丟失風險。第二,云計算資源的統一管理助力企業擺脫復雜化、碎片化的安全管理模式,實現統一的安全管理。第三,借助于云計算的網絡虛擬化能力,企業可以更加清晰地掌握自己云環境內東西向流量的情況,實現更加精細化的流量隔離與管控。
(二)云平臺從研發階段關注云計算安全問題,前置安全管理
針對云服務的安全,通過在產品研發全生命周期便融入安全措施來提升云服務質量,覆蓋云服務研發運營的整個過程,降低解決安全問題的成本,具體措施如圖 3 所示,包括:管理架構,建立合適的人員組織架構與制度流程,保證研發運營流程安全的具體實施;安全培訓,針對人員進行安全培訓,增強安全意識,進行相應考核管理;明確安全要求,前期明確安全要求,如設立質量安全門限要求,進行安全審計,對于第三方組件進行安全管理等;安全需求分析與設計,在研發階段之前,進行安全方面的需求分析與設計,從合規要求以及安全功能需求方面考慮,進行威脅建模,確定安全需求與設計;安全研發測試,搭配安全工具確保編碼安全,同時對于開源及第三方組件進行風險管理,在測試過程中,針對安全、隱私問題進行全面、深度的測試;安全發布,服務上線發布前進行完整性審查,制定事先響應計劃,確保發布安全;運營安全,上線運營階段,進行安全監控與安全運營,通過滲透測試等手段進行風險評估,針對突發事件進行應急響應,并及時復盤,形成處理知識庫,匯總運營階段的安全問題,形成反饋機制,優化研發運營全流程;服務停用下線,制定服務下線方案與計劃,明確隱私保護合規方案,確保數據留存符合最小化原則。
圖3 可信研發運營安全體系
四、更適配云數字基礎設施的安全防護能力
原生云安全強調安全防護能力原生化。服務商提供內嵌于云、能夠有效解決云上安全風險的原生安全產品;云用戶能夠利用原生安全產品,建設與云計算環境融合的安全體系與架構,規避傳統安全架構與云計算環境割裂等問題,更加安全的使用云計算。
(一)更適配云數字基礎設施的安全防護能力具備四大特性
第一,部署與使用模式更加便捷,原生安全產品虛擬化、容器化部署,或 SaaS 形式交付,統一配置和管理。第二,充分利用云平臺原生的資源和數據優勢:一方面,原生安全產品利用云計算的計算、存儲、網絡等資源,實現安全防護能力的彈性擴容;另一方面,原生安全產品能夠更便捷、全面地獲取云平臺內數據,通過整合、關聯分析云平臺內各類數據,深入挖掘潛在安全風險。第三,各安全產品間、與用戶云資源有效聯動,原生安全產品因與云平臺深度融合,能夠對云資源進行更有力的控制,各原生安全產品間能夠有效協同。一是能夠自動識別云資源,迅速感知云資源的狀態和信息;二是對風險資源進行主動處置,在發現安全事件時,不僅能夠生成告警信息,還能夠自動聯動相關云資源或其他原生安全產品,對安全事件采取處置措施和防護手段,實現從檢測、告警到處置的安全運營自動化閉環。第四,解決云計算面臨的特有安全問題。原生安全產品能夠充分考慮本文中提出的云計算新安全風險,為用戶云計算環境提供更有力保障。
(二)原生安全防護與傳統安全防護對比
原生安全防護依托四大特性,與傳統安全防護相比,存在四方面優勢。第一,在部署與使用方面,傳統安全防護通過硬件設備以串行、代理等形式部署,配置和維護困難,與之相比原生安全防護能夠實現統一配置和管理,部署簡單、使用便捷。第二,在防護范圍方面,傳統安全防護往往在數據中心出口處做安全檢測,側重邊界防護,云內安全管控缺失,原生安全防護能夠深入虛擬化層,實現云內檢測與防護。第三,在防護性能方面,企業業務高低峰動態變化,安全需求也隨之波動,傳統安全防護中安全設備在非高峰期利用率低,資源浪費。與之相比原生安全防護基于部署特性,能夠按需擴縮防護能力,資源利用率更高。第四,在安全數據利用方面,傳統安全防護各設備相對獨立,信息無法共享和利用,形成安全孤島。原生安全防護在私有云中能夠將云內安全數據進行整合匯聚并結合外部威脅情況挖掘風險,而在公有云中,能夠基于公有云內全網安全數據并結合云外威脅情報發現風險,數據利用率大幅提升,風險發現效率和準確率也不斷提高。
表2 原生安全防護與傳統安全防護對比
五、原生云安全展望
未來,原生云安全將整合多方資源,建設以云平臺為中心的安全生態。隨著云計算的發展,用戶類型日益多樣,不同用戶群體面臨不同安全場景,安全需求差異大。同時,網絡安全環境日益嚴峻,云安全所涉范圍越來越廣,構成愈加復雜。僅憑一家廠商的技術與管理能力,原生云安全建設難以面面俱到,一些領域暴露短板。未來,云安全多方將協作建設一個更加完善、開放的原生云安全生態。一方面,云服務商與安全廠商的合作將不斷深化,雙方結合在技術研究、人才儲備、產品應用等方面的積累和經驗,協作提升云平臺安全性,或對外提供原生安全產品;另一方面,云用戶作為云計算和原生安全產品的最終使用者,在安全生態中也將發揮重要作用,可積極參與威脅情報共享等活動。
(本文刊登于《中國信息安全》雜志2022年第5期)
