文│中国信通院云计算与大数据研究所所长 何宝宏
全球数字经济背景下,云计算成为企业数字化转型的必然选择。在企业上云过程中,传统安全防护机制暴露不足,探索云安全建设新方法成为重点。原生云安全理念强调安全建设与云在时间和空间上的深度融合,成为实现云安全的关键选择。
一、传统安全防护机制在云计算场景存在瓶颈
与传统 IT 系统架构相比,云计算因引入新技术、运营模式变化等原因,面临新的安全风险,传统安全防护机制遭遇挑战。
(一)虚拟化、容器等技术打破物理安全边界,云内防护是短板
传统安全防护机制侧重在内网边界针对南北向(外部)流量进行检测和防护。但随着虚拟化、容器等技术的发展,资源粒度不断细化,从物理服务器,向虚拟机、容器,以及无服务方向演化,为应用由单体架构向微服务分布式架构升级带来契机。分布式架构中各服务间需进行频繁的交互,导致负载间的东西向(内部)流量大幅度增加,一旦外部威胁突破内网防护边界,将在内部横行无阻,带来不可估量的损失。
(二)资源暴露面增大,海量威胁对安全防护性能提出更高要求
传统 IT 架构下,应用、数据、计算资源(物理服务器、虚拟机、容器等)等资源位于企业数据中心内网,仅对互联网开放有限端口,企业对资源安全管理和把控能力强。随着多云、混合云成为企业 IT 建设的主要选择,资源分布于云端,跨云的连接和数据传输使得暴露面增大,面临更多来自互联网的规模化、多样化威胁,安全防护能力需不断提升。然而,传统安全防护机制以部署各类安全设备为主,防护性能依赖硬件的叠加,扩展性较差。
(三)安全建设滞后,难以适应研发运营迭代速度
随着容器、微服务等云原生技术的快速演进,云计算平台的设计开发工作复杂度不断提升,虽然实现了安全的基本功能需求,如身份认证、加解密、日志审计等,但整体防护机制相对滞后,以后期安全防护为主,前期自身安全性同步建设往往被忽视,安全保护措施同步规划、同步建设、同步使用情况仍存在短板。
(四)孤岛式安全设备导致海量安全数据利用率低
传统安全防护机制中,不同安全域、不同类型的安全设备通常独立部署,彼此之间较少进行数据互通,只着眼于局部数据。随着企业上云用云程度加深,云资源、云上应用以及安全设备等规模不断扩大,沉淀海量网络数据、日志、安全告警等,孤岛式部署模式下安全设备缺乏对全局的掌控与分析,致使对杀伤链离散威胁信号的敏感度低,难以察觉与对抗愈发复杂的攻击手段与高级可持续威胁。
二、原生云安全理念定义
国内外组织机构纷纷提出原生云安全理念。为缓解传统安全防护建设中存在的痛点,促进上云企业更加安全的使用云计算,原生云安全理念兴起,国内外组织机构纷纷提出以原生为核心构建和发展云安全。
Gartner 提倡以云原生思维建设云安全体系。基于云原生思维,Gartner 提出的云安全体系覆盖八方面,如图 1 所示。其中,基础设施配置、身份和访问管理两部分由云服务商作为基础能力提供,其他六部分,包括持续的云安全态势管理,全方位的可视化、日志、审计和评估,工作负载安全,应用、PaaS 和 API 安全,扩展的数据保护,云威胁检测,云用户需基于安全产品实现。
图1 Gartner 云原生安全体系
Forrester 以 37 项指标评估公有云平台原生安全能力。Forrester 认为公有云平台原生安全(Publiccloud platform native security, PCPNS)应从三大类、37 个方面去衡量,如表 1 所示。从已提供的产品和功能,以及未来战略规划可以看出:一是考察云服务商自身的安全能力和建设情况,如数据中心安全、内部人员等;二是云平台具备的基础安全功能,如帮助和文档、授权和认证等;三是为用户提供的原生安全产品,如容器安全、数据安全等。
表1 Forrester 公有云平台原生安全能力指标
结合我国产业现状与痛点,原生云安全指更安全的云数字基础设施和更适配云数字基础设施的安全防护能力。更安全的云数字基础设施一方面通过云计算特性帮助用户规避部分安全风险,另一方面能够将安全融入从设计到运营的整个过程中,向用户交付更安全的云服务。更适配云数字基础设施的安全防护能力要求安全产品原生化,能够融合于云平台,解决用户云计算环境和传统安全架构割裂的痛点。
图2 原生云安全理念
三、更安全的云数字基础设施
原生云安全强调云平台安全原生化,一方面借助云计算特性,另一方面云服务商从云平台的设计阶段起考虑安全因素、纳入解决方案,将安全前置,让云计算成为更安全的数字基础设施。
(一)云计算特性规避部分安全风险
与传统 IT 环境相比,云计算具备多种特性优势。上云后,借助和利用云计算特性,云用户面临的部分安全风险迎刃而解,主要体现在以下三点。第一,云计算采用分布式存储的方式,保证了数据的高可靠性,降低数据丢失风险。第二,云计算资源的统一管理助力企业摆脱复杂化、碎片化的安全管理模式,实现统一的安全管理。第三,借助于云计算的网络虚拟化能力,企业可以更加清晰地掌握自己云环境内东西向流量的情况,实现更加精细化的流量隔离与管控。
(二)云平台从研发阶段关注云计算安全问题,前置安全管理
针对云服务的安全,通过在产品研发全生命周期便融入安全措施来提升云服务质量,覆盖云服务研发运营的整个过程,降低解决安全问题的成本,具体措施如图 3 所示,包括:管理架构,建立合适的人员组织架构与制度流程,保证研发运营流程安全的具体实施;安全培训,针对人员进行安全培训,增强安全意识,进行相应考核管理;明确安全要求,前期明确安全要求,如设立质量安全门限要求,进行安全审计,对于第三方组件进行安全管理等;安全需求分析与设计,在研发阶段之前,进行安全方面的需求分析与设计,从合规要求以及安全功能需求方面考虑,进行威胁建模,确定安全需求与设计;安全研发测试,搭配安全工具确保编码安全,同时对于开源及第三方组件进行风险管理,在测试过程中,针对安全、隐私问题进行全面、深度的测试;安全发布,服务上线发布前进行完整性审查,制定事先响应计划,确保发布安全;运营安全,上线运营阶段,进行安全监控与安全运营,通过渗透测试等手段进行风险评估,针对突发事件进行应急响应,并及时复盘,形成处理知识库,汇总运营阶段的安全问题,形成反馈机制,优化研发运营全流程;服务停用下线,制定服务下线方案与计划,明确隐私保护合规方案,确保数据留存符合最小化原则。
图3 可信研发运营安全体系
四、更适配云数字基础设施的安全防护能力
原生云安全强调安全防护能力原生化。服务商提供内嵌于云、能够有效解决云上安全风险的原生安全产品;云用户能够利用原生安全产品,建设与云计算环境融合的安全体系与架构,规避传统安全架构与云计算环境割裂等问题,更加安全的使用云计算。
(一)更适配云数字基础设施的安全防护能力具备四大特性
第一,部署与使用模式更加便捷,原生安全产品虚拟化、容器化部署,或 SaaS 形式交付,统一配置和管理。第二,充分利用云平台原生的资源和数据优势:一方面,原生安全产品利用云计算的计算、存储、网络等资源,实现安全防护能力的弹性扩容;另一方面,原生安全产品能够更便捷、全面地获取云平台内数据,通过整合、关联分析云平台内各类数据,深入挖掘潜在安全风险。第三,各安全产品间、与用户云资源有效联动,原生安全产品因与云平台深度融合,能够对云资源进行更有力的控制,各原生安全产品间能够有效协同。一是能够自动识别云资源,迅速感知云资源的状态和信息;二是对风险资源进行主动处置,在发现安全事件时,不仅能够生成告警信息,还能够自动联动相关云资源或其他原生安全产品,对安全事件采取处置措施和防护手段,实现从检测、告警到处置的安全运营自动化闭环。第四,解决云计算面临的特有安全问题。原生安全产品能够充分考虑本文中提出的云计算新安全风险,为用户云计算环境提供更有力保障。
(二)原生安全防护与传统安全防护对比
原生安全防护依托四大特性,与传统安全防护相比,存在四方面优势。第一,在部署与使用方面,传统安全防护通过硬件设备以串行、代理等形式部署,配置和维护困难,与之相比原生安全防护能够实现统一配置和管理,部署简单、使用便捷。第二,在防护范围方面,传统安全防护往往在数据中心出口处做安全检测,侧重边界防护,云内安全管控缺失,原生安全防护能够深入虚拟化层,实现云内检测与防护。第三,在防护性能方面,企业业务高低峰动态变化,安全需求也随之波动,传统安全防护中安全设备在非高峰期利用率低,资源浪费。与之相比原生安全防护基于部署特性,能够按需扩缩防护能力,资源利用率更高。第四,在安全数据利用方面,传统安全防护各设备相对独立,信息无法共享和利用,形成安全孤岛。原生安全防护在私有云中能够将云内安全数据进行整合汇聚并结合外部威胁情况挖掘风险,而在公有云中,能够基于公有云内全网安全数据并结合云外威胁情报发现风险,数据利用率大幅提升,风险发现效率和准确率也不断提高。
表2 原生安全防护与传统安全防护对比
五、原生云安全展望
未来,原生云安全将整合多方资源,建设以云平台为中心的安全生态。随着云计算的发展,用户类型日益多样,不同用户群体面临不同安全场景,安全需求差异大。同时,网络安全环境日益严峻,云安全所涉范围越来越广,构成愈加复杂。仅凭一家厂商的技术与管理能力,原生云安全建设难以面面俱到,一些领域暴露短板。未来,云安全多方将协作建设一个更加完善、开放的原生云安全生态。一方面,云服务商与安全厂商的合作将不断深化,双方结合在技术研究、人才储备、产品应用等方面的积累和经验,协作提升云平台安全性,或对外提供原生安全产品;另一方面,云用户作为云计算和原生安全产品的最终使用者,在安全生态中也将发挥重要作用,可积极参与威胁情报共享等活动。
(本文刊登于《中国信息安全》杂志2022年第5期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
