雲上安全3.0：超越CASB之零信任、雲原生安全

在2019 RSAC上，筆者發現了雲安全方面有一些變化的趨勢，與大家分享。分兩部分，第一部分是第一天的CSA（Cloud Security Alliance）高峰論壇，第二部分是展會和session的見聞。

一、CSA峰會見聞

2019年是CSA成立的第十個年頭，所以高峰論壇的主題也是圍繞著十年慶典開展。開場的十年預告片介紹CSA的十年發展，有一頁專門提到了2014年進入了中國（BTW 那年筆者還在CSA高峰論壇上做了SDN安全的演講）。

在展望環節，CEO Jim在介紹下個十年雲安全所遇到的問題，由於雲端計算成了其他資訊系統的中心，如物聯網系統離不開雲端計算支撐的中心平臺，資料分析和AI需要雲端計算平臺的分散式計算和儲存能力，其他應用系統也大多基於雲端計算平臺，所以CSA也開始在研究各種其他方向的研究，例如資料分析、AI、物聯網、區塊鏈等等。前兩年綠盟科技參加過CSA的物聯網標準編寫，不過這些橫向研究的發展還值得商榷，優點在於發現垂直領域或交叉領域的雲端計算安全問題，儘早提出解決辦法，缺點是可能會忽略雲端計算自身形態的發展特點，筆者似乎還沒聽到CSA關於容器和雲原生方面的工作。

演講環節，Cyxtear和Zscalar都在講軟體定義邊界SDP。跟往年一樣，CSA一直在推它的SDP，不過這次新增了零信任。SDP和零信任這兩個技術下面再介紹，不過本質上，企業上雲、大型分支企業、移動辦公等場景下，安全團隊解決的一個問題是：複雜環境和業務變化導致訪問控制授權不一致。

Zscaler的Jay Chaudhry提到，很多中小公司在一開始就採用了Cloud only的策略，但還有大量已有on-prem基礎設施的企業採用Cloud first的策略，一方面接入公有云，擁抱如Office 365、Saleforce、AWS EC2/S3等服務，另一方面打通傳統資料中心和雲平臺，這樣訪問控制策略就變得複雜：每個環境都有自己的訪問控制機制，如何保證總體策略一致性、訪問安全性和良好使用者體驗？

目前行業推薦的技術原則是零信任，即在任何時候，主體訪問客體都假定是不可信的，客體資源是預設不可見，除非主體向控制器提供了必要的憑證，且控制器認為滿足業務所需的訪問控制策略。事實上，零信任有很多實現方式，例如軟體定義邊界、微分段、移動目標防護MTD等等。

這些方法都能實現如下功能：

1 減少攻擊面，因為被保護的資產預設是不可見的

2 保護訪問控制，基於身份而非網路地址的訪問可以保證訪問控制策略的一致性

3 使攻擊難度增加，強化的防護機制可使低階攻擊者知難而退，增加高階攻擊者的難度。

此外，在嘉賓討論環節，也就合規性、敏捷開發、網路保險等話題展開討論，畢竟雲端計算也是資訊系統，普通網路環境中遇到的安全問題，CIO/CISO同樣也關心。

最後一點感受是儘管2019年的禮品也很豐厚，CSA峰會沒有往年那麼受關注了。也許大家認為雲端計算是企業業務的必選項，雲安全必須要上，現在的雲安全產品已經成熟。

現在的雲安全產品已經成熟。讓我們回顧一下Gartner的預測：

SPA：雲安全最終變成普通的安全

SPA：在2020年前，50%的企業將業務工作流放到本地需要作為異常事件進行審批。公司“無雲”的策略會和現在“無網路”的策略一樣少。

SPA：在2019年前，超過30%的100家最大廠商的新軟體投資會從“雲優先”轉到“只有雲”。

SPA：在2022年前，我們不會認為“雲端計算”是異常的場景，反而會使用“本地計算”這詞去描述不常見的場景。

二、雲安全發展觀察

先談結論：談CASB的少了，討論雲原生、DevOps、容器和編排安全的多了。

如果要將雲安全的發展分幾個階段的話，筆者會大致分為如下階段：

1、基礎IaaS雲安全

這一階段主要討論如何防護私有云和公有云IaaS的基礎設施（主要為VM）安全，私有云以安全代理、安全資源池為主，公有云以雲平臺自身防護機制加第三方虛擬化安全裝置組成的Sec-aaS為主。

2、SaaS雲安全

國外很多中小企業沒有技術實力搭建虛擬機器，部署開展業務所需應用，這種情況下公有云提供了各種雲上的應用SaaS服務，例如Saleforce、Office 365等，實現了無處不在的辦公和協同。這種場景下，安全需求變成了如何滿足企業員工按照企業合規性要求，又能獲得便捷的雲上服務。CASB的出現，透過應用層的業務檢測和防護，解決了雲SaaS業務的訪問控制、可視度獲得、異常檢測、攻擊阻斷，以及資料防洩漏等一系列問題。

3、趨向混合環境的雲安全

隨著大企業逐步上雲，情況變得更加複雜，例如分支機構、總部、雲平臺（混合雲、多雲）各種環境會交織在一起，顯然無論是單個服務商的基礎IaaS安全，或是企業-雲的單向應用防護的CASB都力不從心。

因而，大企業上雲出現了混合環境的雲安全（也包含無雲環境的安全）需求，最顯著的包括身份認證和訪問控制，傳統的VPN顯然滿足不了這樣需求。原因是：當企業的分支機構都彼此相連，且與公有云打通，員工會動態地從各個位置訪問各種資源，這樣使得攻擊者有機會假冒員工身份從外部入侵企業或雲端資源。如何需要一次驗證身份就可能按照給定的訪問控制策略訪問不同環境中的各種資源，又能抵禦攻擊者的惡意訪問，一個比較好的模型是零信任模型。

大會上看到提到零信任的廠商明顯增多，與往年提概念不同，2019年各家都拿出了產品，例如Duo的零信任身份認證訪問，Zscalar、Cyxtera、Meta Network等的SDP訪問控制方案。即便是標準化的SDP，各家廠商也有所不同，例如Cyxtera的方案是將資料傳輸到自己雲端，然後分發到客戶側；而Zscalar和Meta Network則是直接打通，前者是透過代理方式，除了訪問控制外，還增加了如DLP、WAF等功能；後者透過路由的方式，且聚焦於流量排程，加細粒度的訪問控制，自稱下一代的SDWAN。

Meta Network的網路結構

總體而言，各種零信任機制能在複雜環境中提供靈活的訪問控制機制，避免因粗粒度的策略造成系統被入侵，同時將傳統面向網路的訪問控制轉變為面向使用者資產的訪問控制機制，更加準確有效。

4、趨向敏捷開發、雲原生的安全

隨著CaaS（容器及服務）、編排系統、雲原生（無服務/無服務）、CI/CD自動化等技術的成熟，很多開發團隊已經從接受敏捷開發的思路轉到致力於使用上述技術構建DevOps的流程。無論安全團隊是否願意，容器環境/雲原生系統的安全已經刻不容緩。Gartner把DevOps全生命週期的安全防護成為DevSecOps，無論如何表述，這部分的安全也成為了本次大會的新趨勢。

一方面，Docker/Kubernetes，這些事實上標準的容器和編排系統的安全成為了大家關心的話題，大會上出現了好幾個關於Docker和Kubernetes安全問題和加固的session，在這些CaaS基礎設施層面，去年就有Neuvector、Twistlock這些創業公司提出了包括映象安全、配置檢查、執行時安全的容器安全解決方案；另一方面，2019年大會討論較多的是這些系統之上的雲原生系統的業務安全，很多話題涉及到API安全，也有不少創業公司在做API安全，如創新沙盒的Salt Security，聚焦在公開API（即網際網路可訪問）的安全。

Salt security在RSA創新沙盒決賽的演講

還有在Early Stage Expo的ArecaBay聚焦在Kubernetes內部Service的安全。

ArecaBay與kubernetes整合的結構圖

這家公司用類sidecar的監控+Controller阻斷的方式，很好地與Kubernetes整合，開銷較小。這些公司都不只是基於規則，而是透過機器學習等辦法構建白名單，透過構建行為基線發現異常行為，減少誤報。