绿盟科技云安全纲领（中）

全文共5797字，阅读大约需10分钟。

绿盟科技自2012年开始研究并打造云计算安全解决方案，并于2022年正式推出“T-ONE云化战略”，将安全产品与方案全面向云转型，并构建开放的云化生态。本文将对绿盟科技的云计算安全风险与发展的认知、价值主张、合作体系、参考体系、技术体系与建设方案进行阐释。因篇幅限制分为上中下三篇，本篇为中篇。上篇链接：绿盟科技云安全纲领（上）

云计算安全架构体系全景图

本部分给出了云计算安全的架构体系全景图及责任模型，并将技术体系中的安全能力分为基础云安全能力与复合云安全能力，最后给出了业界相关的优秀实践。

云计算安全架构体系

云计算整体安全体系包括技术架构、安全流程和人员。从技术架构角度，进而可细分为四层，自底向上分别为基础安全能力、场景化复合云安全能力、云安全框架方法论和架构，以及领域/行业级安全解决方案。这些层次描述分别如下：

云计算安全架构体系全景图

基础云安全能力

云领域较基础的安全能力，只应对某单一类型的安全风险，如入侵检测、URL过滤等。

复合云安全能力

即产品级解决方案，为多种基础安全能力的聚合，并且基于业务场景做一些变形，旨在应对某单一场景下的多种安全风险，如Gartner提出CWPP、CSPM等。

云安全框架/方法论/架构

基于业务系统的风险分析和一定方法论，指导如何利用人、流程和技术应对安全风险。详细内容在第五章论述。

领域/行业级安全解决方案

应对某领域或行业场景集的整体安全解决方案，如：政务云安全解决方案、多云安全解决方案等。以安全框架方法论和架构为理论指引，将人、流程和技术(云基础能力或场景化复合云安全能力)进行有机的结合。详细内容在第六章论述。

云安全责任模型

云计算安全的责任共担已经成为了行业共识，无论是云等保标准还是主流公有云服务商都对各方的责任做了明确的划分[1]。云安全责任主体方包含云计算服务商与云服务用户，双方的责任分担原则：各主体应根据管理权限的范围划分安全责任边界，责任边界之下的属于云服务商，边界之上的属于云服务用户，边界处由双方共担。

云计算安全责任模型

安全厂商虽然没有直接体现在云安全责任模型上，但责任主体会购买或租用安全厂商的产品、平台或服务，以承担起所需的责任时，该责任也全部或部分地转移到了安全厂商处。在不同场景下，安全厂商的角色是有所不同的。如安全厂商提供的是3.3 服务及方案中SaaS安全服务或运营服务，那么用户侧全部或大部分的责任则应由安全厂商承担；而如安全厂商提供的是3.3 服务及方案中安全平台或安全产品，那么安全厂商承担其产品对应的安全能力，而相应的配置与策略、运营则应由云服务用户承担。

基础云安全能力

Gartner在2022年提出了网络安全网格架构（CyberSecurity Mesh Architecture，CSMA），这是一种应对高级威胁和复杂场景非常有效的安全架构，其将安全功能拆分成了诸多原子化的安全能力，进而通过控制层编排组合成各种安全产品和方案。无疑云计算的敏捷、弹性和编排特性助力CSMA落地。云计算环境中的原子化的安全能力，我们称之为基础云安全能力，它们是云安全的基石。本节将介绍基础云安全能力分类，以及给出能力列表与安全框架的映射关系。

1）概述

下面通过领域分类的方式来归类不同的云涉及的基础安全能力，并将安全能力与一些标准安全框架中的安全能力做对应。下述基础云安全能力。基础云安全能力详细信息以及典型厂商安全产品，详见表1、表2。

表1 云计算安全基础能力目录与安全框架映射

表2 复合能力与基础能力的映射

2）基础云安全能力分类

基础云安全能力的分类和层级可分为以下类型，如下图所示：

基础云安全能力分类

a) 身份与访问层安全

云计算环境的用户与程序都有各自身份，通过认证后的凭证访问应用或服务。身份与访问层安全覆盖云计算用户身份管理及云服务访问管理领域所需的基础安全能力，包含：身份安全、访问安全。

b) 服务层安全

服务层安全覆盖云上对外提供业务的服务所需的基础安全能力，包含：开发安全、应用安全、数据安全、主机安全(含软件平台安全)，以及Overlay网络安全。

c) 资源层安全

资源层安全覆盖云计算系统的基础资源层所需的基础安全能力，包括：

· 物理资源安全，包含灾备、防火、防盗窃和防破坏、防水和防潮、防静电、电磁防护、电力供应、防雷击、防震，此部分不是本文重点，不做重点叙述。

· 资源管理平台安全，包括：云组件配置核查、云组件身份安全、云组件应用安全、云资源合规检测、云组件日志审计、云资产发现。

· 基础硬件与网络安全，包括宿主机安全、 Underlay网络安全，以及存储设备安全。

· 虚拟化层安全：防止虚拟机/容器逃逸等。

d) 安全管理

主要覆盖安全分析闭环所需的基础安全能力，包含：态势感知、资产管理、SOAR/一键封堵、漏洞管理、安全推理、异常行为分析、威胁狩猎、威胁情报等。

e) 安全服务

覆盖安全服务中所需的基础能力，包含：合规、漏洞应急响应、安全事件检测与响应、设备托管、渗透测试、代码泄露监测、互联网资产暴露面核查、暗网核查、网站安全云防护、网站安全监测、安全配置管理、安全报告。

3）能力目录与安全框架映射

我们列举、细化并归纳了基础云安全能力，并且将这些能力映射到了业内主流的安全框架，详见表1。

复合云安全能力

云计算的场景较为复杂，如有私有云、公有云、多云/混合云、云原生和SDWAN等。在各场景下适用的安全产品和安全方案，体现出了多种基础云安全能力的组合。本节将介绍这些复合的安全能力，以及与基础安全能力的关系。

概述

云计算技术的重要特点是弹性、按需和接口化，所以绿盟科技的基础云安全能力也体现出这些特点。借助这些基础云安全能力，我们就能构建出多种复杂的安全能力组合，即网络安全服务网格架构，进而为用户提供可编排的多种安全能力组合，我们称之为复合云安全能力。

场景化的复合云安全能力为多种基础云安全能力的聚合，并且基于业务场景做一些变形，旨在应对某一场景下的多种安全风险。下述复合云安全能力全面描述以及典型厂商安全产品。为保持一致，我们在此借用Gartner对云安全领域的场景化安全能力的分类。Gartner在2021年前定义了云安全的全场景核心成为CASB、CWPP、CSPM，随着云计算技术的快速发展，2021年在前面分类的基础上融合演变出来更多的安全能力子类，如CNAPP、SSPM等。

复合云安全能力全景图

常见的复合云安全能力

a) 云访问安全代理CASB

云访问安全代理（Cloud Access Security Broker，CASB）最早是2012年由Gartner提出的概念，Gartner 将CASB市场定义为云服务所必备的产品和服务，用来解决组织使用云服务时的安全漏洞，能够弥补组织使用云服务时存在的安全缺陷。CASB出现最早是为解决影子资产问题，以及其衍生出的影子IT和BYOD的问题，尤其是随着SaaS服务的快速发展，从底层硬件资源到上层软件资源，最终用户都无法实施控制，因为企业用户使用了哪些云服务和用什么设备访问这服务都不受企业管控，从而引发数据泄露等安全问题，而CASB能很好地解决此类问题。

b) 云工作负载保护平台CWPP

云工作负载保护平台(Cloud Workload Protection Platform，CWPP)为所有类型的工作负载提供以工作负载为中心的安全保护解决方案，包括物理服务器、虚拟机(VM)、容器和无服务器工作负载。CWPP为跨企业内部和云环境的可视性和保护提供了一个单一的可观察的窗口。按照重要性的顺序，CWPP 包括八个控制层：

· 加固、安全配置与漏洞管理

· 网络防火墙、可视化以及微隔离

· 系统信任保证

· 应用控制/白名单

· 漏洞利用预防/内存保护

· 服务器工作负载EDR、行为检测、威胁检测/响应

· 具有漏洞屏蔽功能的HIPS

· 反恶意软件扫描

c) 云安全态势管理CSPM

云安全态势管理（Cloud Security Posture Management，CSPM)可评估云计算系统、应用的整体安全态势，特别是对基础设施安全配置进行分析与管理。这些安全配置包括账号特权、网络和存储配置，以及安全配置（如加密设置）。如果发现配置不合规，CSPM会采取行动进行修正。

d) 云原生应用防护平台CNAPP

云原生应用防护平台（Cloud-Native Application Protection Platform，CNAPP）结合了云原生运行时安全与安全左移的开发安全，形成了DevSecOps整个安全闭环。其能够扫描在开发环境中工作负载以及配置，并且对工作负载实时保护的解决方案。CWPP和CSPM的能力在云原生环境中合二为一，CNAPP解决方案也以一种两者混合的形态出现。

e) SaaS管理平台SMP

SaaS管理平台（SaaS Management Platform，SMP）使安全管理人员能够在数字化办公场景中发现、管理和保护SaaS应用程序。

f) 安全服务边缘SSE

安全服务边缘 (Security Service Edge，SSE)为一组以云为中心的集成安全功能，它有助于安全访问网站、SaaS 应用程序和私有应用程序。SSE 融合了以云为中心的安全功能，以促进对 Web、云服务和私有应用程序的安全访问。SSE 功能包括访问控制、威胁防护、数据安全和安全监控。SSE可对如下功能进行了融合，并将其整合到单一供应商、以云为中心的融合服务中。

· 零信任网络访问 (ZTNA)

· 安全 Web 网关 (SWG)

· 云访问安全代理 (CASB)

· 防火墙即服务 (FWaaS)

上述之外还有其他一些云场景中适用复合安全能力的定义，如下：

g) 网络检测与响应NDR

网络检测与响应 (Network Detection&Response，NDR) 是一项新兴技术，旨在弥补传统安全解决方案留下的安全盲点，黑客利用这些盲点在目标网络中立足。检测响应是基于入侵检测系统 (IDS) 开发的。IDS 解决方案安装在网络外围并监控网络流量是否存在可疑活动。NDR 是减轻 IDS 系统无法保护的缺点的响应。NDR 系统超越了基于签名的检测，可以分析进出网络的所有网络流量，并创建正常网络活动的基线。基线稍后用于将当前流量与常规网络活动进行比较，以检测可疑行为。

NDR 解决方案利用先进技术来检测新兴和未知威胁，例如机器学习和人工智能 (AI)。使用这些技术允许 NDR 系统将从网络流量收集的信息转换为可操作的情报，用于检测和阻止未知的网络威胁。NDR 解决方案可以独立于人工监督自动运行，以检测网络威胁并做出响应。NDR 还可以与现有的安全解决方案（例如 SIEM 和 SOAR）集成，以增强检测和响应。

h) 拓展的检测与响应XDR

拓展的检测与响应（Extended Detection and Response，XDR）是一个基于SaaS化模式，将多源安全遥测数据进行聚合，把原先分散的单点安全能力以原生化方式进行有机融合，以此提升威胁检测、调查、响应与狩猎能力的系统。用于检测和处置网络安全风险。

i) 云基础设施权限管理CIEM

云基础设施权限管理(Cloud Infrastructure Entitlements Management，CIEM)方案越来越多地被应用，其旨在打通多云间的认证授权管理，保障用户使用云基础设施和服务时的最低权限访问原则，帮助组织抵御数据泄露、恶意攻击以及过多云权限带来的其他风险。

j) 网站云防护

网站云防护是以SaaS的方式为客户Web网站提供安全防护，如绿盟网站云安全云防护（WCP）包含的安全防护能力见表3：

表3 网站安全云防护安全能力列表

k) 网站安全监测

网站安全云监测是以SaaS的方式为客户Web网站提供安全监测，及时发现异常现象与恶意攻击，如绿盟网站安全云监测（PAWSS）主要包括六个方面内容：资产核查、脆弱性监测、完整性监测、可用性监测、认证检测、敏感信息监测。

· 资产核查服务，主要帮助用户识别违规上线的应用，让用户对于外网暴露IP、端口有一个全面的了解；

· 脆弱性监测服务，主要帮助用户发现其网站面临的安全风险，为其提供专业化的安全建议；

· 完整性监测服务，能够为用户甄别出其站点页面是否发生了恶意篡改，是否被恶意挂马，是否被嵌入敏感内容等信息；

· 可用性监测服务，能够帮助用户了解其站点此时的通断状况，延迟状况；

· 认证监测服务，主要能够为用户提供钓鱼网站监测的功能。

· 敏感信息监测服务，可以帮助客户发现泄露在外网的代码信息，并进行发布者溯源。

不同场景下的基础安全能力组合会非常多，因此其他复合云安全能力此处不一一列举。

复合云安全能力与基础云安全能力的映射

我们列举了常见复合云安全能力，它们与前述基础云安全能力的映射详见表2《复合能力与基础能力的映射》。

业界优秀实践

作为行业最有影响力的公有云服务商之一，Amazon在云计算方面投入时间最久，其公有云Amazon AWS实践非常成熟，本章我们将以Amazon AWS为例，简要介绍业界云服务商在安全架构和安全能力建设方面所做的优秀实践。

1）AWS责任共担模型

AWS针对基础设施服务、容器服务和抽象服务设计了对应的责任共担模型，以识别AWS和客户分别承担的责任，得到了行业的认可。其通用模型如下图所示，也可认为是经典的云计算安全责任共担模型之一。

在此模型中，AWS负责“云本身的安全” ，即保护运行所有 AWS 云服务的基础设施。该基础设施由运行 AWS 云服务的硬件、软件、网络和设备组成。

客户负责“云内部的安全” ，即由客户所选的 AWS 云服务确定。这决定了客户在履行安全责任时必须完成的配置工作。例如，Amazon Elastic Compute Cloud （Amazon EC2） 等服务被归类为基础设施即服务，因此要求客户负责所有必要的安全配置和管理任务。部署 Amazon EC2 实例的客户需要负责来宾操作系统（包括更新和安全补丁）的管理、客户在实例上安装的任何应用程序软件或实用工具，以及每个实例上 AWS 提供的防火墙（称为安全组）的配置。 对于抽象化服务，例如 Amazon S3 和 Amazon DynamoDB，AWS 运营基础设施层、操作系统和平台，而客户通过访问终端节点存储和检索数据。客户负责管理其数据（包括加密选项），对其资产进行分类，以及使用 IAM 工具分配适当的权限。

AWS责任共担模型

2） AWS安全、身份与合规性服务

AWS在整体安全方面，提供了如下相关服务：

· 身份与访问管理：AWS Identity 服务支持用户安全地批量管理身份、资源和权限。借助 AWS，用户可以为员工和面向客户的应用程序提供身份服务，以快速入门并管理工作负载和应用程序的访问权限。

· 检测监测：AWS 通过持续监控用户云环境中的网络活动和账户行为，来识别威胁。

· 网络和应用程序保护：网络和应用程序保护服务使用户能够在组织中的网络控制点强制执行精细的安全策略。AWS 服务可帮助用户检查和过滤流量，以防止主机、网络和应用程序级别边界中发生未经授权的资源访问。

· 数据保护：AWS 提供的服务帮助用户保护数据、账户和工作负载免受未经授权的访问。AWS 数据保护服务提供加密、密钥管理和威胁检测功能，可以持续监控和保护用户的账户和工作负载。

· 事故响应：分析、调查和快速确定潜在安全问题或可疑活动的根本原因，自动从AWS 资源中收集日志数据并使用机器学习、统计分析和图论来构建一组关联的数据，进行更快、更有效的安全调查。

· 合规性：AWS 让用户可以全面了解合规状况，并使用自动合规性检查（基于用户的组织遵守的 AWS 最佳实践和行业标准），持续监控用户的环境。

表4 AWS安全性、身份与合规性服务

参考文献

[1] 云计算安全责任共担白皮书,云计算开源产业联盟，https://www.ambchina.com/data/upload/image/20220107/2020%E5%B9%B4%E4%BA%91%E8%AE%A1%E7%AE%97%E5%AE%89%E5%85%A8%E8%B4%A3%E4%BB%BB%E5%85%B1%E6%8B%85%E7%99%BD%E7%9A%AE%E4%B9%A6_%E4%BA%91%E8%AE%A1%E7%AE%97%E5%BC%80%E6%BA%90%E4%BA%A7%E4%B8%9A%E8%81%94%E7%9B%9F.pdf

本公众号原创文章仅代表作者观点，不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权，严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用，转载须注明来自绿盟科技研究通讯并附上本文链接。