云安全相关技术介绍

1. 概述

随着云计算逐渐成为主流,云安全也获得了越来越多的关注,传统和新兴的云计算厂商以及安全厂商均推出了大量云安全产品。但是,与有清晰定义的“云计算”(NIST SP 800-145和ISO/IEC 17788)不同,业界对“云安全”从概念、技术到产品都还没有形成明确的共识。

从发展的脉络分析,“云安全”相关的技术可以分两类:

  • 一类为使用云计算服务提供防护,即使用云服务时的安全(security for using the cloud),也称云计算安全(Cloud Computing Security),一般都是新的产品品类;
  • 一类源于传统的安全托管(hosting)服务,即以云服务方式提供安全(security provided from the cloud),也称安全即服务(Security-as-a-Service, SECaaS),通常都有对应的传统安全软件或设备产品。

云安全相关技术介绍_第1张图片

“安全即服务”和“云计算安全”这两类“云安全”技术的重合部分,即以云服务方式为使用云计算服务提供防护。

1.1 云计算安全

基于云计算的服务模式、部署模式和参与角色等三个维度,美国国家标准技术研究院(NIST)云计算安全工作组在2013年5月发布的《云计算安全参考架构(草案)》给出了云计算安全参考架构(NCC-SRA,NIST Cloud Computing Security Reference Architecture)。

NIST云计算安全参考架构的三个构成维度:

  • 云计算的三种服务模式:IaaS、PaaS、SaaS

  • 云计算的四种部署模式:公有、私有、混合、社区

  • 云计算的五种角色:提供者、消费者、代理者、承运者、审计者
    云安全相关技术介绍_第2张图片
    作为云服务的使用者,企业需要关注的以下几个子项的安全:

  • 管理对云的使用
    配置:调配各种云资源,满足业务和合规要求
    可移植性和兼容性:确保企业数据和应用在必要时安全地迁移到其他云系统生态
    商务支持:与云服务提供商的各种商务合作和协调
    组织支持:确保企业内部的策略和流程支持对云资源的管理和使用

  • 云生态系统统筹
    支持云服务提供商对计算资源的调度和管理

  • 功能层
    包括网络、服务器、存储、操作系统、环境设置、应用功能等,不同服务模式下企业能够控制的范围不同

使用不同模式的云服务(IaaS、PaaS或SaaS)时,企业对资源的控制范围不同,有不同的安全责任边界,因此需要明确自己的责任边界,适当部署对应的安全措施。根据国家标准 GB/T 31167-2014《信息安全技术-云计算服务安全指南》规定,企业用户的控制范围主要在于虚拟化计算资源、软件平台和应用软件。

云安全相关技术介绍_第3张图片
具体的责任分配可参考微软《云计算中的共担责任》中的说明,如下图。

云安全相关技术介绍_第4张图片

1.2 安全即服务

传统上,有些企业会选择安全代管服务(Managed Security Service,MSS),将设备管理、配置、响应和维护等安全相关的工作外包给专业服务厂商(Managed Security Service Provider,MSSP),以减轻企业IT和安全部门在信息安全方面的压力。随着技术和网络的发展,部分专业安全厂商开始采取类似的策略,不再向客户出售独立的安全软件和设备,而是直接通过网络为企业提供相应的安全托管服务(hosted security service):企业只需要负责配置和管理自身的安全策略和规则等工作,而不用涉及软硬件的安装和升级维护等。

在云计算技术逐渐成熟以后,安全托管服务即由厂商通过云服务平台提供;同时,也出现了一些直接通过云服务提供的其他安全技术和产品,统称安全即服务。按照云安全联盟(CSA,Cloud Security Alliance)发布的《云计算关键领域安全指南》(第四版,2017年7月)中介绍,SECaaS共有12类:

  1. 身份,授权和访问管理服务
  2. 云访问安全代理
  3. Web安全
  4. Email安全
  5. 安全评估
  6. Web应用防火墙
  7. 入侵检测/防御
  8. 安全信息和事件管理(SIEM)
  9. 加密和密钥管理
  10. 业务连续性和灾难恢复(BC/DR)
  11. 安全管理
  12. 分布式拒绝服务保护

与传统安全产品相比,SECaaS产品有诸多优势:

  • 快速部署,即买即用。企业不需要采购软件和硬件,在获得相应安全服务的授权后,经过简单配置即可使用。
  • 自动升级,免于维护。云端服务永远处于最新状态,企业不需要配备人员对安全设备和软件进行版本升级和日常维护。
  • 按需采购,灵活扩张。企业可以按当前的使用人数采购必须的安全功能,并根据需求变动随时增加或减少。
  • 支持移动,访问便捷。以云服务方式提供后,安全功能可以覆盖移动用户,扩大受保护的边界。

2. 云安全相关的主要场景

根据企业对云计算服务的使用情况,云安全相关的主要场景可分为5大类,这里分别介绍比较有代表性的技术:

  • 云计算安全
    租用虚拟硬件资源(IaaS),提供对外业务或内部应用
    使用云服务(PaaS或SaaS)构建内部应用
    私有云

  • 安全即服务
    集成云服务解决业务和应用中的安全挑战
    使用云服务替代传统安全设备和方案

2.1 云计算安全

2.1.1 租用虚拟硬件资源(IaaS)

租用云服务器等虚拟硬件资源是云计算服务的最基本模式,也是企业需要承担最多安全责任的模式。除了确认云上业务应用本身的安全性,企业在规划租用虚拟硬件资源时,应该从三个方面分别考察相关安全技术和产品:虚拟硬件基础设施、应用底层架构和对外业务保障。这里将分别介绍11种主要技术的相关情况:
云安全相关技术介绍_第5张图片

2.1.1.1 虚拟硬件基础设施

企业选择租用云服务器等虚拟硬件基础设施时,首先需要关注CSP能够提供哪些安全相关功能和如何利用这些安全功能构建可靠的云上硬件环境,为企业的云上业务和数据提供基础性的安全保障。

安全组(Security Group)
技术介绍:安全组定义了一组网络访问规则,可视为虚拟防火墙,是实现云服务器间网络隔离的基本手段。云服务器加入一个安全组后,该安全组的所有网络访问规则都将应用于该云服务器;如果一个云服务器加入了多个安全组,应用于该服务器的网络访问规则将是各安全组的合集;同一安全组内的云服务器之间能够互相通信。
客户收益:在基础网络的设定下,CSP从统一的资源池中为客户提供云服务器,安全组能够帮助客户实现以单个云服务器为基础的网络隔离,并划分安全域。需要特别注意的是,如果使用基础网络设定,不同租户的云安全服务器在默认情况下是网络互通的。
使用建议:安全组应用于所有云服务器。企业在使用云服务器时应仔细规划安全组的设置和信任关系,以确保在满足业务互通需求的同时实现有效隔离。

虚拟私有云(Virtual Private Cloud,VPC)
技术介绍:VPC是指CSP在公有资源池中为客户划分出的私有网络区域。与企业内部的物理网络类似,VPC在提供公网地址(IP)作为访问接口的同时,内部可自定义私有IP地址段,并可继续为VPC内部的云服务器建立安全组。
客户收益:使用VPC时,企业在云上的网络架构与传统的物理网络基本一致,且同一租户的不同VPC之间也不能直接通信。企业也可以将内部或IDC的物理网络与VPC通过专线、VPN或GRE等直接连接以构建混合云业务。
使用建议:VPC能为企业的云上资源提供网络隔离,防止其他租户嗅探或攻击;同时,由于设定的固定网段等限制,也将影响网络架构的弹性扩展。企业需要妥善规划和管理网络,设置路由策略和访问控制规则,并根据业务需求及时作出调整。

微隔离(Microsegmentation)
技术介绍:微隔离技术将网络划分成多个小的功能分区,对各功能区设置细致的访问控制策略,并可以根据需要通过软件随时进行调整。微隔离的实现主要基于网络(VLAN、VPN、SDN/NFV)或平台(如hypervisor、操作系统、容器等)的固有特性,或者通过防火墙等第三方设备以及主机客户端实现。
客户收益:微隔离技术在网络分段和隔离的基础上增加虚拟化和自动化,实现了按应用和功能的业务逻辑对网络访问进行控制。由于网络访问规则与业务逻辑一致,攻击者能获得的攻击面较小,也难以利用系统漏洞进行渗透;同时,即使黑客突破防御边界,由于不同应用的业务逻辑不同,对一个区域的成功渗透也很难用作攻击其他区域或应用的跳板,黑客在内网渗透的难度将明显提高。
使用建议:建议企业了解相关技术和产品的发展,保持关注。如果部署使用,微隔离形成的分区应具有类似的功能,在业务流程上尽可能一致;跨分区的网络通信必须符合策略设置,且被记录;安全事件发生后,可疑分区将被迅速隔离。另外,除了应该仔细规划各分区的组成和跨分区通信规则,还应该注意避免过度分区影响正常业务。

软件定义边界(Software-Defined Perimeter ,SDP)
技术介绍:SDP架构也称“黑云”,使企业对外隐藏内部的网络和应用,并使用策略控制对内部网络的接入和内部应用的访问,主要由SDP控制器和SDP主机组成。SDP控制器分析连接请求以及发起方和接收方的各种信息,基于设定的策略判断是否接受或发起连接;SDP主机控制数据通路,收集连接的相关信息,并根据SDP控制器的判断接受或发起连接。
客户收益:随着各种云服务和移动设备的广泛使用,传统上用于划定安全区的网络边界越来越难以清晰定义;同时,黑客获得传统安全区内设备的控制权也变得容易和常见。通过严格控制对内部网络的接入和应用访问,SDP帮助企业有效隐藏信息并缩小攻击面。
使用建议:随着用户来源和应用部署方式越来越多样,SDP的作用和好处将更为突出,企业的IT和安全人员应保持关注,并在条件允许的情况下开始试验性部署。

云资源管理和监控
技术介绍:云资源监控和管理平台(应用或服务)为企业呈现云服务器的CPU、内存、磁盘和网络等云资源的利用率,以及存储等各项云服务的负载和性能,对异常的消耗和中断等做出告警,并提供相关报表以供进一步分析,有些厂商还能提供优化建议,降低在云资源上的支出。
客户收益:云资源监控和管理平台能够帮助企业监控云资源的使用情况,保障业务运行,并为企业优化云资源配置提供建议,提高云资源利用率并降低成本。
使用建议:根据云上业务的重要程度,企业应尽量对云资源的使用进行专门的监控和管理,以保证业务的平稳运行。

2.1.1.2 应用底层架构

基于安全的云上硬件环境,企业在部署业务应用前,需要设计和搭建应用底层架构。与传统硬件环境相比,在云上搭建应用底层架构更便捷,也更灵活,并能利用新技术进一步提高可靠性和安全性。

不可变基础设施(immutable infrastructure)
技术介绍:不可变基础设施是指采用云计算(或虚拟化)构建系统的基础设施时,部件实例如服务器和容器等在正式上线时被设置为“只读”(read-only);如果需要对这些实例作出改动,只能使用新的实例替换旧的示例。由此,不可变基础设施通常与一次性部件(disposable component)同时存在。
客户收益:不可变基础设施充分利用了云计算的优势,也只能在纯的云计算环境下使用,且要求系统的部署和运行高度自动化。采用不可变基础设施,除了简化系统运营并提高效率,也能显著提高系统的可靠性并在遇到故障时及时回滚;同时,由于不能对线上的系统部件进行任何改动,不可变基础设施也能够更好地抵御黑客的攻击和渗透。
使用建议:不可变基础设施对运维部门有较高的技术要求,推荐有能力的企业进行试验性部署。

容器安全
技术介绍:容器技术能够实现对单个应用的标准封装,从而简化应用的分发和部署。容器安全主要包括两部分:部署系统的安全性包括对镜像文件(image)的扫描及验证和对仓库(repository)的识别和确认等;运行系统的安全性包括应用容器之间的隔离和容器中应用的权限控制。
客户收益:容器安全技术的使用能够提高容器系统的可靠性,也能够强化应用系统的安全,促进企业基于云计算平台构建完整的基础设施。
使用建议:企业在使用容器技术时应给予容器安全足够的重视,及时了解相关技术和产品的发展,并在有条件时部署。

虚拟机备份
技术介绍:虚拟机备份技术直接利用虚拟化平台提供的API对虚拟机(云服务器)镜像进行备份和恢复,而不依赖于主机上安装客户端软件。与传统的客户端备份软件相比,虚拟机备份技术不占用虚机本身的CPU和内存等资源,对虚拟机上运行的业务影响较小。
客户收益:虚拟机备份技术用于保护和恢复重要业务的虚拟机及其中存储的企业数据,使业务系统在异常中断后能迅速恢复运行。与传统的应用、磁盘和数据备份技术相比,虚机备份技术更易于操作和管理,恢复业务应用的效率更高。
使用建议:使用虚拟机备份技术将简化备份和恢复意外中断的业务,推荐企业在有条件时为承担关键业务和数据的虚拟机(云服务器)提供连续备份,制定业务连续性计划,并按要求进行演练。

2.1.1.3 对外服务保障

企业提供对外业务时,将面临各种网络攻击和黑客入侵。除了在应用的设计、开发和部署时严格执行相关的安全策略、标准和规则,企业还应该考虑采用专门的安全技术,加强对应用的保护。

主机防护
技术介绍:主机防护技术用于帮助企业加固云服务器主机系统软件,通常包括漏洞扫描、补丁管理、入侵检测和配置管理等等。通过及时发现并修补系统漏洞、实时检测和阻断可能的入侵、自动检查系统配置、提示存在的问题并给出建议等措施,主机防护技术能显著提高主机的安全性。
客户收益:业务主机被黑客入侵大多是由于未能及时修补已经公开披露的系统漏洞,或在管理上过于松懈而缺少必要防范。主机防护技术可以有效提高运维效率,建立安全基线,并及时对攻击行为作出反应。
使用建议:云主机防护能有效提高云服务器抵御黑客入侵的能力,企业提供对外业务的云服务器应注意采用。除了直接采用各CSP提供的主机防护产品,企业还需要谨慎评估可能存在的问题和威胁,在必要时加强相关防护。另一方面,使用主机防护技术和产品的同时,主机管理员仍然需要密切关注系统的状态和可能受到的入侵,以便及时反应,最大限度地降低损失。

Web应用防火墙(Web Application Firewall,WAF)
技术介绍:云WAF是指以云计算服务方式提供的WAF功能。WAF通常采用反向代理技术,通过检查和过滤HTTP/S流量的内容,保护指定Web应用,帮助网站抵御各种攻击,保证企业的业务和数据安全。除了防御SQL注入和XSS(cross-site scripting,跨站脚本)等常见的Web攻击(OWASP Top 10),有些云WAF还提供网页防篡改等功能。
客户收益:为了入侵企业网站,黑客会不断寻找并利用Web应用中的实现漏洞和设计缺陷。WAF为企业网站提供一道外围防护,可以有效阻止黑客进行信息收集、攻击渗透、破坏业务和偷取数据,并能在事故发生后迅速恢复。与传统的WAF设备(包括虚拟设备)或软件相比,云WAF的部署更简单:企业管理员只需要在线填写网站域名等基本配置,而不用关注网络结构和部署位置等信息,即可迅速为网站提供保护。随着越来越多的企业网站部署到云服务器上,云WAF也获得了广泛的应用。
使用建议:云WAF可以为企业网站提供基本的安全保障,特别是当网站部署在云服务器上时,应该尽量同时购买云WAF服务。另一方面,虽然在厂商提供的默认配置下云WAF能够帮助企业网站抵御常见的网络攻击,企业管理员还是应该根据网站的Web应用和系统业务等情况,认真优化云WAF的相关安全配置。

云抗DDoS(Distributed Denial-of-Service)
技术介绍:云抗DDoS是指以云服务方式提供对DDoS攻击的防护。除了基于特征识别算法拦阻攻击流量,云抗DDoS还普遍采用代换接入IP的方案:所有公网流量先接入厂商的资源池入口IP,经过清洗后再转发至企业网站服务器的真实IP。根据厂商资源池的配置,代换接入IP方案目前已能够抵御Tb/s级的DDoS攻击。
客户收益:DDoS攻击是商业网站面临的一个主要威胁,云抗DDoS服务帮助企业有效地抵御攻击,保持站点稳定和业务正常运行。与传统抗DDoS设备相比,云抗DDoS部署更简单快捷,且可以按需采用,使用成本大大降低;同时,云抗DDoS能够处理的攻击流量也远大于传统抗DDoS设备。
使用建议:如果用户对企业网站提供的业务有较高的可用性要求,或者企业面临较强的竞争,应考虑使用云抗DDoS服务。除了IaaS厂商提供的免费服务,企业购买云抗DDoS服务时需要平衡DDoS攻击可能造成的损失和云抗DDoS的成本。

2.1.2 使用云服务(PaaS或SaaS)构建内部应用

除了使用云上的虚拟硬件资源,越来越多的企业选择直接使用云应用替代本地应用软件或基于PaaS搭建内部应用。PaaS或SaaS服务模式下企业的安全责任范围较小,但由于是直接通过公共网络访问,且对应用软件、业务系统和基础设施都没有控制,企业需要利用新技术才能对用户和数据进行妥善保护和管理。

云应用识别
技术介绍:通过分析网络流量或防火墙和网络代理等的日志,能够识别用户所使用的各种云应用以及各应用可能存在的风险,帮助企业管理员充分认识存在的风险。云应用识别技术一般根据应用服务器地址、URL、HTTP请求参数和页面内容等特征判断所使用的云应用,同时根据应用是否接受信息提交、是否支持文件上传、提供商是否通过安全认证等等多种因素判定云应用的风险等级。
客户收益:云应用大都是Web应用,而传统防火墙或Web安全网关(上网行为管理)等安全设备通常都只关注网络和连接,不能对应用层进行深入分析和控制。同时,云应用已经在企业中广泛使用,但企业管理员还无法知道具体的使用情况和存在的风险,也无法进行充分的控制,即存在“影子IT”(Shadow IT)。云应用识别和管理技术主要作为Web访问安全代理(Cloud Access Security Broker,CASB)的重要功能,或作为附加模块集成到防火墙或Web安全网关,能够帮助企业管理员获知云应用的使用情况,以加强对用户使用云应用的管理。
使用建议:推荐企业关注具有云应用识别功能的产品。国内各个行业各种规模的企业中云应用的使用都已经非常普遍,但相关的安全问题还没有引起重视;尽管国内企业一般还没有使用云应用承载关键业务或用于处理核心数据,但由于员工已经在广泛使用各种云应用作为工具,很可能已经有不少企业遭受了损失但还未发觉。

云应用管理
技术介绍:对云应用的管理主要有两种实现方式:以代理方式充当用户与云应用通信的中间人或使用云应用提供的API。另外,除了简单的允许和阻止,对云应用的管理还包括对用户使用云应用时的环境、动作和对应用数据的操作等进行精确识别和管理。
客户收益:在识别云应用的基础上,根据业务需求和使用云应用所存在的风险,企业所使用的云应用可分为四类而分别进行管理:a)允许使用业务必需且风险较小的云应用,进行一般管理;b) 允许业务必需但风险较大的应用,对用户行为和数据处理进行严格管控;c)允许非业务必需且风险较小的应用,禁止有风险的操作;d)禁止非业务必需但风险较大的应用。
使用建议:企业在逐渐使用云应用承载核心业务和数据时,应该密切关注云应用管理技术和产品的进展,及时部署。同时,在选择云应用管理产品时,应该仔细了解产品对企业所使用和关注的核心应用的支持情况。

云防数据泄漏(DLP)
技术介绍:通过查找和匹配数据特征和文件指纹,云DLP帮助企业查找云应用中的违规数据,防止用户将敏感的企业数据上传到不安全的云应用或使用不安全的终端访问云应用中的企业数据。根据不同粒度的策略配置,云DLP可以拦阻用户动作、及时告警,或者在必要时对数据进行加密等等处理。
客户收益:云DLP在业务应用的执行逻辑之外从相对独立的数据维度加强了企业对数据的保护,帮助企业满足各种合规需求,防止企业的重要数据被泄漏或滥用。随着云应用在企业核心业务中的使用,云DLP的重要性在不断增强;同时,云DLP与企业本地部署的DLP集成能够显著提高数据识别和保护的效率,也有助于企业建立统一的数据保护机制。
使用建议:如果员工已经在使用云应用,可能导致数据泄漏或滥用,企业在加强对云应用的管理的同时,应该考虑使用云DLP;如果企业已经使用云应用处理关键业务并承载重要数据,应尽早部署云DLP。

云端数据加密
技术介绍:云端数据加密技术是指数据在提交到云应用提供商之前进行加密处理,确保云应用提供商或其他第三方在直接获得企业的云端数据时无法识别和解读。除了使用标准算法(通常以AES为主)对文件(非结构化数据)进行加密,云端数据加密还会使用如令牌化(Tokenization)等多种其他算法对结构化数据进行处理以满足不同场景需求,如保留数据格式、搜索、索引等等。
客户收益:云端数据加密主要用于帮助企业在不充分信任云应用提供商时使用其提供的云应用,打消企业在使用云应用时对数据安全的顾虑。同时,由于各种法律法规要求,特定数据被限定在企业内部使用和存储,如果企业对云应用的使用涉及这类数据,则必须对数据加密才能满足合规需求。
使用建议:如果对云应用提供商保护企业数据的能力或意愿有怀疑,企业应该购买云端数据加密产品或服务,同时注意明确提供云应用提供商和云数据加密提供商对保护企业数据的义务和责任。另一方面,如果企业在使用云应用时有相关合规需求,则需要在确认云端数据加密方案满足要求后才能使用云应用。

2.1.3 私有云

在私有云环境下,企业内部的网络结构和应用在逻辑上并没有实质性的变动,但虚拟化的引入使底层硬件设备与软件应用分离。同时,SDN(Software Defined Network,软件定义网络)以及进一步的HCI(hyper-converged infrastructure,超融合基础设施)使私有云的底层硬件(基础设施)具有更大的灵活性。企业对私有云能够实现从物理硬件到业务数据的全部控制,因此也需要对各方面的安全负责。

私有云的安全体系结构与传统IT类似,具体方案和措施可以参考微软发布的《A Solution for Private Cloud Security》系列文档。特别的,尽管安全应该与业务环境和流程紧密结合,但在传统IT架构下,由于历史原因安全常常被简化为各种由独立的设备提供特定的功能,而企业在迁移到私有云的过程中将有机会重新设计和构建整个安全体系。从私有云方案的初始设计阶段就考虑相关安全功能及实现,提高企业整体的安全能力和效率。

云安全相关技术介绍_第6张图片
除了本章前述IaaS相关的安全技术可应用于私有云外,传统的网络安全相关的技术如防火墙和IPS等对于私有云的安全也非常必要。需要注意的是,私有云内部的流量发生在虚拟机之间,网络流量可能只限于在同一台物理服务器内部,跨物理服务器的网络流量也都使用相关隧道技术而与第三方隔离,独立的传统安全设备很难适应需求。另一方面,私有云内部的资源分配和网络构成经常发生变化,也要求安全功能相应快速变化:调整配置、改变功能、甚至重新部署。

因此,与传统IT环境相比,私有云安全也相应“云化”:

  • 虚拟化:防火墙、IPS、各种安全网关等安全功能都以虚拟机方式提供。
  • 服务化:各种安全功能都作为服务提供,可以根据需要快速部署和回收。
  • 资源池:对各种安全功能和资源进行统一管理,可灵活分配,支持弹性扩充。

2.2 云计算安全

2.2.1 集成云服务解决业务中的安全挑战

在软件开发中,通过调用各种库函数,工程师能够专注于实现核心业务,而不用去重复开发已经非常成熟的功能模块,更重要的是,不需要深入了解被调用函数的具体实现方式和相关专业知识。类似的,企业可以选择集成以云服务方式提供的安全功能和产品,解决业务中的各种安全挑战。

内容过滤
技术介绍:CSP将内容过滤功能通过网络提供给企业用户;企业用户使用指定网络接口地址提交可疑的文字、图片和视频等内容,并及时获得扫描结果,以识别可疑内容是否涉及暴恐、色情、政治或广告等,从而及时过滤、清理有害内容。
客户收益:作为云服务的内容过滤一般由大型网站基于自身业务的需求和积累提供,在内容识别的性能和准确性上都高于企业自行搭建的检测系统。同时,通过网络接口调用具有很强的通用性,易于集成。
使用建议:如果企业有面向公众的网站等平台,特别是如果允许自由提交文字、图片或视频等内容,应及时采用云内容过滤方案,既能提高过滤效率,也能有效降低对人工审核的需求,从而降低企业的运营风险。

用户验证
技术介绍:CSP 对企业开放API,基于网络提供用户验证服务;企业使用CSP提供的API将验证服务集成到业务流程中。在用户访问时,企业通过API提交用户的相关信息,CSP实时给出反馈,帮助企业确认用户的真实性和可信度。常见的用户验证服务包括验证码和登陆保护等。
客户收益:随着网络环境的复杂化,简单的用户名和密码验证已经难以应对网络黑产对用户的威胁,而一般企业缺乏足够的技术积累和经验,必须借助专业厂商才能提供较好的保护。使用API通过网络调用的方式在操作上难度较小,易于集成和应用。
使用建议:如果企业开发或提供的业务带有相应的用户模块,且提供公开访问入口,应当考虑集成第三方提供的用户保护服务,降低用户风险。

反行为欺诈
技术介绍:CSP基于网络提供用户行为审核服务,并对企业开放API;企业使用CSP提供的API将用户行为审核集成到业务流程中。在用户提交业务请求时,企业根据审核结果对用户的当前请求作出回应,并可以根据审核提供的信息和用户的历史行为决定是否进行封禁用户账号等操作。
客户收益:基于互联网开展的业务难以实现传统的审核和风险控制,基于行为欺诈的各种黑色和灰色产业已经形成了很大规模,一般企业很难凭借自身能力应对。以云服务方式提供的反行为欺诈服务能够帮助企业有效减少损失,提高运营效率。常见的反行为欺诈应用包括反刷单、防范羊毛党、骗贷等。
使用建议:企业基于网络提供业务时应该密切注意对欺诈行为的防范。如果有电商相关业务,应考虑使用市场上已有的反行为欺诈产品;同时,保持对其他反行为欺诈技术和市场的关注,及时跟进。

用户身份识别和管理(Identity-as-a-Service,IDaaS)
技术介绍:IDaaS也即IAM(Identity and Access Management,身份和访问管理)-as-a-Service,是指以云服务的方式提供对用户身份的管理,并与不同应用集成以管理用户的登录和访问,通常也支持单点登录(Single Sign-on,SSO)。在技术实现上,OAuth 2.0和OIDC(OpenID Connect)逐渐成为主流标准,部分应用还支持SAML(Security Assertion Markup Language,安全声明标记语言)2.0或MS-Federation。
客户收益:随着企业内部应用越来越多,对用户身份的管理和登录控制成为迫切的需求;同时,传统IAM方案往往局限于特定的企业内网环境,难以同时支持传统内网应用和新兴的SaaS应用,也不能适应用户使用多种终端特别是移动客户端的场景。IDaaS能够提供一个开放的应用框架,帮助企业管理各种不同应用,并支持移动终端。
使用建议:企业选用SaaS应用时应注意了解对OIDC或SAML集成的支持情况和计划,并在有SSO需求时考虑采用IDaaS产品,并注意IDaaS产品对企业内其他应用的支持情况。

密钥管理(KMaaS,Key Management-as-a-Service)
技术介绍:CSP为企业生成主密钥并代为存储和保存,企业在任何情况下都不能直接获得主密钥,而只能通过CSP提供的API使用密钥ID进行加解密处理:加密时,企业调用CSP提供的API并提供主密钥ID和数据明文,CSP返回密文;解密时,企业提供主密钥ID和数据密文,CSP返回明文。
客户收益: 密钥管理是加解密机制的核心,以云服务方式提供的密钥管理可以帮助企业避免复杂的密钥管理流程和高昂的使用及维护成本,并能够提供详细的密钥使用记录以便于审计。通常CSP只支持对少量数据(<4KB)进行加解密,如果企业需要对大量数据进行加密,需要先在本地对数据加密或解密,然后用主密钥对用于本地数据加密的密钥进行保护。
使用建议:随着企业对数据安全性的要求提高,特别是HTTPS的推广,需要对数据进行加解密的场景越来越多。企业应该考虑采用密钥管理服务,以便简化管理机制并加强对密钥的保护。

内容威胁扫描
技术介绍:本地设备将可疑内容(IP、域名、URL、字段、文件等)上传到云端进行实时检测,如果云端的返回结果确认内容有害,本地设备将进行阻断、隔离或发出告警。云端的内容分析引擎支持海量的样本库,通常还部署有覆盖多种运行环境的沙箱系统,能够识别未知威胁,并在发现有害内容后将相关情报进行网络共享。
客户收益:基于云的内容威胁扫描服务可集成于防火墙、IPS和网关等各种传统安全设备,用于URL过滤、防病毒、反恶意软件等。也有部分厂商提供独立的Web站点供用户提交可疑内容,并提供分析报告,以便用户了解可能存在的各种威胁。
使用建议:云内容检测能够有效抵御未知威胁,企业应该考虑购买和部署。需要注意的是,用户数据或文件可能被作为可疑内容发送给CSP而引起违规。另外,不同产品的内容检测能力和效率会有不同,特别是云沙箱能模拟的运行环境和支持的文件类型可能会有较大差别,应注意实际测试和评估。

2.2.2 使用云服务替代传统安全设备和方案

由于缺乏足够的资源且专业技能不足,安全设备的部署、管理和维护一直是企业IT工作中的难点。在设备管理和服务外包的基础上,代替传统安全设备和方案的云服务技术和产品(“云化”)真正将企业管理员从繁琐的日常维护中解放了出来,从而能够真正专注于核心的安全管理。

Web安全网关
技术介绍:云Web安全网关不使用本地设备,而是通过用户端的代理设置或在企业网络出口建立IPsec VPN或GRE隧道,将用户的Web流量导引到云端服务器进行策略控制和安全过滤,提供URL过滤、内容过滤、Web应用管理、反恶意代码等功能。
客户收益:云Web应用网关可用于管理用户的上网行为、提供内容安全和阻止黑客攻击等。除了与传统Web安全网关的功能一致,云Web应用网关的部署和使用更简单,并能够在用户未接入企业内网或使用移动设备时提供一致的保护。
使用建议:与Web安全网关设备相比,云Web安全网关在概念上有明显的优势,但不同企业的产品通常有较大的差别,企业在选用时应该谨慎评估,确认能够满足需求再进行购买和部署。

安全信息和事件管理(Security Information and Event Management,SIEM)
技术介绍:通过客户端收集企业本地设备的日志等数据,云SIEM在云端对日志进行汇总和分析。除了保存日志以满足合规等需求,云SIEM通常还能够实时侦测恶意攻击和数据泄漏,及时发出预警。
客户收益:与传统SIEM产品相比,云SIEM部署简单,对管理和维护的要求较低。随着各种云服务特别是云服务器和网络等基础设施的广泛应用,云SIEM能够帮助企业有效简化日志汇总和分析。
使用建议:如果企业准备采购和部署SIEM产品,特别是各个日志源比较分散时,可以考虑云SIEM产品。另外,云SIEM的部署和使用比较简单,但功能可能不如本地部署的SIEM产品丰富,且可能占用较大网络带宽。

灾备(DRaaS,Disaster Recovery-as-a-Service)
技术介绍:企业将业务系统的应用和数据在云中建立备份,当遭遇人为事故或自然灾害而中断服务时,业务将切换到云中的备份系统继续运行。企业的业务系统可以基于物理硬件或虚拟化平台搭建,也可以位于公有云环境;备份系统由云灾备厂商负责管理和维护,按使用收费。
客户收益:云灾备使企业能够快速部署业务连续性计划,免于构建和维护灾备设施,也可以相应减少对人员的管理和培训。除了显著的成本优势,云灾备能够根据企业需要随时调整甚至迁移。
使用建议:企业选择云灾备方案时需要仔细审核,确认供应商相关资质和能力、能够保证业务稳定,并仔细了解和确认服务等级协议(SLA)中的各项指标,并按严格按照灾备计划进行演练。

2.3 国内外云安全技术和市场对比

按个人的经验和认识,目前国内云安全技术和市场有一些特点:

  • IaaS应用相关的基础安全技术和产品已经逐渐成熟和稳定
  • 安全相关的云服务已经被广泛集成,用于解决具体的业务问题
  • 关于企业基础应用相关的安全,市场成熟度落后于技术
  • 虽然国外SaaS应用相关的安全技术已经比较成熟,目前国内则还基本空白
  • “云化”传统安全设备在国外已经逐渐进入主流市场,技术成熟,国内市场目前还刚刚起步,究其原因,除了国内技术和市场相对于欧美总体较为落后之外,还应该注意到国内外企业在IT架构上的不同所产生的影响:
  • 以美国为代表的国外市场中,企业的传统IT架构比较成熟,有比较完整的安全防护体系;发展的时间久,云相关的概念、技术和产品比较成熟——条理清楚,接受度很高。
  • 国内企业的IT和安全架构往往都不成体系,观念和意识目前还比较旧,但也没有传统IT和安全体系作为包袱。在IaaS厂商的倡导和政府的推动下,上云相对激进。
  • 另外,值得注意的是,国外的安全相关技术和产品以专业安全厂商为主导,国内以云服务商特别是主要IaaS厂商为主导;进一步的,除了华为,国内的主要云服务商大都来自互联网相关行业。这也从侧面反映出国内不同行业与国外的差距,以及随着云计算技术和应用的进一步发展和渗透,互联网相关企业未来可能对安全等其他行业产生的冲击。

3. 相关法规、标准和认证

目前已经有若干法规对云服务的提供商和使用者提出了安全要求,相关政府机构、标准组织和业界团体也制定了多项云安全技术标准,并有多项针对云服务产品和解决方案提供商的认证。

3.1 云等保,GA/T 1390.2-2017

《网络安全法》规定,“国家实行网络安全等级保护制度”。
为了适应和规范云计算相关技术和应用的发展,公安部在2017年5月8日正式发布GA/T 1390.2-2017《信息安全技术网络安全等级保护基本要求第2 部分:云计算安全扩展要求》,规定了不同等级云计算系统的安全要求,适用于指导分等级的非涉密云计算系统的安全建设和监督管理,并在附录C中明确了不同服务模式下云服务方和云租户的安全管理责任主体。
云安全相关技术介绍_第7张图片

3.2 GB/T 31167-2014《信息安全技术云计算服务安全指南》

本标准面向政府部门,提出了使用云计算服务时的信息安全管理和技术要求,适用于政府部门采购和使用云计算服务,也可供重点行业和其他企事业单位参考。本标准描述了云计算服务可能面临的主要安全风险,提出了政府部门采用云计算服务的安全管理基本要求,及云计算服务的生命周期各阶段的安全管理和技术要求,为政府部门采用云计算服务,特别是采用社会化的云计算服务提供全生命周期的安全指导。

3.3 GB/T 31168-2014《信息安全技术云计算服务安全能力要求》

本标准面向云服务商,提出了为政府部门提供服务时应该具备的信息安全能力要求。标准描述了以社会化方式为特定客户提供云计算服务时云服务商应具备的安全技术能力,适用于对政府部门使用的云计算服务进行安全管理,也可供重点行业和其他企事业单位使用云计算服务时参考,还适用于指导云服务商建设安全的云计算平台和提供安全的云计算服务。

本标准分一般要求和增强要求。根据云计算平台上的信息敏感度和业务重要性的不同,云服务商应具备的安全能力也各不相同。

3.4 国家标准《信息安全技术 云计算安全参考架构》(征求意见稿)

与NIST《云计算安全参考架构(草案)》类似,本标准将规范云计算安全参考架构,包括云计算角色、安全职责、安全功能组件以及它们之间的关系。

云安全相关技术介绍_第8张图片

3.5 国家标准《信息安全技术 云计算服务安全能力评估方法》(征求意见稿)

本标准将给出依据GB/T 31168-2014《信息安全技术云计算服务安全能力要求》,开展评估的原则、实施过程以及针对各项具体安全要求进行评估的方法。标准适用于第三方评估机构对云服务商提供云计算服务时具备的安全能力进行评估,和对政府部门使用的云计算服务进行安全管理,并可供云服务商在对自身云计算服务安全能力进行自评估、重点行业和其他企事业单位使用云计算服务等参考。

3.6 ISO/IEC 27001信息安全管理体系和认证

ISO/IEC 27001是全球最受认可的信息安全管理系统(Information Security Management System,ISMS)规范,详述了建立、实施、维护和持续改进信息安全管理系统的各种需求。通过经过整体规划的系统化信息安全管理体系,ISO/IEC 27001从预防控制的角度出发,保障信息系统与业务的安全和正常运作,并规定了为适应不同组织或其部门需要所制定的安全控制措施的实施要求。

通过ISO/IEC 27001认证,表明企业(或其他各种类型和规模的组织)遵守了各种信息安全最佳实践,对数据的保护通过了独立的专家评审。

3.7 ISO/IEC 27000 系列标准

ISO/IEC 27000系列标准包含了ISO(International Organization for Standardization,国际标准组织)和IEC(International Electrotechnical Commission,国际电工委员会)联合制定的系列信息安全标准。这些标准提供了在信息安全管理系统(ISMS)体系下通过各种控制措施对信息风险进行管理的最佳实践,其具体范围不局限于隐私、保密性和IT/技术/网络安全问题等。目前,其中有三个标准专门针对云服务:

ISO/IEC 27017《基于ISO/IEC 27002的云服务信息安全控制的实施规程》
在ISO/IEC 27002的基础上,本标准为云服务提供商和使用者提供各种信息安全相关控制的实施指南,具体包括ISO/IEC27002中列出的相关控制和与云服务相关的其他控制

ISO/IEC 27018《公有云作为个人可识别信息(PII)处理器时个人身份信息保护的实施规程》
为了与ISO/IEC 29100中的隐私原则一致,本标准基于ISO/IEC 27002,为公有云计算环境建立了通用的控制目标、控制和保护PII的实施指南,并涵盖为保护PII而可能对公有云服务提供商的监管需求。

ISO/IEC 27036-4《供应商关系的信息安全-第4部分:云服务的安全指南》
本标准定义了在使用云服务时实施信息安全管理的指南,具体而言,为云服务使用者和云服务提供商提供以下方面的指导:

获知与使用云服务相关的信息安全风险并有效管理那些风险
对获得和提供云服务的风险做出反应
注意:ISO/IEC 27036-4不包括与云服务相关的业务连续性管理/复原问题,也不对云服务提供商应该如何实施、管理和运营信息安全提供指导。

3.8 CSA-STAR

CSA STAR认证是在ISO/IEC 27001的基础上针对云服务特有问题的加强认证,用以表明CSP能够很好地处理安全相关问题。CSA STAR认证由CSA和BSI联合开发,以CSA提出的云控制矩阵(Cloud Control Matrix,CCM)为审核的准则,涵盖法令法规、风险管理、设施齐全、人力资源、信息安全、营运管理、发布管理、安全架构等16个控制区域。CSA认证官为CSP在每个控制区域的能力成熟度分别打分,然后根据最终的平均分决定CSP的等级为金、银或铜。

3.9 C-STAR云安全评估

C-STAR是在CSA开放认证框架(Open Certification Framework,OCF)下,由第三方机构确认云服务提供商满足CSA CCM要求的一种认证,主要用于大中华地区,由赛宝认证中心与CSA大中华区(CSA-GCR)合作开展。C-STAR 云安全评估主要参考GB/T 22080-2008管理体系标准及CSA CCM要求,以及选自中国国家标准GB/T 22239-2008《信息安全技术—信息系统安全等级保护基本要求》和GB/Z 28828-2012《信息安全技术—公共及商用服务信息系统个人信息保护指南》的29个相关控制措施,进行评价。

3.10 CS-CMMI云安全能力成熟度模型集成

根据官方说明,CS-CMMI“由CSA大中华区、亚太区与全球共同开发和研制的,在ISO / IEC21827 : 2002 《信息技术系统安全工程能力成熟度模型》的基础上,把《CSA CSTR云计算安全技术标准要求》(草案)和《CSA CCM 云安全控制矩阵》的技术能力成熟度模型,集成到治理一个框架中去,形成云安全能力成熟度评估模型。作为云安全能力成熟度评估的依据,为客户选择云安全服务组织提供参考,也可供云安全服务组织改善和提高云安全服务能力提供指引。指南考虑了云计算系统安全威胁与脆弱性分析能力、云安全解决方案设计能力、云计算系统测试和验证能力、云计算系统运维和应急响应能力、云计算系统安全工程过程能力等云安全技术服务能力要求,并根据不同的能力要求,由低到高分为1到5级。”

3.11 可信云服务

可信云服务(TRUCS)认证由数据中心联盟和云计算发展与政策论坛联合组织、面向云服务提供商提供的自愿认证。可信云服务认证从数据安全、服务质量、服务性能、运维管理和权益保障等多维度评估云服务商的技术指标和水平,涵盖云服务商需要向用户承诺或告知的绝大多数问题,为用户选择安全、可信的云服务商提供参考。

3.12 其他资料

除了前面提到的相关法规和标准文档,推荐读者进一步阅读以下资料:

NIST,NIST Cloud Computing Security Reference Architecture-Draft
https://csrc.nist.gov/publications/detail/sp/500-299/draft
NCC-SRA(NIST Cloud Computing Security Reference Architecture,NIST云计算安全参考架构)为NIST SP 500-292 《NIST 云计算参考模型》增加一个安全层,定义了一个以安全为中心的架构模型,指出保护云计算环境、运行和数据的核心安全组件,说明在不同部署和服务模式下各方职责范围内的核心安全组件,并为分析所收集和汇聚的数据提供了一些方法。

CSA,Cloud Control Matrix
https://cloudsecurityalliance.org/download/cloud-controls-matrix-v3-0-1/
CSA CCM(Cloud Control Matrix,云控制矩阵)提供了评估云提供商整体安全风险的基本安全准则。通过对其他行业标准和监管要求的定制,CSA CCM 在16个安全域内构建了统一的控制框架,通过减少云中的安全威胁和弱点加强现有的信息安全控制环境,提供标准化的安全和运营风险管理,并寻求将安全期望、云分类和术语体系,以及云中实施的安全措施等标准化。

CSA,Security Guidance for Critical Areas of Focus in Cloud Computing
https://cloudsecurityalliance.org/download/security-guidance-v4/
CSA发布的《云计算关键区域安全指南》为管理和应对云计算技术相关的风险提供指导和启发,自2009年以来一直被广泛视作云安全的权威指南。2017年7月发布的最新版在介绍了云计算相关的主要概念和架构后,强调了治理和运营中共13个领域的重点区域,以解决云环境中策略和实施两方面的安全“痛点”。

Microsoft,Shared Responsibilities for Cloud Computing
https://gallery.technet.microsoft.com/Shared-Responsibilities-81d0ff91
https://www.trustcenter.cn/file/云计算中的共担责任.pdf
微软的这份白皮书解释了CSP和客户在合作中各自的角色和责任,以及在选择不同云服务模式(IaaS、PaaS或SaaS)时需要关注的责任分配和合规需求。

Microsoft,A Solution for Private Cloud Security
https://social.technet.microsoft.com/wiki/contents/articles/6642.a-solution-for-private-cloud-security.aspx

CSA大中华区,《云计算安全技术要求》
http://www.c-csa.org/forum.php?mod=viewthread&tid=15
本系列标准由CSA大中华区组织国内相关单位编写,由《总则》、《IaaS安全技术要求》、《PaaS安全技术要求》和《SaaS安全技术要求》四部分组成,“适用于云服务开发者在设计开发云计算产品和解决方案时使用,也可供云服务商选择云计算产品和解决方案时参考,还可为云服务客户选择云服务时判断云服务提供商提供的安全能力是否满足自身业务安全需求提供参考”。

转载自:云安全相关技术介绍(六)

你可能感兴趣的:(网络安全)