[[333521]]

本文轉(zhuǎn)載自微信公眾號「新鈦云服」，作者王愛華  。轉(zhuǎn)載本文請聯(lián)系新鈦云服公眾號。

01.混合云架構(gòu)下的安全風(fēng)險分析

1. 混合云架構(gòu)下的安全風(fēng)險分析

企業(yè)混合云環(huán)境，一般包括一個或多個公有云廠商以及自建的私有云平臺，從信息安全風(fēng)險管理角度來看，實施混合云涉及到IT基礎(chǔ)架構(gòu)和應(yīng)用架構(gòu)的重大變更，因此需要重新進行風(fēng)險評估?；旌显骗h(huán)境下需要考慮到的安全風(fēng)險包括：

• 公有云廠商及其安全服務(wù)的選擇
• 私有云安全防護能力建設(shè)
• 混合云環(huán)境下的服務(wù)器、容器、無服務(wù)器應(yīng)用安全
• 混合云環(huán)境下的數(shù)據(jù)安全
• 統(tǒng)一的混合云安全管理和運營平臺
• 統(tǒng)一的混合云運維管理通道
• 混合云環(huán)境下的安全合規(guī)需求

云原生安全產(chǎn)品的選擇

1.1 公有云廠商及其安全服務(wù)的選擇

1) 公有云廠商是否具備合適的認證資質(zhì)

認證資質(zhì)體現(xiàn)了公有云服務(wù)商自身在信息安全管理、云平臺基礎(chǔ)架構(gòu)管理、安全運維和運營、用戶個人信息保護、特定行業(yè)領(lǐng)域安全保障、災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性管理及法律合規(guī)風(fēng)險等方面的服務(wù)能力。

如果企業(yè)上云業(yè)務(wù)涉及到用戶信用卡支付，則需要提供基礎(chǔ)架構(gòu)服務(wù)的公有云廠商具備PCI DSS認證資質(zhì);如果企業(yè)上云業(yè)務(wù)需要通過國家等級保護認證，則需要需要提供基礎(chǔ)架構(gòu)服務(wù)的公有云廠商具備不低于企業(yè)應(yīng)用系統(tǒng)等保定級級別的網(wǎng)絡(luò)安全等級保護資質(zhì)。因此企業(yè)需根據(jù)自身單位性質(zhì)，行業(yè)要求，業(yè)務(wù)模式和具體安全需求選擇合適的公有云廠商。

公有云廠商申請的常見安全資質(zhì)包括：ISO 20000(IT服務(wù)管理體系)，ISO 27001認證(信息安全管理體系)，ISO 22301(業(yè)務(wù)連續(xù)性管理)，ISO 27017(云計算信息安全)，ISO 27018(公有云個人身份信息安全防護)，CSA STAR金牌認證(BSI+CSA云安全認證)，ITSS(工信部云計算服務(wù)能力評估)(1級)網(wǎng)絡(luò)安全等級保護(3級，4級)，可信云服務(wù)認證資質(zhì)等。

一般來說，公有云廠商擁有的資質(zhì)種類多少，某種程度上表明其對云平臺基礎(chǔ)建設(shè)和保障、用戶服務(wù)、信息安全和法律法規(guī)遵循性方面的重視，從而能夠為云租戶提供更好的運維和安全服務(wù)。

2) 公有云廠商是否能夠提供企業(yè)需要的安全服務(wù)項目

不同公有云廠商由于戰(zhàn)略目標(biāo)和業(yè)務(wù)發(fā)展規(guī)劃不同，在信息安全理念、安全團隊、安全技術(shù)能力沉淀、安全軟硬件產(chǎn)品線等方面也存在差別，因此對外提供的安全產(chǎn)品和安全服務(wù)內(nèi)容也會不一樣。如阿里云的IDaaS可以為混合云應(yīng)用提供統(tǒng)一的身份認證和授權(quán)管理，騰訊云防病毒引擎服務(wù)可以對用戶上傳文件進行安全掃描等，但并非所有的公有云廠商均可提供類似的安全服務(wù)。

因此企業(yè)選擇公有云廠商之前，應(yīng)預(yù)先通過公有云廠商網(wǎng)站對其能夠提供的安全產(chǎn)品和安全服務(wù)進行全面了解，并根據(jù)自身的業(yè)務(wù)安全風(fēng)險、安全需求和安全技術(shù)經(jīng)驗，初步規(guī)劃后續(xù)需要使用的安全產(chǎn)品和安全服務(wù)，對可能使用到的一些安全產(chǎn)品或安全服務(wù)內(nèi)容存在疑問時，應(yīng)積極和公有云廠商或其服務(wù)代理商進行深入溝通，比如支持的數(shù)據(jù)庫類型，是否提供網(wǎng)絡(luò)層的流量入侵檢測服務(wù)，是否提供虛擬化補丁服務(wù)，是否提供統(tǒng)一的安全管理平臺等，以便后續(xù)有需求時能夠確保選擇的公有云廠商可以提供需要的服務(wù)能力。

3) 公有云廠商安全服務(wù)協(xié)議和SLA是否滿足自身安全需求

上云企業(yè)應(yīng)仔細檢查公有云廠商提供的各類安全服務(wù)協(xié)議和SLA內(nèi)容，確認是否滿足自身的安全基線、安全檢查、安全審計、安全合規(guī)、事件處理、災(zāi)難恢復(fù)時的服務(wù)要求。

1.2 私有云安全防護能力建設(shè)

1) 私有云產(chǎn)品選型

國內(nèi)私有云解決方案包括商業(yè)性質(zhì)的VMware vCloud Suite產(chǎn)品 ，以及基于開源云計算管理平臺Openstack進行二次開發(fā)的多家私有云廠商產(chǎn)品，如EaskStck，青云等。與此同時，不少公有云廠商也推出了自己的混合云解決方案，包括華為云Stack、阿里云Apsara Stack、騰訊云TCE、AWS Outposts、Azure Stack等，以幫助企業(yè)用戶解決私有云產(chǎn)品選型，并可通過一致的產(chǎn)品和服務(wù)控制臺統(tǒng)一管理企業(yè)混合云，同時進一步提升自己的公有云市場占比。

2) 如何構(gòu)建私有云安全能力

企業(yè)自建私有云時，應(yīng)同時考慮私有云平臺的自身安全性以及可以提供給云租戶的安全服務(wù)內(nèi)容，私有云安全能力和私有云產(chǎn)品的最終選型緊密相關(guān)。

私有云安全體系建設(shè)包括整體網(wǎng)絡(luò)架構(gòu)設(shè)計、安全硬件設(shè)備部署、服務(wù)器硬件安全加固(安全引導(dǎo)技術(shù)如TPM，UEFI等)、網(wǎng)絡(luò)設(shè)備安全、操作系統(tǒng)安全、通信安全、統(tǒng)一身份認證和授權(quán)、應(yīng)用安全、中間件安全、存儲和數(shù)據(jù)安全、API安全等多方面內(nèi)容。如使用原生openstack自建私有云，可參考https://docs.openstack.org/security-guide/進行安全檢查和安全加固，如使用第三方廠商的私有云解決方案，需要參考廠商提供的私有云平臺安全要求進行檢查和加固。

對于為租戶提供的安全服務(wù)，使用openstack構(gòu)建的私有云，可考慮集成一些安全開源軟件(如pfsense，VeryNginx等)實現(xiàn)基本的防火墻和WAF安全服務(wù)。

傳統(tǒng)的國內(nèi)外硬件安全廠商(如綠盟，山石網(wǎng)科等)也開始提供軟件化的安全產(chǎn)品和服務(wù)，通過軟件定義安全SDS架構(gòu)，可以提供相應(yīng)的API和openstack等私有云平臺進行集成，實現(xiàn)防火墻、負載均衡、入侵檢測、入侵防御、WAF等安全功能集中管控的同時，也可為租戶提供所需的安全服務(wù)。也有一些硬件安全廠商(如深信服，天融信等)，通過超融合系統(tǒng)設(shè)備，直接在私有云環(huán)境中整合自身的各類安全產(chǎn)品，為租戶提供一體化安全服務(wù)。

相對而言更具競爭力的是那些推出混合云解決方案的公有云廠商，基于其自身公有云安全建設(shè)和安全服務(wù)經(jīng)驗，也許可以為私有云租戶提供更加合適、可靠的安全產(chǎn)品和安全服務(wù)能力。

因此對于混合云環(huán)境下的私有云安全能力建設(shè)，企業(yè)需要在傳統(tǒng)安全廠商和公有云廠商的安全產(chǎn)品解決方案中做出艱難抉擇。

1.3 混合云環(huán)境下的服務(wù)器、容器、無服務(wù)器應(yīng)用安全

混合云環(huán)境下,企業(yè)業(yè)務(wù)運行的支撐環(huán)境包括服務(wù)器、容器或無服務(wù)器應(yīng)用(如AWS上基于事件驅(qū)動的Lambda函數(shù))，這些業(yè)務(wù)運行環(huán)境的安全是企業(yè)需要重點考慮的安全問題。Gartner在 17 年提出了云工作負載安全平臺CWPP (Cloud Workload Protection Platforms)的概念，主要就是致力于解決云環(huán)境下業(yè)務(wù)運行環(huán)境的安全性問題。根據(jù)產(chǎn)品聚焦的不同安全內(nèi)容，CWPP產(chǎn)品又可細分為以下7類：

• 支持多種類型操作系統(tǒng)功能
• 漏洞掃描，配置和合規(guī)性功能
• 基于身份的細分，可見性和控制能力
• 應(yīng)用程序控制/所需的狀態(tài)執(zhí)行功能
• 服務(wù)器EDR，工作負載行為監(jiān)控和威脅檢測/響應(yīng)功能
• 容器和Kubernetes保護功能
• 無服務(wù)器保護功能

混合云環(huán)境下，企業(yè)應(yīng)根據(jù)自身業(yè)務(wù)系統(tǒng)實際運行環(huán)境，如操作系統(tǒng)類型，是否使用容器，是否使用k8s，是否使用無服務(wù)器應(yīng)用，是否有合規(guī)需求等，選擇合適的CWPP產(chǎn)品。此類產(chǎn)品包括青藤云、安全狗、阿里云等多家獨立安全廠商或公有云廠商產(chǎn)品。需要特別注意的是，選擇的CWPP產(chǎn)品是否支持或如何支持混合云方式部署，以便后續(xù)的統(tǒng)一管理和維護。

1.4 混合云環(huán)境下的數(shù)據(jù)安全

其實不管是混合云環(huán)境，還是傳統(tǒng)IDC環(huán)境，數(shù)據(jù)安全都是信息安全的重中之重。

混合云環(huán)境下，企業(yè)數(shù)據(jù)會同時在公有云和私有云中傳輸和存儲，從而增加了數(shù)據(jù)被監(jiān)聽竊取或被篡改的風(fēng)險。因此公有云廠商一般都會提供數(shù)據(jù)加密、密鑰管理、敏感數(shù)據(jù)發(fā)現(xiàn)、敏感數(shù)據(jù)脫敏、數(shù)據(jù)庫審計、數(shù)據(jù)庫防火墻等安全技術(shù)和安全服務(wù)以保護云租戶的數(shù)據(jù)安全。

另一方面，由于公有云廠商自身也會出現(xiàn)如服務(wù)器宕機或服務(wù)中斷事件，從而導(dǎo)致云租戶數(shù)據(jù)丟失的事件也有發(fā)生，所以實際操作過程中，大多數(shù)企業(yè)仍然傾向于劃分公有云環(huán)境和私有云環(huán)境為不同安全等級(或信任級別)的區(qū)域，公有云環(huán)境更多用于部署業(yè)務(wù)前端應(yīng)用并按需擴展，業(yè)務(wù)敏感數(shù)據(jù)仍然選擇在企業(yè)可控的私有云環(huán)境進行存儲。

一些傳統(tǒng)數(shù)據(jù)安全廠商(如美創(chuàng)，昂凱科技等)也已推出自己的混合云數(shù)據(jù)安全解決方案，涉及數(shù)據(jù)庫運維管理平臺，數(shù)據(jù)庫審計系統(tǒng)，數(shù)據(jù)庫脫敏系統(tǒng)，數(shù)據(jù)庫防火墻，數(shù)據(jù)庫加密系統(tǒng)等多種軟硬件產(chǎn)品。

對于企業(yè)信息安全或者是數(shù)據(jù)安全管理部門而言，混合云場景下的數(shù)據(jù)安全仍應(yīng)遵循數(shù)據(jù)全生命周期安全管理理念，需要對公司各類數(shù)據(jù)進行梳理和分類分級，從數(shù)據(jù)生成和采集，數(shù)據(jù)傳輸，數(shù)據(jù)存儲，數(shù)據(jù)處理，數(shù)據(jù)交換，數(shù)據(jù)備份和恢復(fù)，數(shù)據(jù)銷毀整個生命周期進行風(fēng)險評估，選擇和實施適合混合云場景的數(shù)據(jù)安全技術(shù)、數(shù)據(jù)安全產(chǎn)品和安全管理措施，從而真正保障企業(yè)數(shù)據(jù)安全的同時，也可以滿足企業(yè)需要遵循的各類數(shù)據(jù)安全標(biāo)準(zhǔn)、法律法規(guī)和行業(yè)合規(guī)要求。

1.5 統(tǒng)一的混合云安全管理和運營平臺

混合云架構(gòu)下的信息安全運維和運營管理涉及到公有云和私有云環(huán)境中的多種安全產(chǎn)品和安全實現(xiàn)技術(shù)，從信息安全管理部門的運維和運營效率，以及安全管理的一致性體驗角度考慮，需要可以通過一個統(tǒng)一的安全管理平臺實現(xiàn)集中化管理。

如果選擇公有云廠商提供的私有云安全解決方案，廠商通常會提供統(tǒng)一的安全管理平臺實現(xiàn)對公有云和私有云安全設(shè)備和安全服務(wù)的集中管理。

對于一些安全產(chǎn)品線較為完善的硬件安全廠家(如綠盟，深信服等)，也會推出基于自有安全設(shè)備的混合云安全解決方案。通過在公有云環(huán)境開辟一個單獨的安全管理區(qū)域，部署自有各類軟硬件安全產(chǎn)品來替換公有云廠商提供的防火墻、WAF、DDOS、堡壘機、入侵檢測設(shè)備、漏洞掃描系統(tǒng)、日志審計等安全服務(wù)，同時在私有云環(huán)境同樣部署一套類似環(huán)境，實現(xiàn)對自有安全產(chǎn)品的統(tǒng)一管理。此類解決方案通常實施成本較高，存在重復(fù)部署問題，同時安全防護能力依賴于廠商現(xiàn)有的安全軟硬件產(chǎn)品體系完善程度，不一定能夠真正滿足企業(yè)的實際安全需求。

如果選擇原生Openstack或基于openstack二次開發(fā)的私有云平臺，如需實現(xiàn)統(tǒng)一的混合云安全管理平臺，就會涉及公有云廠商安全服務(wù)API接入開發(fā)，所選硬件安全廠商提供的安全API接入開發(fā)，甚至需要硬件安全廠商的二次支持開發(fā)，目前來看，開發(fā)工作量和實現(xiàn)難度很大。

1.6 統(tǒng)一的混合云運維管理通道

對運維人員來說，混合云架構(gòu)意味著需要在一個或多個公有云環(huán)境和私有云環(huán)境分別進行系統(tǒng)安裝、服務(wù)部署、應(yīng)用發(fā)布及日常的更新維護工作。針對私有云環(huán)境進行運維時，需要登錄公司內(nèi)部堡壘機進行操作，針對公有云環(huán)境進行運維時，需要登錄公有云廠商提供的管理平臺進行操作。同時對于公司安全管理部門來說，也需要在多點部署安全設(shè)備或安全工具，實現(xiàn)運維賬號和運維權(quán)限管理，用戶登錄和操作日志審計等方面的安全管理工作。

混合云環(huán)境下，運維或安全管理部門，可選擇一款多云管理平臺(如新鈦云服提供的TiOps多云管理平臺等)，運維人員可以通過統(tǒng)一的平臺入口，實現(xiàn)多云資源(包括公有云、私有云、物理機和容器)管理、自動化運維、k8s管理、公有云成本管理、CMDB、監(jiān)控告警等運維工作，同時實現(xiàn)用戶角色和權(quán)限管理、用戶登錄和操作審計及回放等安全功能。

1.7 混合云環(huán)境下的安全合規(guī)需求

不同類型的信息安全法律法規(guī)條款或安全合規(guī)認證內(nèi)容，都是基于其關(guān)心的安全目標(biāo)和定義的安全檢查對象，通過具有不同安全側(cè)重點和不同安全要求的多個檢查項，對信息系統(tǒng)及其支撐、運行環(huán)境進行安全檢查、測試和審計，以確認信息系統(tǒng)及其支撐運行環(huán)境中，采取的各類安全措施是否符合需要的安全要求?；旌显骗h(huán)境的合規(guī)檢查對象，一般都會涉及公有云廠商基礎(chǔ)架構(gòu)、公有云業(yè)務(wù)、私有云平臺和私有云業(yè)務(wù)。

比如混合云環(huán)境下的等保2.0合規(guī)認證，需要分別考慮公有云環(huán)境和私有云環(huán)境下的等保合規(guī)問題。對于公有云業(yè)務(wù)，首先要求作為提供基礎(chǔ)設(shè)施服務(wù)(云計算平臺)的公有云廠商，必須具備不低于應(yīng)用系統(tǒng)等保定級級別的網(wǎng)絡(luò)安全等級保護資質(zhì)，然后再對企業(yè)的公有云業(yè)務(wù)(云租戶信息系統(tǒng))進行等保測評工作。對于自建私有云業(yè)務(wù)，也是首先需要對云計算平臺進行定級和測評，然后再對私有云用戶業(yè)務(wù)系統(tǒng)(云租戶信息系統(tǒng))進行定級測評，同樣需要私有云平臺的安全保護等級不低于其所支撐的業(yè)務(wù)系統(tǒng)的最高等級。

類似地，混合云環(huán)境下的應(yīng)用系統(tǒng)如果計劃申請PIC-DSS認證、需要滿足歐盟GDPR數(shù)據(jù)保護條例等合規(guī)或法律要求時，也是需要提供基礎(chǔ)架構(gòu)服務(wù)的公有云廠商具備相應(yīng)的PCI-DSS認證資質(zhì)、符合GDRP合規(guī)要求，同時對私有云基礎(chǔ)架構(gòu)(云計算平臺)和用戶業(yè)務(wù)系統(tǒng)(包括公有云和私有云上的云租戶信息系統(tǒng))進行對應(yīng)的合規(guī)性檢測。

因此混合云環(huán)境下，企業(yè)需要根據(jù)自身合規(guī)需要，選擇具有對應(yīng)資質(zhì)的公有云廠商，同時根據(jù)不同合規(guī)檢查項，對自建私有云平臺進行安全自查、安全加固或安全整改，以確保私有云平臺和運行的用戶業(yè)務(wù)系統(tǒng)符合合規(guī)要求。

1.8 云安全產(chǎn)品的選擇

混合云環(huán)境下，許多傳統(tǒng)的安全理念、安全產(chǎn)品和安全解決方案已經(jīng)不再適合，或者說是不能有效解決混合云環(huán)境下產(chǎn)生的各類安全風(fēng)險問題。與此同時，業(yè)界對云安全的研究，也促進了不少新的，更加適合云環(huán)境的安全理念、安全模型、云原生安全產(chǎn)品和針對性的混合云安全解決方案，比如gartner推薦的多種安全技術(shù)，包括多云管理平臺，云工作保護平臺(CWPP)，云訪問安全代理(CASB)，云安全配置管理(CSPM)，零信任安全解決方案(SDP)等等。

對于計劃或已經(jīng)采用混合云架構(gòu)的企業(yè)安全管理、安全技術(shù)人員，特別是安全架構(gòu)師而言，需要不斷跟進最前沿的云安全技術(shù)，熟悉不同的云安全產(chǎn)品功能和特性，以及水平參差不齊的混合云安全解決方案，同時結(jié)合企業(yè)自身的業(yè)務(wù)特性、安全目標(biāo)和實際風(fēng)險情況，進行測試并謹慎選擇合適的云安全服務(wù)、云安全產(chǎn)品或混合云安全解決方案，這同樣是一件具有很大挑戰(zhàn)性和很高風(fēng)險的任務(wù)。

02.混合云安全解決方案建議

考慮到混合云環(huán)境下安全服務(wù)、安全技術(shù)、安全產(chǎn)品、安全平臺、安全合規(guī)等安全風(fēng)險的復(fù)雜性，建議企業(yè)在規(guī)劃、構(gòu)建和實施混合云架構(gòu)時，可以使用第三方云服務(wù)商的安全咨詢服務(wù)(如新鈦云服等)，從專業(yè)角度幫助企業(yè)了解不同公有云廠商、公有云產(chǎn)品和服務(wù)、私有云平臺選型、私有云安全能力建設(shè)以及不同混合云安全解決方案的優(yōu)缺點、適用場景、實施成本等，以減少混合云選型、落地實施及后續(xù)運維運營管理等多方面的安全問題。

合理的混合云安全解決方案，仍然應(yīng)該遵循最基本的安全建設(shè)理念，即合理的安全規(guī)劃，分階段進行實施，關(guān)注和防范重點風(fēng)險。從實際項目經(jīng)驗來看，我們建議混合云安全解決方案大體可以分四個階段進行實施：

第一階段：混合云安全架構(gòu)調(diào)研、測試、規(guī)劃和實施。包括公有云服務(wù)商及公有云安全服務(wù)的測試和選型，私有云平臺選型、私有云安全解決方案的測試和選型，統(tǒng)一的混合云安全管理平臺等;

第二階段： 混合云架構(gòu)下的基礎(chǔ)安全防范和服務(wù)能力建設(shè)。一般需要包括FW、WAF、CWPP、數(shù)據(jù)庫審計服務(wù)或產(chǎn)品、多云管理平臺等，以至少覆蓋網(wǎng)絡(luò)層安全、主機/容器安全、應(yīng)用層安全、數(shù)據(jù)安全和運維通道的安全管理，從而構(gòu)建基本的縱深安全防范體系;

圖一：混合云基礎(chǔ)安全/加強安全防范和服務(wù)能力

第三階段：根據(jù)企業(yè)自身業(yè)務(wù)特性，加強重點風(fēng)險防范能力。如針對游戲業(yè)務(wù)的抗DDOS服務(wù)、基于SDK的安全解決方案，針對電商行業(yè)的風(fēng)控平臺和數(shù)據(jù)安全解決方案等，需要重點考慮。

第四階段：適合企業(yè)混合云具體應(yīng)用特性的安全強化,日常安全運維運營及安全合規(guī)工作。如針對SaaS業(yè)務(wù)的CASB產(chǎn)品，對高安全要求應(yīng)用考慮實施SDP解決方案，敏感數(shù)據(jù)自動發(fā)現(xiàn)和動態(tài)脫敏，統(tǒng)一的安全中心和合規(guī)工作等。

信息安全本身就是一個不斷進化的動態(tài)過程，不可能一蹴而就，也不存在百分百的安全保障。如何科學(xué)的構(gòu)建和管理混合云安全，需要更多的風(fēng)險評估、安全管理、安全研究、安全運營、安全開發(fā)等多方經(jīng)驗的總結(jié)和交流，也非常歡迎各位就混合云安全涉及到的方方面面多多交流!