在雲時代背景下,企業將更多的業務系統雲化,更多的安全問題也隨之暴露出來,保護雲上業務成為當務之急。
一、雲安全現狀與風險
在數字化轉型程式早期,企業作為雲租戶主要以使用IaaS服務為主,而隨著近些年雲原生技術的發展,越來越多的組織使用K8S+容器等PaaS服務,目前又流行使用託管力度更大的Serverless服務來構建雲上業務系統。雲端計算是一種各類技術相對集中的場景,業務系統上雲後,安全風險也會集中起來。在網路側,CNCERT在2019年的報告顯示,將近80%的DDoS攻擊是集中在雲上的,另外,一旦攻擊者入侵至租戶的VPC後,攻擊會瘋狂的橫移,最大限度擴大威脅範圍,;在工作負載側,2021年Flexera釋出的《雲端計算現狀報告》顯示,50%的企業將工作負載轉移至雲端,像挖礦容器植入或者虛擬機器被利用成為礦機等安全風險,當下已成為雲上威脅的重災區。
二、企業雲安全建設路徑
在企業業務遷移至雲環境的過程中,綠盟科技總結了關於安全建設的四個關鍵步驟,助力企業安全上雲、安全用雲。
Step 1:在企業計劃上雲時儘早考慮安全性,根據面臨風險的優先順序制定安全策略。絕大部分對雲上業務的成功攻擊都是由於租戶對資源配置錯誤所導致的,所以對於企業的安全團隊成員,需要著重培養在雲安全方向的技能與能力。
Step 2: 參考CARTA安全體系、CSA的CCM雲安全控制矩陣並結合國內外合規標準來設計包含安全技術、管理、運營等體系的雲安全方案架構。
Step 3: 將網路、工作負載、應用和資料等關鍵元素作為防護物件,構建縱深防禦安全體系。公有云環境下常見的安全技術棧為CSPM和CWPP,企業需結合自身業務情況選擇更有針對性的安全能力。
Step 4: 構建統一安全運營平臺,一方面利用大資料分析技術來分析各安全裝置日誌,有效降低安全告警數量,另一方面透過態勢感知確認雲上的業務系統是否受到威脅以及評估威脅影響的範圍。
三、雲安全最佳實踐
1、網路:對於租戶,需重點關注雲內東西向網路的防護。企業可以透過按需建立VPC、使用雲服務提供商所提供的子網ACL、安全組等服務,實現對網路的訪問控制。除做好微隔離外,建議使用雲服務提供商的流量映象服務或部署在計算例項上的Agent獲取VPC內的網路流量,並透過專業的安全裝置檢測流量中是否存在威脅,以提高對網路的可見性和控制力。
2、資料:為了防止雲上敏感資料洩露,綠盟科技提出“知、識、控、察”四字理念來對雲上資料進行安全保護。“知”,指的是企業需要了解哪些是敏感資料,這一環節下我們透過資料分級分類服務來幫助企業明確需要防護的資料物件。“識”,指的是識別出雲上敏感資料,透過雲服務提供商原生服務配合第三方安全供應商能力掃描並發現需要防護的資料物件。“控”,指的是利用安全工具或服務對靜態、傳輸中的資料進行機密性和完整性保護,其中涉及主要技術手段包括使用KMS加密資料、對敏感資料進行脫敏、使用IAM完成基於身份或者屬性的資料訪問控制。“察”,也就是觀察正在或已經發生的資料操作行為,可以選擇資料庫審計以及DLP產品來對敏感資料操作和流向做審計和溯源。
3、工作負載:當開發雲原生應用的時候,企業已從單體式架構轉向微服務架構,以容器為載體交付業務系統。我們需要對容器在映象構建、映象儲存、容器執行時等各階段開展安全檢測。
4、資源可見性:“人們無法保護看不到的事物”,企業可以利用雲服務提供商原生的安全管理工具或者使用第三方安全供應商的工具拉取日誌和指標等相關資訊,建立多維度安全態勢。比如憑藉雲服務提供商提供的網路流日誌,可以初步判斷是否正在發生DDoS攻擊;透過計算例項CPU使用率這個指標,可以反映出可能發生的挖礦攻擊等。
5、異構雲環境下的統一安全管理:透過部署多雲安全管理系統,企業可以獲得一站式的雲上資源統一管理能力,包括一鍵雲上資源遷移等功能;多雲安全管理系統支援各雲平臺下安全能力的自動化部署,同時實現雲上資源脆弱性管理和統一安全運營。