綠盟科技雲安全綱領（下）

綠盟科技自2012年開始研究並打造雲端計算安全解決方案，並於2022年正式推出“T-ONE雲化戰略”，將安全產品與方案全面向雲轉型，並構建開放的雲化生態。本文將對綠盟科技的雲端計算安全風險與發展的認知、價值主張、合作體系、參考體系、技術體系與建設方案進行闡釋。因篇幅限制分為上中下三篇，本篇為下篇。

雲安全參考體系

與NIST安全標準的關係

為了增強美國關鍵基礎設施的韌性以應對網路安全風險，2014年《網路安全加強法案》（CEA）更新了國家標準與技術研究院（National Institute of Standards and Technology，簡稱NIST）的職責，包括制定和開發網路安全風險框架，供關鍵基礎設施所有者和運營商自願使用。這項法案將NIST之前在13636號行政命令（Executive Order 13636）“改善關鍵基礎設施網路安全”（2013年2月）下開發網路安全框架（Cybersecurity Framework，CSF）版本1.0的工作正式化，併為未來框架演變提供了指導。

2018年4月，NIST釋出了NIST CSF 1.1版本。NIST CSF是根據13636號行政命令制定並基於CEA持續演進的框架使用通用語言，以業務和組織需求為基礎，以兼顧成本和收益的方式處理和管理網路安全風險，而無需對業務提出額外的監管要求。至此，該框架適用於所有依賴技術的組織，無論其網路安全關注點是資訊科技（IT）、工業控制系統（ICS）、網路物理系統（CPS）、物聯網（IoT），或是更普遍的連線裝置。

1.1.1 NIST CSF框架

NIST CSF由框架核心、框架實施層和框架輪廓三部分組成，其框架核心包括五個功能，即風險識別能力（Identify）、安全防禦能力（Protect）、安全檢測能力（Detect）、安全響應能力（Respond）和安全恢復能力（Recover），如圖1所示。這個能力框架實現了網路安全“事前、事中、事後”的全過程覆蓋，幫助企業主動識別、預防、發現、響應安全風險。

圖1 NIST CSF框架的關鍵內容

NIST CSF的框架核心的5個功能要素介紹如下：

識別（Identity）

幫助組織理解進而管理系統、人員、資產、資料和能力的網路安全相關風險。“識別”功能中的活動是有效使用框架的基礎。只有在理解組織業務、支援關鍵業務的資源以及相關的網路安全風險時，才能使組織根據其風險管理策略和業務需求將資源集中投入到優先順序高的工作中。此功能中的類別（Categories）有“資產管理”“業務環境”“治理”“風險評估”和“風險管理策略”等。

保護（Protect）

制訂計劃並實施適當的保障措施，確保關鍵基礎服務的交付。“保護”功能對於限制或遏制潛在網路安全事件的影響起到支援作用。此功能中的類別有“訪問控制”“意識和培訓”“資料安全”“資訊保護流程和程式”“維護”和“保護性技術”。

檢測（Detect）

制訂計劃並採取適當措施識別網路安全事件的發生。“檢測”功能能夠及時發現網路安全事件。此功能中的類別有“異常和事件”“安全持續監控”以及“檢測流程”。

響應（Respond）

制訂計劃並實施適當的活動，以對檢測的網路安全事件採取行動。“響應”功能支撐對潛在網路安全事件影響進行遏制的能力，此功能中的類別有 “響應計劃”“溝通”“分析”“緩解”和“改進”。

恢復（Recover）

制訂計劃並實施適當的活動以保持計劃的彈性，並恢復由於網路安全事件而受損的功能或服務。“恢復”功能可支援及時恢復至正常執行狀態，以減輕網路安全事件的影響。此功能中的類別有“恢復計劃”“改進”和“溝通”。

1.1.2 NIST雲端計算安全標準

除了CSF外，NIST針對雲端計算具體場景，設計了相關的模型和安全框架。例如NIST釋出了《SP500-291 雲端計算標準路線圖》和《SP 500-292 雲端計算參考架構》，給出了雲端計算定義模型。

圖2 NIST雲端計算定義模型

雲端計算定義模型定義了雲端計算的3種基本服務模式（PaaS、SaaS、IaaS），4種部署模式（私有云、社群雲、公有云和混合雲），以及5個基本特徵（按需自服務、廣泛的網路接入、資源池化、快速伸縮、服務可度量）。

2013年5月NIST釋出了《SP 500-299 NIST 雲端計算安全參考框架（NCC-SRA）》，指導構建安全雲環境，安全參考模型如圖3所示。

圖3 NIST雲端計算安全參考架構

1.1.3 基於 NIST CSF 框架構建綠盟雲安全體系 

綠盟雲基於NIST CSF框架對網路安全體系進行了最佳化，並在日常運營中遵循PDCA迴圈模型對其進行維護和持續改進，但這並不意味著客戶使用綠盟雲的服務就可以透過NIST CSF認證，客戶與綠盟雲基於上文的責任矩陣共同承擔安全責任，參見綠盟科技雲安全綱領（中）-雲安全責任模型，客戶應根據其自身的情況，採取相應的措施。

綠盟雲打造集識別、保護、檢測、響應和恢復為一體的雲安全保障體系，動態協同多種安全防禦措施，實現了網路安全“事前、事中、事後”的全過程覆蓋，幫助企業主動識別、預防、發現、響應安全風險，保障客戶的雲安全。

其中，綠盟雲安全，基於NIST CSF的核心功能要素識別、保護、檢測、響應和恢復構建雲安全體系，綠盟科技也在積極應答由全球公認的權威標準組織英國標準協會（BSI）組織的NIST CSF等級認證評估，透過對該認證的評估應答，充分說明綠盟雲在風險檢測、處置、響應、恢復等方面的能力成熟度。另外，綠盟雲提供的產品和服務可以針對NIST CSF框架核心中五項功能中的部分類別提供幫助，協助解決客戶管理網路安全風險時遇到的問題。綠盟雲攜手全球雲服務使用者，構建安全生態，為使用者提供更多安全選擇。

針對綠盟科技在識別、保護、檢測、響應和恢復階段的應答說明：

在識別階段與NIST CSF框架的對應關係可參見後續釋出的文件《綠盟雲安全對 NIST CSF 框架之識別類應對錶》；

在保護階段與NIST CSF框架的對應關係可參見後續釋出的文件《綠盟雲安全對 NIST CSF 框架之保護類應對錶》；

在檢測階段與NIST CSF框架的對應關係可參見後續釋出的文件《綠盟雲安全對 NIST CSF 框架之檢測類應對錶》；

在響應階段與NIST CSF框架的對應關係可參見後續釋出的文件《綠盟雲安全對 NIST CSF 框架之響應類應對錶》；

 在恢復階段與NIST CSF框架的對應關係可參見後續釋出的文件《綠盟雲安全對 NIST CSF 框架之恢復類應對錶》。

與CSA標準的關係 

雲安全聯盟 （Cloud Security Aliance，CSA）於2008年12月在美國發起，是中立的非盈利世界性行業組織，致力於雲端計算安全在全球全面發展。CSA在全球共有500多家單位會員，9萬多個個人會員。2009年，綠盟科技成為CSA在亞太區的首家企業成員。

2010年，CSA釋出了一套用於評估雲 IT 運營的工具：CSA Governance、Risk Management & Compliance（GRC）Stack，其目的在於幫助雲服務客戶（Cloud Service Customer，CSC）對雲服務商遵循行業最佳做法和標準以及遵守法規的情況進行評估。

2013 年，英國標準協會（BSI）和雲安全聯盟聯合推出的國際範圍內的針對雲安全水平的權威認證（Security, Trust & Assurance Registry Program， STAR），這是一個可公開訪問的免費登錄檔，雲服務商可在其中釋出其與 CSA 相關的評估。

CSA STAR 基於 CSA GRC Stack 的兩大關鍵組成部分：

1）雲控制矩陣 （Cloud Controls Matrix ，CCM）：其中列出了雲端計算的安全控制，並將它們對映到多個安全和合規標準。該矩陣還可以用來記錄安全責任。CCM涵蓋基本安全原則的控制措施框架，它可幫助雲客戶對 CSP 的整體安全風險進行評估。

2）共識評估倡議調查表 （CAIQ）：一份根據 CCM 制定的調查表，其中有客戶或雲審計師可能想要要求 CSP 根據 CSA 最佳做法對其合規性進行評估的一百多個問題。為雲服務商提供的標準模板以記錄他們的安全與合規控制。

STAR提供三種級別的保障：CSA-STAR 自我評估是第一級別的入門級服務，它免費提供並向所有 CSP 公開；在保障堆疊中更深一步，第二級別的 STAR 計劃涉及到第三方基於評估的認證；第三級別涉及到基於持續監視授予的認證。

此外，CSA釋出了《雲端計算關鍵領域安全指南》《雲端計算的主要安全威脅報告》《雲安全聯盟的雲控制矩陣》《身份管理和訪問控制指南》等報告。其中，《雲端計算關鍵領域安全指南》是雲安全領域奠基性的研究成果，得到全球普遍認可，具有廣泛的影響力，被翻譯成多國語言。其中，《雲端計算關鍵領域安全指南v4.0》共14章，第一章描述了雲端計算概念和體系，其他13章著重介紹了雲端計算安全的關注領域，以解決雲端計算環境中戰略和戰術安全的“痛點”。這些領域分成了兩大類：治理（governance）和執行（operations），其中治理域範疇很廣，解決雲端計算環境的戰略和策略問題，在治理域中，要求對雲平臺進行合規化和審計管理；而執行域則更關注於戰術性的安全考慮以及在架構內的實現。

圖4 CSA 雲端計算關鍵領域安全指南 V4.0 雲安全架構

1.2.1 CSA CCM矩陣

在過去的十幾年中釋出的雲安全定義、架構、標準、指南中，CSA雲控制矩陣（CCM）被世界各國公認為全球通用的黃金標準。CCM可以用作對雲端計算實施的系統性評估工具，也可以作為雲端計算供應鏈中各角色與安全控制關係的指導。CCM與《雲端計算關鍵領域安全指南》高度匹配，成為雲安全保障與合規的事實標準。

CSA於2021年4月釋出最新的雲控制矩陣（CCM v4），CCM v4對CCM v3.0.1做了內容大幅更新，確保覆蓋來自雲端計算新技術、新控制、安全責任矩陣的要求，改善控制項的問責制，增強互操作性及與其他標準的相容性。

CSA CCM的目標是：

1.  確保覆蓋來自新雲技術的需求（例如，微服務、容器）和新的法律和監管要求，特別是在隱私領域。

2. 改善控制的可稽核性，併為組織提供更好的實施和評估指導。

3. 在共享責任模型中明確雲安全責任的分配。

4. 改善與其他標準的互操作性和相容性。

CCM v4包括17個控制域中的197個控制目標，全方位涵蓋了雲端計算技術的安全領域，具體的安全控制領域，如表1所示。CCM結構包含控制域、控制措施、對於每個控制措施對應的架構內容、公司治理的相關性、涉及的雲服務型別、與雲服務供應商和客戶的相關性以及同標準、法規、最佳實踐的對映關係。CCM構建了統一的控制框架，透過減少雲中的安全威脅和弱點加強現有的資訊保安控制環境，提供標準化的安全和運營風險管理，並尋求將安全期望、雲分類和術語體系，以及雲中實施的安全措施等標準化。 

表1 CSA CCM v4 控制域

1.2.2 基於CSA CCM 構建綠盟雲安全體系

CSA STAR以ISO/IEC 27001認證為基礎，結合雲端安全控制矩陣CCM的要求，運用BSI提供的成熟度模型和評估方法，綜合評估組織雲端安全管理和技術能力。CCM 與行業接受的安全標準、法規和控制措施框架相對應，例如 ISO 27001、PCI DSS、HIPAA、AICPA SOC 2、NERC CIP、FedRAMP 和 NIST 等等。

綠盟科技參考CSA雲安全控制矩陣中17個控制域中的控制目標構建雲安全體系框架，以下以審計與保障、應用程式和介面安全、供應鏈管理、威脅與漏洞管理為例說明：

在審計與保障方面，綠盟科技建立了一個正式、定期的審計計劃，包括持續的、獨立的內部和外部評估，內部評估持續追蹤安全控制措施的有效性，外部評估以獨立稽核員身份進行審計，以驗證綠盟雲控制環境的實施和執行有效性。

在應用程式和介面安全方面，綠盟科技的雲端計算相關產品與服務在釋出前均需完成靜態程式碼掃描，掃描出的漏洞告警清零才可進行釋出，有效降低應用程式存在編碼相關的安全問題的可能性。綠盟科技對引入的開源及第三方軟體制定了明確的安全要求和完善的流程控制方案，在選型分析、安全測試、程式碼安全、風險掃描、法務稽核、軟體申請、軟體退出等環節，均實施嚴格的管控。

在供應鏈管理，透明度和問責制方面，綠盟科技制定了供應商安全管理要求，定期對供應商進行審查，驗證其是否符合綠盟安全和隱私標準。綠盟科技建立了應對網路安全事件的響應流程，並針對關鍵基礎設施、網路進行監控，可及時監測可能的網路攻擊，避免資料洩露事件的發生。

在威脅與漏洞管理方面，綠盟科技所有的辦公計算機均需安裝公司指定的安全防護軟體，僅可以安裝指定軟體列表的軟體。對於IT基礎系統、元件則透過IDS/IPS等進行保護。

針對其他控制域的要求，在此暫不詳細羅列。

綠盟科技在雲平臺安全、雲安全產品等方面，從硬體到應用構建了全面、縱深防護體系，以保障整個雲端計算體系的安全合規。

此外，綠盟科技在安全服務上，全面佈局，在網路安全、主機安全、應用安全、資料安全等領域，推出了多款安全服務，並利用自身安全領域的優勢，在全球構建安全生態，攜手合作夥伴，為使用者提供更多安全選擇。

與等級保護2.0的關係

1.3.1 概述

《網路安全法》於2017年6月1日實施，“網路安全等級保護制度”首次從法律層面提及，標誌著網路安全保護進入有法可依的等級保護2.0（以下簡稱等保2.0）時代。網路安全等級保護物件由資訊系統調整為基礎資訊網路、資訊系統（含採用移動互聯技術的系統）、雲端計算平臺/系統、物聯網、大資料應用/平臺/資源、物聯網和工業控制系統等。自2019年12月1日起，《GB/T 22239-2019資訊保安技術 網路安全等級保護基本要求》（以下簡稱“基本要求”）等系列標準正式實施，落實網路安全等級保護制度是每個企業和單位的基本義務和責任。

 1.3.2 安全合規責任

從傳統資料中心的視角，雲安全是指保護雲服務本身在基礎設施即服務（IaaS）、平臺即服務（PaaS）和軟體即服務（SaaS）中的技術資源的安全性，以確保各類雲服務能夠持續、高效、安全、穩定地執行。雲服務與傳統資料中心存在明顯差異，前者對雲安全整體設計和實踐更側重於為雲服務客戶提供完善、多維度、按需定製、組合的各種安全和隱私保護功能和配置，涵蓋基礎設施、平臺、應用及資料安全等各個層面。同時，不同的雲安全服務又進一步為雲服務客戶提供了各類可自主配置的高階安全選項。這些雲安全服務需要透過深度嵌入各層雲服務的安全特性、安全配置和安全管控來實現，並透過可整合多點彙總分析的、日趨自動化的雲安全運維運營能力來支撐。

在雲端計算環境中，任何雲服務客戶業務應用系統安全性由雲服務商和雲服務客戶共同保障，雲服務客戶業務系統所部署的雲端計算服務模式不同，雙方安全責任邊界也相應產生差異，詳細的差異如《GB/T 22239-2019 資訊保安技術 網路安全等級保護基本要求》中所描述。按業界定義的安全責任共擔模型，雲服務客戶使用不同模式的雲服務（IaaS、PaaS 或 SaaS）時，對資源的控制範圍不同，安全責任邊界也根據控制範圍的差異而有所不同。

等保2.0標準中將安全技術要求重新劃分為4個層面：物理和環境安全、網路和通訊安全、裝置和計算安全、應用和資料安全。在網路和通訊安全方面要求安全審計。雲服務方和雲租戶分別收集各自的審計資料，並根據職責劃分提供審計介面，實現集中審計。在裝置和計算安全方面，雲服務方負責基礎設定的安全審計，雲租戶提供計算服務中的安全審計，審計要求提供資料介面實現集中審計。在應用和資料安全方面，要求根據職責劃分，提供各自的審計介面實現集中審計。 

1.3.3 基於等保2.0構建綠盟雲安全體系

綠盟科技最早於2006年開始提供等級保護諮詢和建設服務，擁有10餘年、5000+次的等級保護建設經驗。

綠盟科技對等級保護2.0下的安全建設，透過建設“一箇中心”管理下的“三重防護”體系。分別對通訊網路、區域邊界、計算環境進行管理，實施多層隔離和保護措施，構建網路安全縱深防禦體系。

圖5 等級保護安全技術設計框架（第二級）

圖6 等級保護安全技術設計框架（第三級）

網路安全等級保護安全技術框架各個功能部件功能設計如下：

安全計算環境

對定級系統的資訊進行儲存、處理及實施安全策略的相關部件。

安全區域邊界

對定級系統的安全計算環境邊界，一級安全計算環境與安全通訊網路之間實現連線並實施安全策略的相關部件。

安全通訊網路

對定級系統安全計算環境之間進行資訊傳輸及實施安全策略的相關部件。

安全管理中心

對定級系統的安全策略及安全計算環境、安全區域邊界和安全通訊網路上的安全機制實施統一管理的平臺。

綠盟科技的總體安全體系架構設計如圖7所示，其中，等級保護三級的系統總體安全體系架構包括總體安全策略、網路安全等級保護制度、安全技術體系、安全管理體系和安全服務體系五個有機組成部分。

圖7 綠盟科技等保2.0總體安全體系架構

總體安全策略

單位整體安全策略是立足本單位現狀和將來一段時間內，以保護單位整體資訊保安而制定的安全方針，需要單位全體人員遵守並執行。總體安全方針、策略具有戰略高度，並且根據單位面臨的安全風險，進行定期更新。

網路安全等級保護制度

在安全建設中，需要落實國家網路安全等級保護制度，安全保障建設首先需要對單位系統進行科學定級、備案，落實安全整改建設，透過等級測評對單位安全防護能力進行有效檢測，在安全運營中持續進行安全監測和響應，同時需要配合上級單位和監管單位的安全監督檢查。

安全技術體系

從計算環境安全、安全區域邊界、安全通訊網路和安全管理中心四個方面分別設計。其中，安全計算環境主要是對單位定級系統的資訊進行儲存處理，並且實施安全策略保障資訊在儲存和處理過程中的安全，安全計算環境包括：使用者身份鑑別、使用者身份鑑別、自主訪問控制、標記和強制訪問控制、系統安全審計、使用者資料完整性保護、使用者資料保密性保護、客體安全重用、程式可信執行保護。

通訊網路安全主要實現在網路通訊過程中的機密性、完整性防護，重點對定級系統安全計算環境之間資訊傳輸進行安全防護。安全通訊網路包括：安全審計、資料傳輸完整性保護、資料傳輸保密性保護、可信接入保護。

安全區域邊界主要實現在網際網路邊界以及安全計算環境與安全通訊網路之間的雙向網路攻擊的檢測、告警和阻斷。安全區域邊界包括：區域邊界訪問控制、區域邊界包過濾、區域邊界安全審計、區域邊界完整性保護。

安全管理中心主要實現安全技術體系的統一管理，包括系統管理、安全管理和審計管理。同時，按照許可權劃分提供管理介面。

安全管理體系

從安全策略、管理制度、管理機構、人員管理、安全建設管理和安全運維管理等方面分別設計。重點內容包括安全管理機構的組建，安全策略、管理制度、操作規程、記錄表單等內容的安全管理制度體系的補充和完善，安全相關人員的錄用、培訓、授權和離崗管理，圍繞資訊系統全生命週期安全的安全建設管理和安全運維管理。

安全服務體系

近年來，資料安全得到廣泛關注，在資料產生、採集、加工、儲存、應用到銷燬的全過程中，都可能會引入各種安全相關的問題。對資料的正確訪問、資料洩露防護、敏感資料的加密等手段，能夠有效保護資料安全。

從資訊系統安全形度出發，透過網路安全風險評估、安全加固、滲透測試、應急響應、安全重保、應急演練、安全培訓等服務，和安全技術體系、安全管理體系相輔相成保障資訊系統的安全風險始終處於可控、可管的安全狀態。

綠盟科技等保2.0安全保障體系全景圖如圖8所示。綠盟科技遵循網路安全等級保護2.0基本要求和雲端計算相關標準要求，充分分析雲端計算安全需求，以“縱深防禦，持續監控”為指導思想，逐步建立自適應安全防護體系，形成包含預警、防護、檢測和響應等能力的安全閉環，分別從雲平臺和雲上客戶兩個層面進行防護，併為雲上客戶提供專業和可配置的安全服務，全面控制雲平臺自身和雲上客戶的安全風險，不止滿足雲平臺等保三級和雲上客戶等保合規性要求，更可以持續防護雲端計算環境。

圖8 綠盟等保2.0安全保障體系全景圖

總體而言，等保2.0是基礎框架，雲等保是補充，雲等保是等保2.0的子集。

相應地，綠盟科技雲等保解決方案整體架構如圖9所示。

圖9 雲等保解決方案整體架構

基於等保2.0，綠盟科技的雲安全產品部署如圖10所示（其中以v為字首的產品為虛擬化版本）：

圖10 綠盟雲安全產品示意圖

雲安全能力發展趨勢

雲端計算技術始終在快速發展中，很難給出雲安全能力發展的全景圖，然而可以根據產業和安全技術的發展，預測雲安全能力的發展趨勢。按照“使用一代、建設一代、預研一代”的原則，綠盟科技不斷迭代研究新的雲端計算安全前沿技術，積累雲端計算新的安全能力，研製下一代雲端計算安全創新產品與平臺。

雲上攻防

除了合規驅動外，越來越多的雲安全事件也在促進雲安全防護能力的提升。攻擊者是逐利的，隨著越來越多企業選擇雲端計算來開發、承載業務，雲上業務的價值在飛速增長，也因此成為黑產團伙的重點關注物件。

近年來，雲安全事件層出不窮，例如：

2018年2月20日，特斯拉公司的Kubernetes雲原生叢集被曝出曾在數月前被入侵，駭客在特斯拉的Kubernetes叢集中部署了挖礦程式。

2019年10月15日，一款名為Graboid的挖礦蠕蟲程式被曝光，該病毒透過不安全的Docker守護程式暴露出來的遠端埠獲得目標主機的控制權，然後下達指令從Docker Hub上拉取並執行惡意映象。被發現時，它已經感染了超過2000臺Docker宿主機。

2020年4月8日，微軟Azure安全中心公告稱檢測到大規模Kubernetes叢集挖礦事件；同年6月10日，Azure再次公告稱檢測到大規模Kubeflow挖礦事件。

2021年8月，微軟提供的Cosmos DB資料庫服務被曝光存在一系列嚴重的安全漏洞，可能導致大規模商業資料洩露。

2021年，TeamTNT組織多次被曝針對雲端計算物件發起攻擊，包括投放針對Kubernetes叢集的非法加密挖礦軟體、在Docker Hub上投放惡意映象、利用存在未授權訪問漏洞的Docker控制伺服器等。

由此可見，攻擊者已經將戰場從傳統環境擴充套件到了雲端計算環境。在此背景下，未知攻焉知防，防守方必須跟進掌握最新的雲安全攻防技術，不斷迭代不斷進化，實現雲上攻防能力的持續運營和向雲安全防禦能力的持續轉化，才能夠實現雲端計算業務和環境的有效防禦。

對此，綠盟科技星雲實驗室建立並開源了Metarget雲原生攻防靶場專案，希望將雲原生脆弱場景固化，提供自動化的脆弱環境構建能力，不斷積累沉澱雲原生攻防研究，進而實現以攻促防，持續賦能雲原生安全產品。

對於具體的攻防技術來說，歸納和分類是非常重要的，能夠幫助我們降低複雜度，梳理已有攻擊技術，制定防護能力發展規劃，評估安全能力對攻防技術的覆蓋度。目前Mitre歸納了雲端計算（含幾大公有云）、容器的ATT&CK技戰術。在此基礎上，我們擴充套件了一個雲原生ATT&CK矩陣，讀者可結合這幾個矩陣構建雲上整體的威脅檢視：

表2 雲原生ATT&CK矩陣

雲安全態勢與安全能力的評估

隨著合規性要求和攻防需求迅速增加，企業紛紛部署眾多的安全產品以確保雲環境和雲上業務的安全性，但即使如此，也很難回答“雲端計算平臺和應用是否安全”這一問題。因為錯誤配置與缺乏及時更新都可能會產生系統的風險。事實上，無論是真實的攻擊，還是大型攻防對抗演練，都出現攻破雲平臺或雲上應用的案例。考慮到雲上業務變化頻繁，雲端計算應用規模龐大，僅僅依靠人工手段去評估（如紅藍對抗、滲透測試等）很難達到完備。因而，雲環境中的持續性安全評估，特別是雲原生入侵和攻擊模擬（Cloud Native Breach & Attack Simulation，CNBAS）應運而生，其可評估雲環境是否安全，並可驗證雲上部署的安全能力是否有效。

從功能上來看，CNBAS既能對雲端計算平臺本身安全性進行評估，又能可對第三方安全能力和策略進行評估。一方面可依託於針對雲端計算ATT&CK矩陣的攻擊武器，對雲環境進行自動、持續、無害化的攻擊模擬；另一方面，參考國內外針對雲原生系統的合規性要求和成熟度評估機制，評估系統整體的安全成熟度。

從架構上來看， CNBAS以雲原生的方式部署和工作，既具備雲端計算的可靠、伸縮、易擴充套件等特性，也能利用雲原生平臺的介面、資源，減少對被評估環境依賴和侵入，提升整體運營的效率。

雲上風險發現

雲端計算技術棧已經被廣泛使用。開發運營一體化（DevOps）、編排系統、微服務、宣告性 API與無伺服器等新技術的使用，使得對應用運營變得更加便捷方便，帶也帶來了極大的安全風險。因為：

· 雲上服務需要對外暴露，但如果因不當配置、弱訪問憑證、服務軟體版本資訊洩露，都可能造成攻擊者發現並利用脆弱性，造成資料洩露等後果，在Gartner釋出的2022年安全和風險管理的主要趨勢中，將攻擊面的暴露作為第一條納入其中，可見對攻擊面的管理的重要程度。

· 當前軟體系統依賴大量開源軟體庫、中介軟體，這些軟體如出現嚴重漏洞能被利用，攻擊者發現後就可能直接攻陷雲上系統。

· DevOps的閉環鏈條非常長，其中某個環節出現不可控的風險，就會危害整個業務系統的安全。例如外包員工將程式碼倉庫外洩到程式碼平臺或自託管的主機，都可能被攻擊者所竊取並利用。在2021年的3月份就曾爆出PHP的Git伺服器被入侵，原始碼被新增後門事件。

因而，綠盟科技在雲上風險發現方面構建完整的外部攻擊面發現的監控體系，包括：

DevOps軟體供應鏈監控：開發中使用的大量的第三方開源服務或者依賴庫，使用的服務映象，都有可能存在漏洞。

雲端計算基礎設施監控，監控Docker、Kubernetes等雲端計算基礎設施，特別是對外暴露的服務與自身的安全漏洞，可對雲上雲原生服務元件潛在的脆弱性進行快速識別或無害性高精度驗證。

微服務安全：微服務依賴的服務網格，各種服務發現元件，訊息佇列等中介軟體，對外暴露的大量API等安全風險。

公開服務配置監控：例如Kubernetes的API對外未授權暴露可導致攻擊者接管整個Kubernetes叢集，惡意利用叢集資源叢集。

原始碼倉庫監控：透過對雲上的資產進行持續測繪，獲取原始碼倉庫的特徵利用人工智慧識別倉庫真實屬主，並對存在錯誤配置或者未授權的倉庫進行倉庫內容分析識別。具體包括以下功能：程式碼倉庫基礎資訊識別；識別程式碼倉庫地區資訊、人名資訊、組織機構資訊等；發現程式碼倉庫中的敏感資訊，如個人隱私、SQL資料庫賬號密碼、伺服器公私鑰等；歸因程式碼倉庫相關領域、開發和釋出機構等。

我們預測，雲上風險的發現將成為攻守雙方在雲端計算系統、應用與服務前的首戰之地，包括網路空間測繪技術、自動化漏洞驗證、軟體供應鏈安全等一系列技術將快速發展，讀者應在這些領域適度投入資源，儘可能降低對外暴露的攻擊面。

 API與服務類安全

雲原生環境中，應用由傳統的單體架構轉向微服務架構，雲端計算模式也向為函式即服務（Function as a Service，FaaS）發展。應用架構和雲端計算模式的變革會導致進一步的風險，如：

· 雲原生應用架構的變化進而導致應用API互動的增多，大部分互動模式已從Web請求/響應轉向各類API請求/響應 ，例如RESTful/HTTP、gRPC等。

· 由於應用架構變革，雲原生應用遵循面向微服務化的設計方式，從而導致功能元件化、服務API數量和東西向流量激增，配置複雜等問題，進而為雲原生應用和業務帶來了新的風險，例如攻擊者可利用某服務API漏洞，在內部容器網路進行橫向移動，造成資料洩露的後果。

· 無伺服器計算是一類新的雲端計算模式，在提升整體開發效率的同時，也引入新的風險，如拒絕錢包服務攻擊（Denial of Wallet DoW）、函式濫用等。

因而，綠盟科技構建了面向雲原生應用和API的安全防護體系，包括：

· 微服務API資產發現：提供微服務API資產資訊、API呼叫鏈路追蹤及關聯關係，同時，提供基於IP/域名/業務/API資料實體多角度資產畫像視覺化，資料標籤、資料風險、安全事件探索以及全方位的訪問記錄視覺化能力。

· 微服務API業務安全：基於基線的異常檢測可對微服務業務間呼叫異常序列、引數、邏輯等進行異常行為告警。

· 微服務API安全閘道器：提供針對微服務應用場景下的全流量防護能力，可適應雲原生環境下應用普遍容器化、面向微服務架構、容器編排排程等特性，解決微服務間東西向流量難以防護的問題，特別對微服務API濫用、Webshell連線上傳、SQL隱碼攻擊等常見攻擊有著較為明顯的防護效果。

場景化的雲安全建設

大型公有云上的安全建設

國內雲端計算總體處於快速發展階段，據中國資訊通訊研究院釋出的《雲端計算白皮書（2022年）》[1]的資料，2021年我國公有云IaaS市場規模達1614.7億元，增速80.4%，PaaS同比正增長90.7%達194億，SaaS同比正增長32.9%達370億。推動公有云快速增長主要使用者群體為企業、個人和政府， 政府方面因資料敏感度、安全性比較高出臺了各類政務雲的規劃，多數非敏感業務也逐漸轉移到政務雲上；此外，中小企業是大型公有云市場的核心群使用者，因為成本和便捷性考慮，相當一部分的企業選擇公有云託管業務或直接採購SaaS服務。

大型公有云服務商一般會提供較為完善的安全服務，其中相當一部分為雲服務商自身的安全能力，而其他非標準、特定需求、高階、跨雲的安全能力則由第三方安全廠商提供。一般公有云計算場景的安全產品選購途徑有4種：安全廠商提供可安裝的安全軟體、安全廠商提供獨立的安全SaaS服務、駐公有云市場的安全廠商的安全產品、雲服務商自己提供的安全服務。

公有云租戶如希望進行雲上的安全建設，首先需要考慮自身的業務與安全責任，依照雲安全責任模型，承擔租戶自身部署的資源和業務的安全，負責採購安全產品、配置安全策略和安全運營。因而，租戶應對比自己的需求與雲服務商的安全能力，應重點考慮兩者不一致處。如存在，則或透過第三方安全廠商產品，或透過獨立的安全服務解決。

從目前的實踐看，建議使用者在安全建設前結合業務需求和經濟投入、法律政策的要求下，著重針對漏洞利用、口令破解、偏離基線、橫向擴散等風險進行安全防護。

私有/行業雲的安全建設

2015年“網際網路+”概念興起至今，影響國民經濟的主要行業均著手實現雲化轉型，而各行業的龍頭企業在相當程度上成為雲端計算平臺建設的排頭兵，在此期間對影響國民經濟各主要行業，國家釋出了雲化建設的行業政策。其中覆蓋了製造業、政府、醫療、教育、金融、物流、能源、網際網路、交通等行業。在《雲端計算三年行動計劃（2017—2020年）》和《推動企業上雲實施指南（2018—2020年中）》中，可以看出政府在積極推動雲端計算在各個場景的應用，尤其是政務和金融領域。

相當一部分數量的行業或區域的頭部客戶是從虛擬化系統轉到雲端計算系統，並且有合規性和資料安全的考慮，所以他們是採用了私有云的方案，而沒有采用直接上公有云的方案。當然，有一些大型行業（如運營商、政府、金融）的頭部機構，也在從為自己服務的私有云轉向為行業內其他客戶提供具有本行業特點服務的行業雲。

與大型公有云不同之處在於，私有云與行業雲的運營方不是公有云服務商，而是行業客戶。根據責任共擔模型，如果是私有云，那麼全部責任均由行業客戶承擔；如果是行業雲，那麼責任分界線以下的所有安全責任，均由該行業客戶承擔。所以，行業客戶應在方案設計、平臺建設與安全運營整個生命週期，與安全廠商緊密協作，全方位保護雲平臺和應用的安全。

具體地，結合私有云與行業雲本身的安全風險以及各行業的特點，在滿足法律法規的要求下。以CARTA（持續自適應風險與信任評估）為原則，遵循“建立自適應安全防護模型和責任共擔模式”的設計思路，堅持“協作、共享、智慧和服務”的設計原則，採用“1+2+3+5”的頂層設計，即實現自適應安全防護體系一個目標，保護雲平臺和雲上資訊系統兩個物件，同步規劃、同步建設和同步使用安全管理體系、安全技術體系和安全運營體系等三個體系，開展覆蓋決策規劃、縱深防護、監測預警、安全響應和評價提升等五個階段的工作，保障雲安全執行，為行業實現數字化轉型護航。

私有云與行業雲的具體雲安全建設，可參見綠盟科技後續釋出的相關行業的雲安全建設方案。

多雲/混合雲的安全建設

雖然多雲/混合雲的發展非常迅猛，然而其應用增加了整個系統的複雜性、異構度和攻擊面，攻擊者有可能利用一個系統的脆弱性移動到另一個核心繫統，因而，企業應考慮在多雲或混合雲環境中部署統一、全方位的安全防護能力。此處給企業有2點建議：首先，採用零信任的架構，如SSE、SDP和身份訪問管理機制，構建基於身份與上下文的邊界；其次，採用第三方廠商構建跨雲的安全編排能力，動態地在公有云、企業環境部署一致的安全能力，並可根據業務進行彈性伸縮和遷移，避免雲服務商單一安全能力鎖定。

更具體地，在面對多雲/混合雲環境下需要著重注意資源的統一管理能力，只有具備資源的統一管理能力才能對防護、運維起到良好的基礎支撐，首先是資產清查能力，需要對多雲產統一管理為客戶提供基礎的資產概覽、資產拓撲、賬號管理、主機資產如虛擬主機、映象、網路，使用者許可權管理、具備橫向可擴充套件的CMP能力等，其安全能力對接多雲有一定要求。其次是安全建設能力分散，運維管理成本較高，需要統一進行策略管理，需要根據資產分佈情況進行雲安全能力建設，根據客戶需求，自動化投放和部署安全服務。最後是需要滿足等保合規以及安全體系和人員提升做到威脅閉環處置的運營反制能力。

多雲與混合雲的具體雲安全建設，可參見綠盟科技後續釋出的《多雲/混合雲場景的雲安全建設方案》。

新型基礎設施的安全建設

我國的“十四五”規劃提出：系統佈局新型基礎設施，加快第五代行動通訊、工業網際網路、大資料中心等建設。新型基礎設施（包括5G、邊緣計算和工業網際網路等）的建設已經成為國家政策與經濟發展的重要抓手，也是各行各業數字化轉型的重要驅動力。

隨著雲端計算作為支撐技術的快速發展，新型基礎設施多以雲端計算為技術底座，如5G核心網、MEC平臺，以及工業網際網路及其邊緣閘道器等，都使用了虛擬化或容器技術提供彈性伸縮、敏捷部署的能力。因而，保護這些新型基礎設施，就需要首先保護其雲端計算底座的安全。

結合5G/MEC風險，以運營商為例，邊緣計算安全防護方案是由兩個部分構成——執行體系和生態體系，其中執行體系由雲、管、端、邊構成安全能力的縱深防禦和深度協同。透過運營商通訊安全增強能力、雲端安全能力協同共同構成整個體系。生態體系覆蓋了與邊緣計算相關的基礎設施、軟體平臺和APP的生命週期管理，以及邊緣計算相關生態的安全測試驗證，包括測試環境、測試工具、基礎資源。結合使用者業務能力將安全能力分別以雲、管、端、邊4個位置進行部署。邊緣計算的安全能力部署在最靠近行業使用者的位置，為本省、雲端能力提供資訊基礎，為客戶實現最直接的安全防護、檢測和安全基礎設施。

運營商行業的具體雲安全建設，可參見綠盟科技後續釋出的《運營商行業場景的雲安全建設方案》；工業網際網路的具體雲安全建設，可參見綠盟科技後續釋出的《工業網際網路場景的雲安全建設方案》。

參考文獻

[1] 中國信通院，雲端計算白皮書（2022年）