大家好,我是中国信通院的孔松,今天主要为大家分享一下在数字化背景下安全能力建设的一些要求和趋势。
我今天的分享主要包括四大部分。
一、梳理云时代企业安全建设面临的一些新的需求,新的挑战;
二、探索云平台如何去做一些安全性的建设;
三、从用户视角出发,在企业上云用云的过程中,如何去开展云安全防护的建设;
四、对整个云安全的趋势做一定的展望。
我们可以看到,这两年随着企业数字化转型的不断推进,我国云计算市场规模呈现一个蓬勃发展的态势。
在国家政策层面,积极的推动企业上云用云,包括二零三五年远程目标纲要,以及十四五数字经济发展规划,都提出了要实施上云用数赋智的行动。像云计算,网络安全等这种新兴的数字产业,需要去大力的培育。而同时,即使在新冠疫情的冲击之下,我国整个云计算市场仍然保持着一个比较稳定的增速。2021年,据我们统计,整个国内的云计算市场达到了3000多亿元,而其中公有云市场占据了比较高的比例达到了2000多亿元,增速相较于2020年达到了70%。
因此,随着整个云计算的持续发展,它也越来越成为黑客攻击的重要目标。根据相关的数据可以看到,在数量上来说,云平台承载更多的攻击,与传统的IT环境相比,它所占的安全事件的比例是远超过传统IT环境的。而在类型上来说,一方面云计算也面临着典型的攻击方式和事件类型,同时也会有一些新的攻击方式,包括云计算引入了虚拟化容器微服务等新的技术,这些新技术也成为了攻击者的利用对象,比如一些被部署恶意容器的事件等。
同时,这两年软件供应链事件也是受到了非常多的关注。尤其是在云计算场景下,一方面涉及到非常多的容器镜像,同时,云平台的云服务商可能也被黑客作为一个突破口,利用云平台的一些薄弱点,或者云服务商的一些能力的薄弱点,进而去影响云上的租户。
在整个严峻的态势背景之下,企业越来越重视云安全的建设。我们在去年开展了相应的发展调查报告。在这个调查中,我们了解到,企业在选择云服务商的时候,除了产品的价格这些考虑因素之外,服务安全性是他们最关注的一点。他们会选择相对可信、安全的云服务商。第二,从整个市场上来看,公有云安全服务的市场也呈现着一个稳定增长的态势。据Gartner的统计,整个21年,全球的市场规模达到了100多亿美元,而2022年的话也是保持着一个较好的增幅,不管是市场层面,还是用户层面,对于云安全都是呈现越来越重视的趋势。
那么,我们该如何去开展整个云安全建设?在我看来更多的是需要去探索在企业上云过程中产生的变化,这些变化又对应的是哪些安全需求,而这些安全需求都应该贯彻到整个云安全的建设过程中。
第一,从部署模式上来看,在公有云场景下,资源和数据基本上都是由于服务商控制,这也就决定着企业上云用云之后,它的安全建设不只是自己的事情,云平台和云服务商是一个非常大的重要的组成部分。同时这两年多云混合云也成为了租户考虑的一个比较重要的部署模式,这种多云混合云中跨云的数据交互比较频繁,资源暴露面也非常大,这也就为用户上云之后的安全防护的性能提出了比较高的要求。
第二,在技术应用角度来说,一是平台涉及到虚拟化容器等技术,也就导致租户其实是共享底层技术架构的,这一方面更多的就体现在服务商和平台它在做安全建设的时候应该充分考虑到这种多租户之间的一些安全的问题。同时,像微服务分布式架构的广泛应用也导致企业云上的东西向流量的激增,所以用户在整个安全建设中,其实我们不不仅仅需要考虑南北向的这种安全防护,更多的也需要考虑东西向的一些安全防护的机制。
第三,其实也是非常重要的一点,就是合规要求的变化。一方面网络安全法数据安全法这种比较通用的法律法规也在逐步的发布实施,所以企业需要针对于这些法规要求去做云安全的建设。另一方面,是面向云的一些规范制度标准要求也在不断地完善。
我们可以看到,想要建设一个完整的云安全体系,需要从两侧去出发,包括平台侧云服务商的一些安全能力,同时也包括用户侧它自己结合行业的一些特性需求,或者是一些业务属性的需求,去开展自身的安全防护的建设。在整个过程中,其实都秉承着一个责任共担理念。
第二块,我们大概分析一下平台侧如何去建设安全工作,为用户提供比较安全的上云基座。
第一部分, 从用户和服务商之间的互动,我们可以看到最直接的就是服务商去向用户交付云服务,尤其是在公用云的场景之下。所以我们提倡云服务商应该从云服务的要求阶段起,一直到整个下线阶段的全流程去贯彻安全前置的理念,从整个流程上都融入一定的安全机制,进而优化云服务的安全能力,来提升用户的体验。
我们之前调研发现用户非常多的安全事件都是由于没有非常好的去使用云服务配置,导致发生了非常多的损失,所以这就需要云服务商去重复考虑这样的一个情况,将安全贯彻到整个云服务的生命周期。
在整个生命周期中,IaaS PaaS SaaS云服务均需考虑三大类安全要素。
第一类是服务应该面向用户侧做一些访问控制和身份鉴别。
第二类是服务和用户之间的交互过程中应该去充分考虑行为审计机制,同时对交互的数据有一定的保护机制。
第三类是考虑到服务自身应该有一些安全运行的能力,同时有一些安全策略管理的能力。
第二部分,是云服务商应该针对云计算这样特殊的业务去开展持续的风险管理工作,包括持续进行风险的评估,做风险的处置,监测,然后持续降低相应的云计算的风险。
在整个风险评估过程中,其实主要涉及到九大类
1)服务商是不是有合理的云计算相关的风险管理的组织架构和相应的针对性的细致的可落地的策略并执行相应的要求。
2)需要充分考虑云计算外部的风险,包括云计算底层的数据中心、依赖的物理设备以及云计算的计算存储网络架构。
3)需要充分考虑云平台的一些风险,包括多租户的安全隔离,以及租户和平台之间的相应的安全隔离,同时还有像控制台、云服务数据等这些关键要素的安全。
4)需要充分考虑服务商内部跟云计算相关的开发测试,运维等等人员,以及外包人员的一些风险。
5)需要对整个云计算,从整个流程上是不是有相应的一些风险管理机制。
6)需要考虑云计算的合规,既包括云服务商内部的合规机制,又包括云服务商对云用户的一些要求,如实名认证。
7)需要考虑云计算的业务连续性,服务上需要制定相应的业务连续性的计划,开展相应的一些应急演练。
8)供应链其实也是云计算中非常重要的一点,主要是因为云计算在开发的过程中涉及到非常多的一些开源软件以及上下游,都比较复杂,所以一定要开展相应的风险管理的工作。
9)最后需要有一个持续的风险沟通和监测的机制,既包括服务商跟用户之间的这些及时的风险告知和它的一些责任划分,同时也包括云计算相关的一些链条里的威胁情报。
第三大部分其实是用户最关心的一块,尤其是在公有云场景下,上云之后,服务商是不是能够对数据提供充分的保护能力,能够建立这样的一个信任机制。我们认为在整个数据保护方面,服务商应该从事前、事中和事后三个层面去建设一定的管理机制和技术手段。
在整个要求中,我们前期调研后发现用户在事前防范中其实特别关注数据隐私性、数据知情权和数据销毁安全性这三个要求。对于隐私性,更关注数据上传到云之后服务商内部的一些人员是否有权利去查看到我的数据,我的数据对于服务商是不可见的。而对于数据知情权,是用户希望能够及时的知道他的数据被如何去使用,如被监管机构调取证。对于数据销毁性,其实也是用户最关心的,就是当服务销毁,或者是主动删除数据之后,这个数据在云平台是否彻底的销毁,没有留存。
在事后追溯的方面,用户特别关注用户侧行为的安全审计能力和服务商的行为审计能力,以保证从两侧都能够做到行为的可审可溯。在安全事件发生之后就可以快速定位到原因,快速的去进行阻断。
在整个的这个流程中,云服务商更多是需要从两大方面来去贯彻这个数据保护能力的提升。一方面是上述的整个机制都需要去做到这种平台化,自动化,能够去做到一些自动化的记录,阻断或者是告警,进而增加整个数据安全事件的可审计性和可追溯性。同时,其实为了建立这个可信,需要服务商能够做到对用户及时的披露,以及做到履约执行的相应的能力,包括不管是事前措施能够及时的告知用户,以及事中的一些问题,或者是事后的一些处置手段,都需要去及时披露给用户,进而建立服商和用户之间一个可信的桥梁。
最后一部分,服务商非常需要去做的就是责任的共担,我们认为其实应该去从几大方面来讲,分别包括物理基础设施的安全、资源抽象和管理层面的安全、操作系统的安全、网络控制安全、应用安全、数据安全以及身份识别和访问管理的安全等等方面。需要注意的是在比如说IaaS PaaS或者SaaS不同类的这种服务中可能对于某一些责任,它的定义是有区别的。对于镜像安全来说,在IaaS场景下,其实更多的是指代云服务商向用户交互的这种公共的镜像,或者是第三方服务市场中的镜像,以及用户自己使用的一些其他来源的镜像。而在PasS和SaaS场景下,其实是不涉及到向用户交付相应的镜像,更多的是服务商自己使用的一些镜像的安全,所以这个需要在不同的场景下明确不同的责任的定义。
在整个责任定义明确之后,需要建立一个责任共担模型,进而去识别哪些是云服务提供者的责任,哪些是云服务客户的责任。这样能够在事前明确双方的责任之后,最大可能避免安全事件的发生。一定要确保相应的用户和服务商都能够承担自己的责任,而同时,因为责任清晰的界定,如果发生了事件,在事后也更能够去客观的做事件的定责,进而能够通过法律或者是经济的手段来降低相应的责任的损失。
上述是我们认为的云服务商应该从哪些视角去不断的提升自己的安全能力。同时用户因为有自己的一些业务属性,或者是一些行业的要求,在云平台的安全性基础之上,还应该开展自身的安全防护能力的建设。
接下来的这一部分,我主要介绍一些在这方面的探索。包括第一方面我们认为最关键的就是做云工作负载的保护。这个主要是考虑到两方面的挑战,一是用户上云之后,涉及本地的物理设备以及云上的这种虚拟机容器,以及多云环境下不同的虚拟机容器之类,各种异构资源的安全的问题。同时,多云混合云场景下,如何做跨云的统一安全管理也是它的一个痛点。在此背景之下,其实Gartner早在几年之前就提出了云工作负载保护CWPP的概念,来去为云上资产最后一公里云工作负载去提供相应的保护。
我们认为在整个CWPP的建设过程中,其实它分两大类的能力。
第一是核心的安全能力。也就是能够通过这些能力去保证工作负载的安全,包括传统意义上物理服务器安全过程中涉及到的,比如安全基线的扫描,入侵检测,恶意代码防范等等,也包括云环境下需要去做一些容器的安全,需要去做一些微隔离等等。
第二大部分是安全管理的能力,这一部分的能力更多的是支撑核心的安全能力充分发挥,提升企业上云之后对工作负载的安全管理,包括像统一的资源管理,可视化,安全策略的管理等等。
综上,其实是考虑到需要做云上的这种应用和网络的安全,这也是两个其实在行业里发展比较成熟的方案,云WAF和防火墙,而这两个方案随着云的发展,也呈现了一定的演进和变化。
我们强调云WAF和防火墙,随着上云进程的推进,需要去朝着原生云方向去发展,包括对于云WAF来说,我们需要它在公有云场景下,能够跟这种CDN等等云的网络设施进行比较好的融合整合,进而给云上应用提供更好的安全防护。第二是对于防火墙,用户不仅仅需要关注互联网到内网之间的安全防护,更多的也需要去考虑到VPC和VPC之间的一些访问控制,这个也是云防火墙的一个比较重要的能力。
同时,因为随着云整个资产的弹性变化,云上业务和应用的弹性变化,WAF和防火墙也都强调分布式部署和弹性扩展的能力。
在以上的能力建设之后,其实我们也强调用户需要去做统一的这种安全管理和运营。这个也是希望能够进一步的实现安全资源的整合,在统一安全管理和运营的阶段,其实不仅仅需要平台,还需要人员的能力建设和运营管理机制的一个完善。
在整个这三大块过程中,其实主要是实现四点目标;
第一是能够对云上的资产进行统一的管理,包括自动化的盘点,配置的检查等等。
第二是需要对所有的安全事件进行统一的关联分析。因为随着整个业务的增长,我们的安全数据呈爆炸式增长,如何去利用这些安全数据也是比较关键的,所以需要通过关联分析发现潜在的安全风险。
第三是安全策略的统一管理和编排,这个也是因为涉及到非常多的安全工具和设备,需要有一个高效的手段能够做到统一的这种策略的下发和配置。
最后的,是需要有安全态势的可视化的能力。这样能够更直观形象的去掌握整体的态势。
最后,随着上云的发展,云上的业务更加复杂,不仅仅需要关注网络数据安全等,同时也需要关注一些业务侧的风险。所以,随着整个黑灰产的不断的发展,上云企业需要去结合大数据,人工智能隐私计算等等这些新的技术去提升自己的业务风控能力,进而实现云上业务的安全。
最后想跟大家讲讲对整个云安全发展的一个小小的展望。
一方面,这两年以及未来的几年,零信任一定是非常需要大家关注的一个点。我们认为整个零信任在未来一定会贯穿到云基础设施,到云上层应用的各个层面,包括比如说在平台侧服务商需要基于零信任理念去构建不同的服务,包括IaaS PaaS SaaS等等。
一方面,在整个服务的研发运营过程中充分的利用零信任,比如在开发的时候,人员需要用零信任理念去做开发,同时把零信任的一些理念贯穿到IaaS PaaS SaaS的安全的功能上面。对于用户侧来说,用户也需要基于相应的零信任理念去实现不同场景的安全机制,比如说多云混合云的接入,或者是一些API的防护等等。
目前来说,大家越来越重视安全,所以涉及到非常多的一些安全工具,安全技术,安全手段的采纳。在整个过程中,用户也面临一定问题,比如没有那么多专业的人员去充分的利用平台,一些安全事件的操作比较复杂。所以用户越来越意识到安全的建设不是一味的去叠加安全工具,而是需要去做一定的安全整合,平台或者供应商的整合,进而提升安全资源的利用率,充分的去释放整个安全数据的价值。
中国信通院一直聚焦在云安全领域开展了非常多的工作,包括会制定相应的一些行业标准,国家标准或者是一些ITU/IEEE等等国际的标准。进而去规范行业的发展,同时也会基于标准去开展一定的测试评估工作。每年我们也会聚焦在一些云安全的重点领域或者是一些痛点去发布相应的一些报告,比如我们会发布一些责任共担的白皮书,云服务安全治理的白皮书,以及供应侧的一些全景图的梳理等等。
与此同时,我们也建立了生态联盟,希望能够依托生态联盟去建立云服务商安全厂商和重点用户之间的这样的一个桥梁。来提升他们在某一些方面的安全能力,所以目前我们聚焦在像业务安全,供应链安全,零信任等等方向都成立了一些生态联盟,进而推动细分安全领域的发展。
如果对我们整个工作感兴趣,也非常期待可以一起交流,谢谢大家!