《云上安全白皮書2021》是由嘶吼安全產(chǎn)業(yè)研究院通過多方調(diào)研和專家訪談，歷時一個多月撰寫而成。本次云上安全白皮書首次引入了甲方視角，嘶吼產(chǎn)業(yè)研究院在會上解讀表示，2021年云上安全市場即將突破百億大關(guān)，盈利模式也從單純的賣產(chǎn)品和賣“人頭”開始向更多資本側(cè)、渠道側(cè)和經(jīng)濟型盈利模式側(cè)傾斜，未來云上安全的高速發(fā)展趨勢勢不可擋。

　　私有云安全需求

　　企業(yè)做私有云時初定的目標(biāo)是穩(wěn)定、高效、安全、綠色。剛開始覺得過等保是目標(biāo)，后來發(fā)現(xiàn)遠遠不是。要從確保云能力持續(xù)穩(wěn)定安全的輸出的角度來看安全，能夠讓用戶始終都用上云上服務(wù)。

　　多條技術(shù)路徑混合，企業(yè)云安全充滿挑戰(zhàn)。在企業(yè)私有云里面，往往不是一種技術(shù)戰(zhàn)，通常面對多種技術(shù)戰(zhàn)，如基于VMWare、基于開源的OpenStack等結(jié)構(gòu)，還有各種商業(yè)性的公司。大型國企里面，各種技術(shù)、廠家共存。當(dāng)要構(gòu)建云安全時，面臨的問題不是單一的問題，而是多種技術(shù)基礎(chǔ)上，甚至在不同的私有云面前的建設(shè)問題。網(wǎng)絡(luò)安全的出口設(shè)備，包括云都不一樣，該怎么辦呢？怎么把這些能力串在一起，還能夠穩(wěn)定的進行工作，這些都是非常大的挑戰(zhàn)。除此之外，通過調(diào)研標(biāo)準(zhǔn)化組織和機構(gòu)給出的云安全風(fēng)險 （OSCAR開源云聯(lián)盟、CSA云安全聯(lián)盟、ENISA歐洲信息安全管理局），整理成云安全風(fēng)險列表可以看出：數(shù)據(jù)泄露、數(shù)據(jù)丟失、惡意內(nèi)部人員等風(fēng)險是共性的安全風(fēng)險。

　　基于此，總結(jié)出企業(yè)私有云的安全需求：

　　一致性：要和企業(yè)既有的及未來規(guī)劃的云計算架構(gòu)、安全設(shè)施架構(gòu)有機融合，這是一大挑戰(zhàn)。

　　合規(guī)性：站在用戶角度必須過等保，但這個過程中，能不能以能力建設(shè)應(yīng)對等保合規(guī)性是需要探索的問題。

　　靈活選擇安全能力的需求：結(jié)合企業(yè)實際情況，根據(jù)業(yè)務(wù)需要，能靈活選擇和分配能力，能以不同的成本、效能來選擇。

　　可持續(xù)實戰(zhàn)需求：能投入生產(chǎn)，能實戰(zhàn)，能支持云上應(yīng)用、服務(wù)能持續(xù)輸出。

　　云安全體系架構(gòu)

　　在上述需求基礎(chǔ)上要建立一個什么樣的云安全體系結(jié)構(gòu)呢？通過對CSA的云控制矩陣和等保2.0的體系結(jié)構(gòu)，以及SANS滑動標(biāo)尺模型、自適應(yīng)模型和零信任模型的梳理，總結(jié)出這樣兩點體會：第一、強調(diào)要分層次，強調(diào)從基礎(chǔ)架構(gòu)到應(yīng)用的防護。第二、強調(diào)要疊加演進，從被動到主動的防護，能力閉環(huán)。

　　結(jié)合私有云安全需求、SANS滑動標(biāo)尺模型、云等保責(zé)任共擔(dān)模型，細(xì)化設(shè)計后的云數(shù)據(jù)中心安全體系架構(gòu)如圖：

　　在云安全體系結(jié)構(gòu)中，安全防護能力橫向分為4個層次：基礎(chǔ)結(jié)構(gòu)安全、縱深防御、積極防御、威脅情報?？v向分為云化安全防護和云平臺基礎(chǔ)防護。在等保里已明確提出所有的云防護測評需要分成兩部分：一是對云平臺自身的防護，二是對其上云應(yīng)用的防護。業(yè)界普遍把研究重點集中到云化的安全防護，但對云平臺的基礎(chǔ)防護基本沒人研究，云平臺到底該怎么防護？在這個過程中，按照云安全體系架構(gòu)設(shè)計思想，針對平臺側(cè)安全能力、租戶側(cè)安全能力，統(tǒng)一安全基礎(chǔ)設(shè)施提出了能力設(shè)計，放到不同的模塊當(dāng)中。藍色代表云化的能力，橙色代表平臺側(cè)必須具有的能力，綠色代表統(tǒng)一的安全能力。云邊界的安全防護能力，需要結(jié)合實際，不僅給云提供邊界，同時給云平臺提供邊界，起到節(jié)約成本的效果。

　　基礎(chǔ)結(jié)構(gòu)安全。在各種安全能力中，有一些基礎(chǔ)能力非常關(guān)鍵，如基礎(chǔ)設(shè)施的統(tǒng)一身份認(rèn)證和管理，這也是零信任的核心問題；又如數(shù)據(jù)生命周期的安全管理等。

　　全面縱深防御。云平臺底層基礎(chǔ)設(shè)施網(wǎng)絡(luò)縱深防御以及租戶側(cè)虛擬網(wǎng)絡(luò)縱深防御是難點。平臺側(cè)縱深防御基于分區(qū)、分域的安全原則，把云管理平臺、云操作系統(tǒng)和資源池分別放到不同安全域里面，同時在中間加裝各種防火墻和防護機制，只允許配置過安全策略的這些節(jié)點之間相互通信，同時對外提供防火墻和其他防護機制，從而形成縱深的防御體系。

　　租戶側(cè)東西向、南北向流量防護也是難點，業(yè)界的各種解決方案都各有利弊。

　　沒有一個方案是完美的，都有缺陷，最后怎么權(quán)衡？第一、投入的成本。第二、你希望取得的效果。沒有十全十美的解決方案，相信你選中的合作伙伴！

　　東西向流量防護、南北向流量防護。結(jié)合業(yè)界實踐情況，根據(jù)東西向防護、南北向流量防護不同路線的優(yōu)缺點和各種安全能力的特點，采用最適合其發(fā)揮最大能效的實施方式。

　　積極防御和威脅情報。云管平臺需與集中安全管理平臺結(jié)合，還需與態(tài)勢感知平臺等相結(jié)合，雙向通信，形成主動防御。

　　滑動標(biāo)尺模型為云安全建設(shè)明確了建設(shè)步驟，在云安全建設(shè)的過程中，應(yīng)逐步完成基礎(chǔ)機構(gòu)安全、縱深防御、積極防御和威脅情報，左側(cè)安全能力是右側(cè)安全能力的基礎(chǔ)和依賴，協(xié)同聯(lián)動整體的安全能力。

　　建立起云安全體系架構(gòu)后，各種安全能力怎么整合，才能有效持續(xù)確保云能力持續(xù)穩(wěn)定安全的輸出，又成為下一個挑戰(zhàn)。而零信任模型似乎是一種思路，值得深入研究。

　　鐵信云對零信任模型的理解

　　零信任體系架構(gòu)是一種端到端的網(wǎng)絡(luò)/數(shù)據(jù)安全方法，包括身份、憑證、訪問管理、操作、終端、宿主環(huán)境和互聯(lián)基礎(chǔ)設(shè)施，是一種側(cè)重于數(shù)據(jù)保護的架構(gòu)方法。

　　零信任模型對傳統(tǒng)的邊界安全架構(gòu)思想重新進行了評估和審視，并對安全架構(gòu)思路給出了新的建議：默認(rèn)情況下不應(yīng)該信任網(wǎng)絡(luò)內(nèi)部和外部的任何人、設(shè)備、系統(tǒng)和應(yīng)用，而是應(yīng)該基于認(rèn)證、授權(quán)和加密技術(shù)重構(gòu)訪問控制的信任基礎(chǔ)，并且這種授權(quán)和信任不是靜態(tài)的，它需要基于對訪問主體的風(fēng)險度量進行動態(tài)調(diào)整。

　　NIST給出的零信任模型定義為：零信任架構(gòu)提供了一個概念、思路和組件關(guān)系（架構(gòu)）的集合，旨在消除在信息系統(tǒng)和服務(wù)中實施精確訪問決策的不確定性。零信任是一套不斷發(fā)展的網(wǎng)絡(luò)安全模式的術(shù)語，它將防御從靜態(tài)的、基于網(wǎng)絡(luò)的邊界，轉(zhuǎn)移到關(guān)注用戶、資產(chǎn)和資源上。

　　基于零信任模型的思想、定義理解，可以看出零信任模型重點是應(yīng)用和數(shù)據(jù)服務(wù)的安全交付。核心理念是基于身份的動態(tài)權(quán)限管理，其關(guān)鍵能力可以概況為：以資產(chǎn)為基礎(chǔ)，以身份為核心、業(yè)務(wù)安全訪問、持續(xù)信任評估和基于最小權(quán)限的動態(tài)訪問控制。

　　因此將云安全體系架構(gòu)滑動標(biāo)尺的安全能力和業(yè)務(wù)系統(tǒng)、信息化系統(tǒng)緊密結(jié)合起來，動態(tài)聯(lián)動，形成耦合關(guān)系，就可以形成基于零信任架構(gòu)理念落地的一種內(nèi)生安全解決方案。

結(jié)合零信任模塊框架圖，一個深刻體會是策略執(zhí)行點的選擇。不同的場景，應(yīng)結(jié)合企業(yè)實際情況，靈活的選擇策略執(zhí)行點，如主體資產(chǎn)上的客戶端安全軟件、遠程訪問場景下的網(wǎng)關(guān)、數(shù)據(jù)訪問場景下的API網(wǎng)關(guān)、應(yīng)用軟件的授權(quán)控制模塊、應(yīng)用資源隔離場景下的微隔離防火墻等。這些策略執(zhí)行點的選擇可根據(jù)業(yè)務(wù)需要選擇單個或者多個組合，以滿足業(yè)務(wù)的需要。另外一個深刻體會是策略決策點在什么位置更合適，需要結(jié)合業(yè)務(wù)場景做選擇。

　　以內(nèi)生安全支撐云服務(wù)交付

　　為實現(xiàn)內(nèi)生安全的云服務(wù)交付，應(yīng)結(jié)合場景，先梳理核心資產(chǎn)，清楚防護目標(biāo)的暴露情況，清楚訪問路徑，并結(jié)合云安全體系架構(gòu)滑動標(biāo)尺中的各項能力對照，梳理出需要的安全能力、并分配到合理位置。將所需要的安全能力和業(yè)務(wù)軟件開發(fā)、系統(tǒng)建設(shè)融合，而不再單純是外掛式安全防護機制，實現(xiàn)安全和業(yè)務(wù)同步規(guī)劃、同步建設(shè)，建立起以資產(chǎn)為基礎(chǔ)、以增強身份治理為核心、動態(tài)調(diào)整授權(quán)的內(nèi)生安全機制，支撐業(yè)務(wù)的安全防護。

　　以應(yīng)用交付、數(shù)據(jù)交付場景為例。細(xì)化落實的過程異常復(fù)雜。舉例來說，一個軟件應(yīng)用最簡化的模型可以由前臺門戶、業(yè)務(wù)服務(wù)、數(shù)據(jù)處理、認(rèn)證授權(quán)這幾個模塊組成，用戶通過電腦或手機經(jīng)過網(wǎng)絡(luò)來到云邊界，再到應(yīng)用邊界，再到應(yīng)用，這個場景大家都覺得很簡單，傳統(tǒng)做法主要為加裝各種安全組件，縱深防御。但數(shù)據(jù)的防護和應(yīng)用的防護怎么辦？要防護到哪一級？菜單能點擊嗎？報表能看嗎？數(shù)據(jù)能取走嗎？把上述這些設(shè)計理念一一落實的過程異常復(fù)雜。在這個場景中，防護目標(biāo)是云上運行的應(yīng)用，暴露面包含著域名、IP、端口、API、URL、頁面菜單、功能按紐、數(shù)據(jù)等。資產(chǎn)有用戶的終端設(shè)備、網(wǎng)絡(luò)設(shè)備、云主機、容器、應(yīng)用進程等。訪問路徑可以從用戶終端-公司內(nèi)網(wǎng)-云邊界-數(shù)據(jù)中心網(wǎng)絡(luò)-應(yīng)用邊界-應(yīng)用內(nèi)虛擬網(wǎng)絡(luò)-應(yīng)用云機端點-應(yīng)用服務(wù)等。當(dāng)把網(wǎng)絡(luò)細(xì)分時，有公司內(nèi)網(wǎng)、互聯(lián)網(wǎng)、數(shù)據(jù)中心之間的交互用戶進一步細(xì)分，尤其是用戶的身份，在公司內(nèi)部就有普通用戶、應(yīng)用管理員、IT運維人員。在公司外部還有協(xié)作人員、供應(yīng)鏈的人員等，疊加起來，不同場景下，每個人的權(quán)限都不一樣，每個人要賦予的職責(zé)也不一樣。

　　結(jié)合云安全體系架構(gòu)的安全能力，選擇所需要的安全能力。

　　在基礎(chǔ)結(jié)構(gòu)側(cè)，結(jié)合上述細(xì)分訪問場景，細(xì)化安全能力選擇。例如對于公眾從互聯(lián)網(wǎng)訪問，可選擇用戶身份治理，如瀏覽器類型、版本的要求；而對于應(yīng)用的管理員/運維人員從企業(yè)內(nèi)網(wǎng)訪問，則必須選擇用戶身份治理，訪問終端安全加固、補丁升級等安全基線管理；而對應(yīng)用運維人員/企業(yè)云基礎(chǔ)設(shè)施運維人員/企業(yè)云基礎(chǔ)設(shè)施供應(yīng)鏈供應(yīng)商從互聯(lián)網(wǎng)訪問，則在上述安全能力的基礎(chǔ)上，還需選擇終端合法性認(rèn)證、網(wǎng)絡(luò)流量加密等安全能力。

　　在縱深防御側(cè)，基于基礎(chǔ)結(jié)構(gòu)的資產(chǎn)、訪問流向等，建立起逐層收縮攻擊面、逐層防御的立體安全策略執(zhí)行體系。云上工作負(fù)載的微隔離是縱深防御的難點。通過微隔離實現(xiàn)不同應(yīng)用間的隔離和應(yīng)用內(nèi)部中各云主機/服務(wù)的隔離，除允許必要的通信外，默認(rèn)拒絕任何其他訪問，實現(xiàn)云上資源內(nèi)部的微分段。

　　基于身份的動態(tài)授權(quán)是內(nèi)生安全的關(guān)鍵，包含權(quán)限管理以及動態(tài)調(diào)整兩個方面。權(quán)限包含靜態(tài)權(quán)限和動態(tài)權(quán)限，靜態(tài)權(quán)限主要在網(wǎng)絡(luò)平面，負(fù)責(zé)為應(yīng)用提供穩(wěn)定、逐層收縮的高質(zhì)量網(wǎng)絡(luò)傳輸通道；動態(tài)權(quán)限主要體現(xiàn)在應(yīng)用自身。

　　基于身份的分段授權(quán)，權(quán)限的管理需要結(jié)合業(yè)務(wù)訪問路徑上的設(shè)備、系統(tǒng)進行分段分層設(shè)置。網(wǎng)絡(luò)準(zhǔn)入負(fù)責(zé)終端接入企業(yè)網(wǎng)絡(luò)的管理，網(wǎng)絡(luò)縱深防御負(fù)責(zé)應(yīng)用IP/Port/DNS的管理，應(yīng)用負(fù)責(zé)微隔離/頁面菜單/頁面按鈕/數(shù)據(jù)的管理，作為執(zhí)行點的各個設(shè)備、系統(tǒng)應(yīng)將權(quán)限配置、執(zhí)行情況匯總到零信任模型的數(shù)據(jù)平臺，以實現(xiàn)可視化和動態(tài)調(diào)整。因此這是一個權(quán)限控制粒度從粗到細(xì)的一個過程，其中關(guān)鍵點是應(yīng)用自身實現(xiàn)基于身份的細(xì)粒度權(quán)限控制，這也是安全能力和應(yīng)用軟件融合實現(xiàn)非外掛式內(nèi)生安全的關(guān)鍵之一。應(yīng)用軟件通常都具有用戶認(rèn)證和權(quán)限管理模塊，在新建應(yīng)用系統(tǒng)的軟件規(guī)劃和設(shè)計時，應(yīng)當(dāng)結(jié)合業(yè)務(wù)需要和零信任的思想，在認(rèn)證和權(quán)限模塊中做基于身份的細(xì)粒度權(quán)限管理，并和零信任的策略引擎等聯(lián)動，實現(xiàn)用戶身份的動態(tài)驗證、應(yīng)用訪問的動態(tài)授權(quán)。

　　在此過程中，應(yīng)用能看到所有路徑的權(quán)限情況，是零信任策略決策點的最佳位置。

　　數(shù)據(jù)安全防護和業(yè)務(wù)應(yīng)用訪問場景基本一致，其差異點在于數(shù)據(jù)服務(wù)場景安全交付的重點是數(shù)據(jù)安全。數(shù)據(jù)服務(wù)交付場景面臨的風(fēng)險包括API漏洞、缺乏細(xì)粒度數(shù)據(jù)訪問權(quán)限、身份認(rèn)證不足、數(shù)據(jù)泄露等，因此在規(guī)劃和設(shè)計上除了云安全體系架構(gòu)的基礎(chǔ)架構(gòu)安全能力、縱深防御能力，關(guān)鍵是結(jié)合應(yīng)用軟件和系統(tǒng)建設(shè)構(gòu)建面向數(shù)據(jù)的內(nèi)生安全能力。

　　面向數(shù)據(jù)的內(nèi)生安全能力首先要基于數(shù)據(jù)治理，梳理出重要數(shù)據(jù)、敏感數(shù)據(jù)，按照零信任的思想，細(xì)化設(shè)計面向數(shù)據(jù)的身份驗證、權(quán)限控制、訪問行為審計等安全能力，設(shè)計和態(tài)勢感知、零信任策略引擎互動的安全能力，并在構(gòu)建數(shù)據(jù)訪問API和系統(tǒng)建設(shè)時將這些安全能力嵌入到軟件和系統(tǒng)中，實現(xiàn)用戶訪問數(shù)據(jù)范圍可控、可跟蹤。

　　另外在防止數(shù)據(jù)泄露上，還需要結(jié)合用戶終端安全管控軟件做細(xì)粒度權(quán)限管理，例如是否允許下載的數(shù)據(jù)通過微信、郵件等渠道外傳。

　　內(nèi)生安全能力與運維/運營融合構(gòu)建實戰(zhàn)化持續(xù)交付能力。為支撐云服務(wù)持續(xù)安全穩(wěn)定交付，需要能“可持續(xù)”的發(fā)現(xiàn)網(wǎng)絡(luò)攻擊并基于協(xié)同響應(yīng)的實戰(zhàn)化安全運行做出有效響應(yīng)，這就需要將網(wǎng)絡(luò)安全保障體系和運維/運營深度融合，實現(xiàn)可持續(xù)常態(tài)化安全保障，支撐云服務(wù)持續(xù)安全穩(wěn)定交付。

　　首先，通過網(wǎng)絡(luò)安全保障體系的建設(shè)，形成網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施，形成標(biāo)準(zhǔn)化的安全服務(wù)，并在日常工作中持續(xù)實施這些標(biāo)準(zhǔn)化的安全服務(wù)，確保安全能力的持續(xù)輸出。

　　其次，需要將安全運行融合到運維運營運行中，包括在信息系統(tǒng)的制度、流程等方面嵌入安全運行的要求，確保安全能力能被執(zhí)行。

　　再次，需要在安全團隊和運維運營團隊間形成緊密協(xié)作、循環(huán)提升工作機制。在面對網(wǎng)絡(luò)攻擊、威脅入侵、響應(yīng)處置、動態(tài)策略配置及優(yōu)化、權(quán)限管理等工作時，能團結(jié)協(xié)作，形成以數(shù)據(jù)驅(qū)動流程的運行模式，確保實戰(zhàn)中能持續(xù)輸出安全能力，支撐云服務(wù)的持續(xù)交付，并在此過程中形成PDAC閉環(huán)的工作機制，循環(huán)提升安全運行的水平，持續(xù)改進網(wǎng)絡(luò)安全保障體系，支撐云服務(wù)持續(xù)輸出。

　　結(jié)束語

　　以內(nèi)生安全支撐云上服務(wù)交付，要以“動態(tài)、綜合、可持續(xù)”為指導(dǎo)，以安全能力建設(shè)為基礎(chǔ)，圍繞服務(wù)交付確定防御重點，規(guī)劃建設(shè)動態(tài)綜合的網(wǎng)絡(luò)安全防御體系，使安全能力覆蓋服務(wù)交付路徑上的云資源、網(wǎng)絡(luò)、人員等所有IT要素，避免局部盲區(qū)而導(dǎo)致的防御體系失效，還要將安全能力深度融入物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)和用戶等各個層次，確保安全能力在IT的各個層次有效集成。圍繞人員和流程開展實戰(zhàn)化安全運行，將網(wǎng)絡(luò)安全保障體系和運維運營深度融合，實現(xiàn)可持續(xù)常態(tài)化安全保障，支撐云服務(wù)持續(xù)安全穩(wěn)定交付。