9月2日，深信服方案專(zhuān)家廣博在信服云《云集技術(shù)學(xué)社》系列直播課上進(jìn)行了《云安全的演進(jìn)與關(guān)鍵技術(shù)能力介紹》的分享，詳細(xì)介紹了云和云安全的演進(jìn)路徑，以及伴隨著路徑帶來(lái)的需求變化和關(guān)鍵技術(shù)能力。

看點(diǎn)一：云與云安全的演進(jìn)路徑

云的演進(jìn)路徑可以從三個(gè)角度來(lái)看待，一是從信息化的角度看，從虛擬化超融合承載部分業(yè)務(wù)系統(tǒng)到整體數(shù)據(jù)中心的云化，再到混合云乃至多云的統(tǒng)一管理。二是從服務(wù)模式的角度看，最初云大多是提供IaaS層面的一些服務(wù)慢慢演變成以容器服務(wù)、數(shù)據(jù)庫(kù)服務(wù)為代表的PaaS服務(wù)，最后演變?yōu)橐蕴峁┸浖榇淼腟aaS服務(wù)。三是從作用的角度上看，云也從IT支撐中心提高到IT服務(wù)中心，目前也在逐步演變?yōu)樘峁┹p量化服務(wù)的創(chuàng)新中心。

與云演進(jìn)路徑相對(duì)應(yīng)的是，云端的安全風(fēng)險(xiǎn)也在逐步發(fā)生變化。除了傳統(tǒng)環(huán)境中已經(jīng)存在的網(wǎng)絡(luò)應(yīng)用數(shù)據(jù)的風(fēng)險(xiǎn)和合規(guī)需求外，云化環(huán)境以及利用虛擬化層漏洞的攻擊和海量不可視的橫向流量均帶來(lái)了新的安全風(fēng)險(xiǎn)。

在云化過(guò)程中，最為重要的是權(quán)責(zé)分離，即明確云服務(wù)商以及云服務(wù)用戶對(duì)各種資源的管理責(zé)任與義務(wù)。

伴隨著對(duì)云計(jì)算概念的逐步的探索，多云安全以及云原生安全也漸漸成為了用戶關(guān)心的重點(diǎn)。這也讓用戶開(kāi)始考慮“適配云化環(huán)境的”安全，也要求用戶在開(kāi)發(fā)階段就將安全考慮其中，即“安全左移”。

為了應(yīng)對(duì)多變的云安全風(fēng)險(xiǎn)，云安全的技術(shù)也在發(fā)生非常大的變化，從最早期關(guān)注主機(jī)的漏洞修復(fù)，逐步擴(kuò)展到針對(duì)云主機(jī)的殺毒。后面隨著云上業(yè)務(wù)越來(lái)越多，安全能力的NFV化和安全能力的平臺(tái)化也逐步成為用戶考慮的重點(diǎn)。此時(shí)就誕生了通過(guò)安全資源池來(lái)實(shí)現(xiàn)對(duì)于NFV組件統(tǒng)一管理的概念。近幾年，因?yàn)榘踩芰?duì)應(yīng)云的演進(jìn)升級(jí)到了多云管理平臺(tái)以及云上的安全開(kāi)發(fā)平臺(tái)，多云安全管理、云原生安全的概念應(yīng)運(yùn)而生。

總的來(lái)說(shuō)，云安全的技術(shù)演進(jìn)路徑可以總結(jié)為兩條，第一個(gè)就是通過(guò)安全能力的演進(jìn)來(lái)解決發(fā)展過(guò)程當(dāng)中的云安全問(wèn)題。第二個(gè)是利用平臺(tái)進(jìn)行納管，實(shí)現(xiàn)對(duì)于整體安全能力的整合。

看點(diǎn)二：云安全需求與關(guān)鍵技術(shù)能力

2017年全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)就提出了GB/T 35279云計(jì)算安全參考架構(gòu)，采用分層形式，清晰地描述出了在云服務(wù)當(dāng)中參與決策的安全責(zé)任和計(jì)算角色、角色安全職責(zé)、安全功能組件以及它們之間的關(guān)系。這個(gè)架構(gòu)適用于指導(dǎo)所有云計(jì)算參與者在進(jìn)行云計(jì)算系統(tǒng)規(guī)劃時(shí)對(duì)安全的評(píng)估與設(shè)計(jì)。

結(jié)合參考架構(gòu)及用戶云發(fā)展的情況，云安全的三大關(guān)鍵需求總結(jié)如下：

1.滿足合規(guī)要求的云計(jì)算平臺(tái)

當(dāng)企業(yè)開(kāi)始建設(shè)云底層平臺(tái)以及部分業(yè)務(wù)遷移上云的時(shí)候，企業(yè)需要的是一個(gè)滿足合規(guī)要求的云計(jì)算平臺(tái)。關(guān)于滿足合規(guī)要求，國(guó)內(nèi)說(shuō)的比較多的是等級(jí)保護(hù)。在等級(jí)保護(hù)中分為四大核心標(biāo)準(zhǔn)，分別是等保的定級(jí)指南、基本要求、安全設(shè)計(jì)技術(shù)要求以及測(cè)評(píng)要求。這4個(gè)標(biāo)準(zhǔn)共同構(gòu)成了等級(jí)保護(hù)2.0標(biāo)準(zhǔn)體系。

在等保的這4個(gè)標(biāo)準(zhǔn)中，它分別解答了用戶最為關(guān)心的4個(gè)問(wèn)題。“等保定級(jí)指南”解答了在云環(huán)境下包含了哪些定級(jí)對(duì)象？這里面包含了云計(jì)算平臺(tái)以及云上的業(yè)務(wù)應(yīng)用系統(tǒng)。“基本要求”回答了在云計(jì)算環(huán)境下，做了哪些具體要求。“安全設(shè)計(jì)技術(shù)要求”解答了在云計(jì)算環(huán)境下如何進(jìn)行系統(tǒng)設(shè)計(jì)以及建設(shè)的問(wèn)題。“測(cè)評(píng)要求”回答了對(duì)于測(cè)評(píng)機(jī)構(gòu)如何開(kāi)展測(cè)評(píng)的問(wèn)題。

對(duì)于黨政機(jī)關(guān)以及涉及到關(guān)鍵信息基礎(chǔ)設(shè)施來(lái)說(shuō)，可能需要重點(diǎn)關(guān)注的是云安全審查，對(duì)應(yīng)的是GB/T 31167-2014《信息安全技術(shù)云計(jì)算服務(wù)安全指南》和GB/T 31168-2014《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》。它的評(píng)估對(duì)象是面向于黨政機(jī)關(guān)以及關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者，對(duì)于他們所使用的云服務(wù)的安全性進(jìn)行審查。對(duì)于云服務(wù)商的征信、經(jīng)營(yíng)基本情況、平臺(tái)的穩(wěn)定性、技術(shù)供應(yīng)鏈安全、安全管理能力以及云平臺(tái)的整體防護(hù)能力等都提出了比較高的要求。

在等級(jí)保護(hù)和云安全審查的兩個(gè)合規(guī)需求推動(dòng)下，在具體的落地時(shí)，合規(guī)能力可拆解為5個(gè)方面。一是安全能力NFV化及它是否適配云化業(yè)務(wù)/租戶；二是云平臺(tái)的南北向安全；三是云平臺(tái)的東西向安全；四是虛擬化層和宿主機(jī)安全；五是云管平臺(tái)安全。

2.滿足業(yè)務(wù)需要的云租戶應(yīng)用安全

隨著云化持續(xù)推進(jìn)，目前的業(yè)務(wù)系統(tǒng)很多都是基于云來(lái)進(jìn)行開(kāi)發(fā)，對(duì)于云安全來(lái)說(shuō)，它需要適配到業(yè)務(wù)的全生命周期各個(gè)階段，重點(diǎn)需要提供的是服務(wù)化編排以及監(jiān)測(cè)運(yùn)營(yíng)的能力。

云租戶有公有云和私有云這兩個(gè)不同的應(yīng)用場(chǎng)景。在私有云場(chǎng)景下，業(yè)務(wù)上線時(shí)需要對(duì)服務(wù)能力進(jìn)行編排。將云安全服務(wù)平臺(tái)作為中間承載平臺(tái)來(lái)實(shí)現(xiàn)的。在北向，云安全服務(wù)平臺(tái)能夠和云管平臺(tái)實(shí)現(xiàn)對(duì)接，提供API目錄被云管平臺(tái)所集成，也就是說(shuō)通過(guò)云管平臺(tái)就可以直接和云安全服務(wù)平臺(tái)進(jìn)行聯(lián)動(dòng)。同時(shí)云安全服務(wù)平臺(tái)還起了承下的作用，通過(guò)和應(yīng)用集成開(kāi)放集成平臺(tái)進(jìn)行對(duì)接，相當(dāng)于直接支持相關(guān)第三方的一些安全能力。云安全服務(wù)平臺(tái)南北向的接口能夠?qū)崿F(xiàn)對(duì)于整體安全的編排。

在運(yùn)行階段，私有云重點(diǎn)在于業(yè)務(wù)運(yùn)行時(shí)監(jiān)測(cè)運(yùn)營(yíng)能力的構(gòu)建，分為三個(gè)方面。第一是統(tǒng)一的安全監(jiān)測(cè)，全面采集云數(shù)據(jù)中心各區(qū)域日志/流量，基于各類(lèi)型模型算子深度關(guān)聯(lián)分析，實(shí)現(xiàn)統(tǒng)一安全監(jiān)測(cè)預(yù)警。第二是策略?xún)?yōu)化統(tǒng)一配置，運(yùn)營(yíng)中心生成處置策略，對(duì)接安全資源池，基于服務(wù)鏈編排模塊管理云內(nèi)或云外安全NFV組件，處置閉環(huán)安全事件。第三是現(xiàn)有建設(shè)有效利用，廣泛適配對(duì)接第三方NFV組件、安全設(shè)備、網(wǎng)絡(luò)設(shè)備，有效利用原有零散安全能力資源。

在公有云場(chǎng)景中，業(yè)務(wù)上線時(shí)重點(diǎn)關(guān)注的是安全配置管理。公有云配置的正確性和安全性，是一大難題，特別是云服務(wù)的采用率不斷增長(zhǎng)，平臺(tái)服務(wù)的復(fù)雜性不斷增加情況下，公有云配置導(dǎo)致的安全與合規(guī)挑戰(zhàn)日益嚴(yán)峻。因此建議公有云采用CSPM（云安全配置管理）。CSPM能夠?qū)A(chǔ)設(shè)施安全配置進(jìn)行分析與管理。這些安全配置包括賬號(hào)特權(quán)、網(wǎng)絡(luò)和存儲(chǔ)配置、以及安全配置（如加密設(shè)置）。如果發(fā)現(xiàn)配置不合規(guī)，CSPM會(huì)采取行動(dòng)進(jìn)行修正。可以將CSPM視為一個(gè)持續(xù)改進(jìn)和適應(yīng)云安全態(tài)勢(shì)的過(guò)程，其目標(biāo)是在配置層面降低攻擊成功的可能性，以及在攻擊者獲得訪問(wèn)權(quán)限的情況下降低發(fā)生的損害。CSPM策略是在云應(yīng)用的整個(gè)生命周期中進(jìn)行持續(xù)評(píng)估和改進(jìn)的一個(gè)策略，從研發(fā)開(kāi)始一直延伸到運(yùn)維，并在需要時(shí)做出響應(yīng)和改進(jìn)。

在業(yè)務(wù)訪問(wèn)時(shí)，則需要CASB（云訪問(wèn)安全代理）發(fā)揮作用。隨著SaaS服務(wù)的快速發(fā)展，從底層硬件資源到上層軟件資源，最終用戶都無(wú)法實(shí)施控制。

CASB主要運(yùn)用的是以下幾個(gè)功能：

1.深度可視化：影子IT發(fā)現(xiàn)、云服務(wù)統(tǒng)一視圖、云服務(wù)用戶信息采集和管理。

2.數(shù)據(jù)安全：實(shí)施以數(shù)據(jù)為中心的安全策略，通過(guò)在數(shù)據(jù)層面的審計(jì)、警報(bào)、阻止、隔離、刪除和只讀等控制措施，實(shí)現(xiàn)云訪問(wèn)過(guò)程的DLP。

3.威脅防護(hù)：提供AAC來(lái)防止有害設(shè)備、用戶和應(yīng)用程序版本來(lái)訪問(wèn)云服務(wù)，一般通過(guò)嵌入式UEBA、威脅情報(bào)、網(wǎng)絡(luò)沙箱以及惡意軟件識(shí)別和緩解。

4.合規(guī)性：幫助組織機(jī)構(gòu)證明和管理云計(jì)算資源使用情況，確定云風(fēng)險(xiǎn)偏好并確定云風(fēng)險(xiǎn)承受能力，有助于滿足數(shù)據(jù)駐留和法律合規(guī)性要求。

在公有云場(chǎng)景下，在業(yè)務(wù)上線以及業(yè)務(wù)訪問(wèn)過(guò)程當(dāng)中，安全的能力已經(jīng)實(shí)現(xiàn)。但目前在SaaS的這種環(huán)境下，用戶更多的時(shí)候需要云服務(wù)商通過(guò)SaaS化來(lái)交付安全的能力，因此就出現(xiàn)了SASE。

3.面向未來(lái)的多云和云原生安全

云目前已成為新型基礎(chǔ)設(shè)施，企業(yè)從優(yōu)化資源、提升效能出發(fā)會(huì)選擇各類(lèi)云服務(wù)。從“應(yīng)用上云”到“應(yīng)用生于云、長(zhǎng)于云”，云原生應(yīng)用快速爆發(fā)。也因此云安全需要適配多云和云原生場(chǎng)景，應(yīng)對(duì)新場(chǎng)景安全挑戰(zhàn)，實(shí)現(xiàn)資產(chǎn)、配置、態(tài)勢(shì)的統(tǒng)一管理運(yùn)營(yíng)。

多云環(huán)境

在多云環(huán)境下，對(duì)于用戶來(lái)講首先需要面對(duì)的一個(gè)問(wèn)題就是在多云環(huán)境下的資產(chǎn)管理。多云環(huán)境中，業(yè)務(wù)類(lèi)型更多樣，變化更頻繁。同時(shí)業(yè)務(wù)和安全管理責(zé)任人更廣泛，權(quán)限更難梳理。在這種情況下，如何將業(yè)務(wù)和安全管理更好地進(jìn)行結(jié)合

首先需要構(gòu)建一個(gè)統(tǒng)一的資源安全中心，統(tǒng)一管理多云資產(chǎn)當(dāng)中的配置風(fēng)險(xiǎn)，資產(chǎn)風(fēng)險(xiǎn)以及資產(chǎn)的各類(lèi)訪問(wèn)權(quán)限。

其次針對(duì)各類(lèi)云平臺(tái)安全配置差異大、配置項(xiàng)復(fù)雜、存在安全風(fēng)險(xiǎn)和合規(guī)挑戰(zhàn)的問(wèn)題，通過(guò)云安全配置管理（CSPM）功能，解決多云場(chǎng)景下控制平面的挑戰(zhàn)。

另外還可利用云安全服務(wù)平臺(tái)CSPM功能，掃描比對(duì)各個(gè)云平臺(tái)上各類(lèi)型業(yè)務(wù)，自動(dòng)化適配和制定合規(guī)管理模板，實(shí)現(xiàn)面向多云環(huán)境的統(tǒng)一自動(dòng)化動(dòng)態(tài)合規(guī)管理。

最后針對(duì)多云的安全策略管理，分為事前、事中、事后三個(gè)階段。事前需要通過(guò)云安全服務(wù)平臺(tái)和各個(gè)的云平臺(tái)云管實(shí)現(xiàn)對(duì)接，管理不同云平臺(tái)內(nèi)整體的安全組件。同時(shí)云安全服務(wù)平臺(tái)對(duì)接云平臺(tái)原生安全組件，通過(guò)內(nèi)置策略模板校驗(yàn)策略安全性，集中調(diào)整安全配置，避免合規(guī)風(fēng)險(xiǎn)。事中重點(diǎn)在于事件和流量的統(tǒng)一的收集、態(tài)勢(shì)分析以及呈現(xiàn)。事后基于風(fēng)險(xiǎn)事件定位，利用云編排響應(yīng)功能下發(fā)網(wǎng)絡(luò)、主機(jī)、配置編排策略，下發(fā)各類(lèi)型安全控制點(diǎn)執(zhí)行，反饋處置結(jié)果，實(shí)現(xiàn)多云安全事件處置閉環(huán)。

云原生環(huán)境

在云原生環(huán)境下，首先需要厘定云原生安全的定義和范圍。云原生的代表技術(shù)包括容器、服務(wù)網(wǎng)格、微服務(wù)、不可變基礎(chǔ)設(shè)施和聲明式API。云原生技術(shù)有利于各組織在公有云、私有云和混合云等新型動(dòng)態(tài)環(huán)境中，構(gòu)建和運(yùn)行可彈性擴(kuò)展的應(yīng)用。云原生安全所保護(hù)的對(duì)象，是指以容器技術(shù)為基礎(chǔ)底座，以DevOps、面向服務(wù)等云原生理念進(jìn)行開(kāi)發(fā)并以微服務(wù)等云原生架構(gòu)構(gòu)建的業(yè)務(wù)系統(tǒng)共同組成的信息系統(tǒng)。

云原生安全主要還是以容器安全技術(shù)作為整體底座來(lái)保護(hù)云原生業(yè)務(wù)應(yīng)用。

此外，云原生業(yè)務(wù)存在大量API發(fā)布和對(duì)外訪問(wèn)交互，還需要針對(duì)API場(chǎng)景進(jìn)行持續(xù)的監(jiān)測(cè)和防護(hù)。目前應(yīng)用比較多的是通過(guò)API的整體安全網(wǎng)關(guān)，匹配云原生場(chǎng)景下的API的安全監(jiān)測(cè)和防護(hù)能夠?qū)τ谙駱?biāo)準(zhǔn)的一些API的格式進(jìn)行解析。同時(shí)需要識(shí)別和防護(hù)SQL、XSS等注入攻擊，針對(duì)防護(hù)重放、篡改等攻擊形式實(shí)現(xiàn)阻斷。另外API安全網(wǎng)關(guān)還需要考慮一個(gè)功能，就是針對(duì)于后端資產(chǎn)的發(fā)現(xiàn)和校驗(yàn)?；谡?qǐng)求方的身份權(quán)限來(lái)進(jìn)行調(diào)用，實(shí)現(xiàn)對(duì)于API的整體的一個(gè)限流和審計(jì)。為了提高API的監(jiān)測(cè)和防護(hù)能力，還會(huì)使用語(yǔ)義識(shí)別和機(jī)器學(xué)習(xí)等一些新技術(shù)，增強(qiáng)防御能力，降低檢測(cè)誤報(bào)。