綠盟科技雲安全綱領（中）

綠盟科技自2012年開始研究並打造雲端計算安全解決方案，並於2022年正式推出“T-ONE雲化戰略”，將安全產品與方案全面向雲轉型，並構建開放的雲化生態。本文將對綠盟科技的雲端計算安全風險與發展的認知、價值主張、合作體系、參考體系、技術體系與建設方案進行闡釋。因篇幅限制分為上中下三篇，本篇為中篇。

雲端計算安全架構體系全景圖

本部分給出了雲端計算安全的架構體系全景圖及責任模型，並將技術體系中的安全能力分為基礎雲安全能力與複合雲安全能力，最後給出了業界相關的優秀實踐。

雲端計算安全架構體系

雲端計算整體安全體系包括技術架構、安全流程和人員。從技術架構角度，進而可細分為四層，自底向上分別為基礎安全能力、場景化複合雲安全能力、雲安全框架方法論和架構，以及領域/行業級安全解決方案。這些層次描述分別如下：

雲端計算安全架構體系全景圖

基礎雲安全能力

雲領域較基礎的安全能力，只應對某單一型別的安全風險，如入侵檢測、URL過濾等。

複合雲安全能力

即產品級解決方案，為多種基礎安全能力的聚合，並且基於業務場景做一些變形，旨在應對某單一場景下的多種安全風險，如Gartner提出CWPP、CSPM等。

雲安全框架/方法論/架構

基於業務系統的風險分析和一定方法論，指導如何利用人、流程和技術應對安全風險。詳細內容在第五章論述。

領域/行業級安全解決方案

應對某領域或行業場景化的整體安全解決方案，如：政務雲安全解決方案、多雲安全解決方案等。以安全框架方法論和架構為理論指引，將人、流程和技術(雲基礎能力或場景化複合雲安全能力)進行有機的結合。詳細內容在第六章論述。

雲安全責任模型

雲端計算安全的責任共擔已經成為了行業共識，無論是雲等保標準還是主流公有云服務商都對各方的責任做了明確的劃分[1]。雲安全責任主體方包含雲端計算服務商與雲服務使用者，雙方的責任分擔原則：各主體應根據管理許可權的範圍劃分安全責任邊界，責任邊界之下的屬於雲服務商，邊界之上的屬於雲服務使用者，邊界處由雙方共擔。

雲端計算安全責任模型

安全廠商雖然沒有直接體現在雲安全責任模型上，但責任主體會購買或租用安全廠商的產品、平臺或服務，以承擔起所需的責任時，該責任也全部或部分地轉移到了安全廠商處。在不同場景下，安全廠商的角色是有所不同的。如安全廠商提供的是3.3 服務及方案中SaaS安全服務或運營服務，那麼使用者側全部或大部分的責任則應由安全廠商承擔；而如安全廠商提供的是3.3 服務及方案中安全平臺或安全產品，那麼安全廠商承擔其產品對應的安全能力，而相應的配置與策略、運營則應由雲服務使用者承擔。

基礎雲安全能力

Gartner在2022年提出了網路安全網格架構（CyberSecurity Mesh Architecture，CSMA），這是一種應對高階威脅和複雜場景非常有效的安全架構，其將安全功能拆分成了諸多原子化的安全能力，進而透過控制層編排組合成各種安全產品和方案。無疑雲端計算的敏捷、彈性和編排特性助力CSMA落地。雲端計算環境中的原子化的安全能力，我們稱之為基礎雲安全能力，它們是雲安全的基石。本節將介紹基礎雲安全能力分類，以及給出能力列表與安全框架的對映關係。

1）概述

下面透過領域分類的方式來歸類不同的雲涉及的基礎安全能力，並將安全能力與一些標準安全框架中的安全能力做對應。下述基礎雲安全能力、基礎雲安全能力詳細資訊以及典型廠商安全產品，詳見表1、表2。

表1 雲端計算安全基礎能力目錄與安全框架對映

表2 複合能力與基礎能力的對映

2）基礎雲安全能力分類 

基礎雲安全能力的分類和層級可分為以下型別，如下圖所示：

基礎雲安全能力分類

a) 身份與訪問層安全

雲端計算環境的使用者與程式都有各自身份，透過認證後的憑證訪問應用或服務。身份與訪問層安全覆蓋雲端計算使用者身份管理及雲服務訪問管理領域所需的基礎安全能力，包含：身份安全、訪問安全。

b) 服務層安全

服務層安全覆蓋雲上對外提供業務的服務所需的基礎安全能力，包含：開發安全、應用安全、資料安全、主機安全(含軟體平臺安全)，以及Overlay網路安全。

c) 資源層安全

資源層安全覆蓋雲端計算系統的基礎資源層所需的基礎安全能力，包括：

· 物理資源安全，包含災備、防火、防盜竊和防破壞、防水和防潮、防靜電、電磁防護、電力供應、防雷擊、防震，此部分不是本文重點，不做重點敘述。

· 資源管理平臺安全，包括：雲元件配置核查、雲元件身份安全、雲元件應用安全、雲資源合規檢測、雲元件日誌審計、雲資產發現。

· 基礎硬體與網路安全，包括宿主機安全、 Underlay網路安全，以及儲存裝置安全。

· 虛擬化層安全：防止虛擬機器/容器逃逸等。

d) 安全管理

主要覆蓋安全分析閉環所需的基礎安全能力，包含：態勢感知、資產管理、SOAR/一鍵封堵、漏洞管理、安全推理、異常行為分析、威脅狩獵、威脅情報等。

e) 安全服務

覆蓋安全服務中所需的基礎能力，包含：合規、漏洞應急響應、安全事件檢測與響應、裝置託管、滲透測試、程式碼洩露監測、網際網路資產暴露面核查、暗網核查、網站安全雲防護、網站安全監測、安全配置管理、安全報告。

3）能力目錄與安全框架對映

我們列舉、細化並歸納了基礎雲安全能力，並且將這些能力對映到了業內主流的安全框架，詳見表1。

複合雲安全能力

雲端計算的場景較為複雜，如有私有云、公有云、多雲/混合雲、雲原生和SDWAN等。在各場景下適用的安全產品和安全方案，體現出了多種基礎雲安全能力的組合。本節將介紹這些複合的安全能力，以及與基礎安全能力的關係。

 概述

雲端計算技術的重要特點是彈性、按需和介面化，所以綠盟科技的基礎雲安全能力也體現出這些特點。藉助這些基礎雲安全能力，我們就能構建出多種複雜的安全能力組合，即網路安全服務網格架構，進而為使用者提供可編排的多種安全能力組合，我們稱之為複合雲安全能力。

場景化的複合雲安全能力為多種基礎雲安全能力的聚合，並且基於業務場景做一些變形，旨在應對某一場景下的多種安全風險。下述複合雲安全能力全面描述以及典型廠商安全產品。為保持一致，我們在此借用Gartner對雲安全領域的場景化安全能力的分類。Gartner在2021年前定義了雲安全的全場景核心成為CASB、CWPP、CSPM，隨著雲端計算技術的快速發展，2021年在前面分類的基礎上融合演變出來更多的安全能力子類，如CNAPP、SSPM等。

複合雲安全能力全景圖

 常見的複合雲安全能力

a) 雲訪問安全代理CASB

雲訪問安全代理（Cloud Access Security Broker，CASB）最早是2012年由Gartner提出的概念，Gartner 將CASB市場定義為雲服務所必備的產品和服務，用來解決組織使用雲服務時的安全漏洞，能夠彌補組織使用雲服務時存在的安全缺陷。CASB出現最早是為解決影子資產問題，以及其衍生出的影子IT和BYOD的問題，尤其是隨著SaaS服務的快速發展，從底層硬體資源到上層軟體資源，終端使用者都無法實施控制，因為企業使用者使用了哪些雲服務和用什麼裝置訪問這服務都不受企業管控，從而引發資料洩露等安全問題，而CASB能很好地解決此類問題。

b) 雲工作負載保護平臺CWPP

雲工作負載保護平臺(Cloud Workload Protection Platform，CWPP)為所有型別的工作負載提供以工作負載為中心的安全保護解決方案，包括物理伺服器、虛擬機器(VM)、容器和無伺服器工作負載。CWPP為跨企業內部和雲環境的可視性和保護提供了一個單一的可觀察的視窗。按照重要性的順序，CWPP 包括八個控制層：

· 加固、安全配置與漏洞管理

· 網路防火牆、視覺化以及微隔離

· 系統信任保證

· 應用控制/白名單

· 漏洞利用預防/記憶體保護

· 伺服器工作負載EDR、行為檢測、威脅檢測/響應

· 具有漏洞遮蔽功能的HIPS

· 反惡意軟體掃描

c) 雲安全態勢管理CSPM

雲安全態勢管理（Cloud Security Posture Management，CSPM)可評估雲端計算系統、應用的整體安全態勢，特別是對基礎設施安全配置進行分析與管理。這些安全配置包括賬號特權、網路和儲存配置，以及安全配置（如加密設定）。如果發現配置不合規，CSPM會採取行動進行修正。

d) 雲原生應用防護平臺CNAPP

雲原生應用防護平臺（Cloud-Native Application Protection Platform，CNAPP）結合了雲原生執行時安全與安全左移的開發安全，形成了DevSecOps整個安全閉環。其能夠掃描在開發環境中工作負載以及配置，並且對工作負載實時保護的解決方案。CWPP和CSPM的能力在雲原生環境中合二為一，CNAPP解決方案也以一種兩者混合的形態出現。

e) SaaS管理平臺SMP

SaaS管理平臺（SaaS Management Platform，SMP）使安全管理人員能夠在數字化辦公場景中發現、管理和保護SaaS應用程式。

f) 安全服務邊緣SSE

安全服務邊緣 (Security Service Edge，SSE)為一組以云為中心的整合安全功能，它有助於安全訪問網站、SaaS 應用程式和私有應用程式。SSE 融合了以云為中心的安全功能，以促進對 Web、雲服務和私有應用程式的安全訪問。SSE 功能包括訪問控制、威脅防護、資料安全和安全監控。SSE可對如下功能進行了融合，並將其整合到單一供應商、以云為中心的融合服務中。

· 零信任網路訪問 (ZTNA)

· 安全 Web 閘道器 (SWG)

· 雲訪問安全代理 (CASB)

· 防火牆即服務 (FWaaS)

上述之外還有其他一些雲場景中適用複合安全能力的定義，如下：

g) 網路檢測與響應NDR

網路檢測與響應 (Network Detection&Response，NDR) 是一項新興技術，旨在彌補傳統安全解決方案留下的安全盲點，駭客利用這些盲點在目標網路中立足。檢測響應是基於入侵檢測系統 (IDS) 開發的。IDS 解決方案安裝在網路外圍並監控網路流量是否存在可疑活動。NDR 是減輕 IDS 系統無法保護的缺點的響應。NDR 系統超越了基於簽名的檢測，可以分析進出網路的所有網路流量，並建立正常網路活動的基線。基線稍後用於將當前流量與常規網路活動進行比較，以檢測可疑行為。

NDR 解決方案利用先進技術來檢測新興和未知威脅，例如機器學習和人工智慧 (AI)。使用這些技術允許 NDR 系統將從網路流量收集的資訊轉換為可操作的情報，用於檢測和阻止未知的網路威脅。NDR 解決方案可以獨立於人工監督自動執行，以檢測網路威脅並做出響應。NDR 還可以與現有的安全解決方案（例如 SIEM 和 SOAR）整合，以增強檢測和響應。

h) 擴充的檢測與響應XDR

擴充的檢測與響應（Extended Detection and Response，XDR）是一個基於SaaS化模式，將多源安全遙測資料進行聚合，把原先分散的單點安全能力以原生化方式進行有機融合，以此提升威脅檢測、調查、響應與狩獵能力的系統。用於檢測和處置網路安全風險。

i) 雲基礎設施許可權管理CIEM

雲基礎設施許可權管理(Cloud Infrastructure Entitlements Management，CIEM)方案越來越多地被應用，其旨在打通多雲間的認證授權管理，保障使用者使用雲基礎設施和服務時的最低許可權訪問原則，幫助組織抵禦資料洩露、惡意攻擊以及過多雲許可權帶來的其他風險。

j) 網站雲防護

網站雲防護是以SaaS的方式為客戶Web網站提供安全防護，如綠盟網站雲安全雲防護（WCP）包含的安全防護能力見表3：

表3 網站安全雲防護安全能力列表

k) 網站安全監測

網站安全雲監測是以SaaS的方式為客戶Web網站提供安全監測，及時發現異常現象與惡意攻擊，如綠盟網站安全雲監測（PAWSS）主要包括六個方面內容：資產核查、脆弱性監測、完整性監測、可用性監測、認證檢測、敏感資訊監測。

· 資產核查服務，主要幫助使用者識別違規上線的應用，讓使用者對於外網暴露IP、埠有一個全面的瞭解；

· 脆弱性監測服務，主要幫助使用者發現其網站面臨的安全風險，為其提供專業化的安全建議；

· 完整性監測服務，能夠為使用者甄別出其站點頁面是否發生了惡意篡改，是否被惡意掛馬，是否被嵌入敏感內容等資訊；

· 可用性監測服務，能夠幫助使用者瞭解其站點此時的通斷狀況，延遲狀況；

· 認證監測服務，主要能夠為使用者提供釣魚網站監測的功能。

· 敏感資訊監測服務，可以幫助客戶發現洩露在外網的程式碼資訊，並進行釋出者溯源。

不同場景下的基礎安全能力組合會非常多，因此其他複合雲安全能力此處不一一列舉。

 複合雲安全能力與基礎雲安全能力的對映

我們列舉了常見覆合雲安全能力，它們與前述基礎雲安全能力的對映詳見表2《複合能力與基礎能力的對映》。

業界優秀實踐

作為行業最有影響力的公有云服務商之一，Amazon在雲端計算方面投入時間最久，其公有云Amazon AWS實踐非常成熟，本章我們將以Amazon AWS為例，簡要介紹業界雲服務商在安全架構和安全能力建設方面所做的優秀實踐。

1）AWS責任共擔模型

AWS針對基礎設施服務、容器服務和抽象服務設計了對應的責任共擔模型，以識別AWS和客戶分別承擔的責任，得到了行業的認可。其通用模型如下圖所示，也可認為是經典的雲端計算安全責任共擔模型之一。

在此模型中，AWS負責“雲本身的安全” ，即保護執行所有 AWS 雲服務的基礎設施。該基礎設施由執行 AWS 雲服務的硬體、軟體、網路和裝置組成。

客戶負責“雲內部的安全” ，即由客戶所選的 AWS 雲服務確定。這決定了客戶在履行安全責任時必須完成的配置工作。例如，Amazon Elastic Compute Cloud （Amazon EC2） 等服務被歸類為基礎設施即服務，因此要求客戶負責所有必要的安全配置和管理任務。部署 Amazon EC2 例項的客戶需要負責來賓作業系統（包括更新和安全補丁）的管理、客戶在例項上安裝的任何應用程式軟體或實用工具，以及每個例項上 AWS 提供的防火牆（稱為安全組）的配置。 對於抽象化服務，例如 Amazon S3 和 Amazon DynamoDB，AWS 運營基礎設施層、作業系統和平臺，而客戶透過訪問終端節點儲存和檢索資料。客戶負責管理其資料（包括加密選項），對其資產進行分類，以及使用 IAM 工具分配適當的許可權。

AWS責任共擔模型

2） AWS安全、身份與合規性服務

AWS在整體安全方面，提供瞭如下相關服務：

· 身份與訪問管理：AWS Identity 服務支援使用者安全地批次管理身份、資源和許可權。藉助 AWS，使用者可以為員工和麵向客戶的應用程式提供身份服務，以快速入門並管理工作負載和應用程式的訪問許可權。

· 檢測監測：AWS 透過持續監控使用者雲環境中的網路活動和賬戶行為，來識別威脅。

· 網路和應用程式保護：網路和應用程式保護服務使使用者能夠在組織中的網路控制點強制執行精細的安全策略。AWS 服務可幫助使用者檢查和過濾流量，以防止主機、網路和應用程式級別邊界中發生未經授權的資源訪問。

· 資料保護：AWS 提供的服務幫助使用者保護資料、賬戶和工作負載免受未經授權的訪問。AWS 資料保護服務提供加密、金鑰管理和威脅檢測功能，可以持續監控和保護使用者的賬戶和工作負載。

· 事故響應：分析、調查和快速確定潛在安全問題或可疑活動的根本原因，自動從AWS 資源中收集日誌資料並使用機器學習、統計分析和圖論來構建一組關聯的資料，進行更快、更有效的安全調查。

· 合規性：AWS 讓使用者可以全面瞭解合規狀況，並使用自動合規性檢查（基於使用者的組織遵守的 AWS 最佳實踐和行業標準），持續監控使用者的環境。

表4 AWS安全性、身份與合規性服務

參考文獻

[1] 雲端計算安全責任共擔白皮書,雲端計算開源產業聯盟，https://www.ambchina.com/data/upload/image/20220107/2020%E5%B9%B4%E4%BA%91%E8%AE%A1%E7%AE%97%E5%AE%89%E5%85%A8%E8%B4%A3%E4%BB%BB%E5%85%B1%E6%8B%85%E7%99%BD%E7%9A%AE%E4%B9%A6_%E4%BA%91%E8%AE%A1%E7%AE%97%E5%BC%80%E6%BA%90%E4%BA%A7%E4%B8%9A%E8%81%94%E7%9B%9F.pdf