《云上安全白皮書2021》是由嘶吼安全產業研究院通過多方調研和專家訪談，歷時一個多月撰寫而成。本次云上安全白皮書首次引入了甲方視角，嘶吼產業研究院在會上解讀表示，2021年云上安全市場即將突破百億大關，盈利模式也從單純的賣產品和賣“人頭”開始向更多資本側、渠道側和經濟型盈利模式側傾斜，未來云上安全的高速發展趨勢勢不可擋。

　　私有云安全需求

　　企業做私有云時初定的目標是穩定、高效、安全、綠色。剛開始覺得過等保是目標，后來發現遠遠不是。要從確保云能力持續穩定安全的輸出的角度來看安全，能夠讓用戶始終都用上云上服務。

　　多條技術路徑混合，企業云安全充滿挑戰。在企業私有云里面，往往不是一種技術戰，通常面對多種技術戰，如基于VMWare、基于開源的OpenStack等結構，還有各種商業性的公司。大型國企里面，各種技術、廠家共存。當要構建云安全時，面臨的問題不是單一的問題，而是多種技術基礎上，甚至在不同的私有云面前的建設問題。網絡安全的出口設備，包括云都不一樣，該怎么辦呢？怎么把這些能力串在一起，還能夠穩定的進行工作，這些都是非常大的挑戰。除此之外，通過調研標準化組織和機構給出的云安全風險 （OSCAR開源云聯盟、CSA云安全聯盟、ENISA歐洲信息安全管理局），整理成云安全風險列表可以看出：數據泄露、數據丟失、惡意內部人員等風險是共性的安全風險。

　　基于此，總結出企業私有云的安全需求：

　　一致性：要和企業既有的及未來規劃的云計算架構、安全設施架構有機融合，這是一大挑戰。

　　合規性：站在用戶角度必須過等保，但這個過程中，能不能以能力建設應對等保合規性是需要探索的問題。

　　靈活選擇安全能力的需求：結合企業實際情況，根據業務需要，能靈活選擇和分配能力，能以不同的成本、效能來選擇。

　　可持續實戰需求：能投入生產，能實戰，能支持云上應用、服務能持續輸出。

　　云安全體系架構

　　在上述需求基礎上要建立一個什么樣的云安全體系結構呢？通過對CSA的云控制矩陣和等保2.0的體系結構，以及SANS滑動標尺模型、自適應模型和零信任模型的梳理，總結出這樣兩點體會：第一、強調要分層次，強調從基礎架構到應用的防護。第二、強調要疊加演進，從被動到主動的防護，能力閉環。

　　結合私有云安全需求、SANS滑動標尺模型、云等保責任共擔模型，細化設計后的云數據中心安全體系架構如圖：

　　在云安全體系結構中，安全防護能力橫向分為4個層次：基礎結構安全、縱深防御、積極防御、威脅情報?？v向分為云化安全防護和云平臺基礎防護。在等保里已明確提出所有的云防護測評需要分成兩部分：一是對云平臺自身的防護，二是對其上云應用的防護。業界普遍把研究重點集中到云化的安全防護，但對云平臺的基礎防護基本沒人研究，云平臺到底該怎么防護？在這個過程中，按照云安全體系架構設計思想，針對平臺側安全能力、租戶側安全能力，統一安全基礎設施提出了能力設計，放到不同的模塊當中。藍色代表云化的能力，橙色代表平臺側必須具有的能力，綠色代表統一的安全能力。云邊界的安全防護能力，需要結合實際，不僅給云提供邊界，同時給云平臺提供邊界，起到節約成本的效果。

　　基礎結構安全。在各種安全能力中，有一些基礎能力非常關鍵，如基礎設施的統一身份認證和管理，這也是零信任的核心問題；又如數據生命周期的安全管理等。

　　全面縱深防御。云平臺底層基礎設施網絡縱深防御以及租戶側虛擬網絡縱深防御是難點。平臺側縱深防御基于分區、分域的安全原則，把云管理平臺、云操作系統和資源池分別放到不同安全域里面，同時在中間加裝各種防火墻和防護機制，只允許配置過安全策略的這些節點之間相互通信，同時對外提供防火墻和其他防護機制，從而形成縱深的防御體系。

　　租戶側東西向、南北向流量防護也是難點，業界的各種解決方案都各有利弊。

　　沒有一個方案是完美的，都有缺陷，最后怎么權衡？第一、投入的成本。第二、你希望取得的效果。沒有十全十美的解決方案，相信你選中的合作伙伴！

　　東西向流量防護、南北向流量防護。結合業界實踐情況，根據東西向防護、南北向流量防護不同路線的優缺點和各種安全能力的特點，采用最適合其發揮最大能效的實施方式。

　　積極防御和威脅情報。云管平臺需與集中安全管理平臺結合，還需與態勢感知平臺等相結合，雙向通信，形成主動防御。

　　滑動標尺模型為云安全建設明確了建設步驟，在云安全建設的過程中，應逐步完成基礎機構安全、縱深防御、積極防御和威脅情報，左側安全能力是右側安全能力的基礎和依賴，協同聯動整體的安全能力。

　　建立起云安全體系架構后，各種安全能力怎么整合，才能有效持續確保云能力持續穩定安全的輸出，又成為下一個挑戰。而零信任模型似乎是一種思路，值得深入研究。

　　鐵信云對零信任模型的理解

　　零信任體系架構是一種端到端的網絡/數據安全方法，包括身份、憑證、訪問管理、操作、終端、宿主環境和互聯基礎設施，是一種側重于數據保護的架構方法。

　　零信任模型對傳統的邊界安全架構思想重新進行了評估和審視，并對安全架構思路給出了新的建議：默認情況下不應該信任網絡內部和外部的任何人、設備、系統和應用，而是應該基于認證、授權和加密技術重構訪問控制的信任基礎，并且這種授權和信任不是靜態的，它需要基于對訪問主體的風險度量進行動態調整。

　　NIST給出的零信任模型定義為：零信任架構提供了一個概念、思路和組件關系（架構）的集合，旨在消除在信息系統和服務中實施精確訪問決策的不確定性。零信任是一套不斷發展的網絡安全模式的術語，它將防御從靜態的、基于網絡的邊界，轉移到關注用戶、資產和資源上。

　　基于零信任模型的思想、定義理解，可以看出零信任模型重點是應用和數據服務的安全交付。核心理念是基于身份的動態權限管理，其關鍵能力可以概況為：以資產為基礎，以身份為核心、業務安全訪問、持續信任評估和基于最小權限的動態訪問控制。

　　因此將云安全體系架構滑動標尺的安全能力和業務系統、信息化系統緊密結合起來，動態聯動，形成耦合關系，就可以形成基于零信任架構理念落地的一種內生安全解決方案。

結合零信任模塊框架圖，一個深刻體會是策略執行點的選擇。不同的場景，應結合企業實際情況，靈活的選擇策略執行點，如主體資產上的客戶端安全軟件、遠程訪問場景下的網關、數據訪問場景下的API網關、應用軟件的授權控制模塊、應用資源隔離場景下的微隔離防火墻等。這些策略執行點的選擇可根據業務需要選擇單個或者多個組合，以滿足業務的需要。另外一個深刻體會是策略決策點在什么位置更合適，需要結合業務場景做選擇。

　　以內生安全支撐云服務交付

　　為實現內生安全的云服務交付，應結合場景，先梳理核心資產，清楚防護目標的暴露情況，清楚訪問路徑，并結合云安全體系架構滑動標尺中的各項能力對照，梳理出需要的安全能力、并分配到合理位置。將所需要的安全能力和業務軟件開發、系統建設融合，而不再單純是外掛式安全防護機制，實現安全和業務同步規劃、同步建設，建立起以資產為基礎、以增強身份治理為核心、動態調整授權的內生安全機制，支撐業務的安全防護。

　　以應用交付、數據交付場景為例。細化落實的過程異常復雜。舉例來說，一個軟件應用最簡化的模型可以由前臺門戶、業務服務、數據處理、認證授權這幾個模塊組成，用戶通過電腦或手機經過網絡來到云邊界，再到應用邊界，再到應用，這個場景大家都覺得很簡單，傳統做法主要為加裝各種安全組件，縱深防御。但數據的防護和應用的防護怎么辦？要防護到哪一級？菜單能點擊嗎？報表能看嗎？數據能取走嗎？把上述這些設計理念一一落實的過程異常復雜。在這個場景中，防護目標是云上運行的應用，暴露面包含著域名、IP、端口、API、URL、頁面菜單、功能按紐、數據等。資產有用戶的終端設備、網絡設備、云主機、容器、應用進程等。訪問路徑可以從用戶終端-公司內網-云邊界-數據中心網絡-應用邊界-應用內虛擬網絡-應用云機端點-應用服務等。當把網絡細分時，有公司內網、互聯網、數據中心之間的交互用戶進一步細分，尤其是用戶的身份，在公司內部就有普通用戶、應用管理員、IT運維人員。在公司外部還有協作人員、供應鏈的人員等，疊加起來，不同場景下，每個人的權限都不一樣，每個人要賦予的職責也不一樣。

　　結合云安全體系架構的安全能力，選擇所需要的安全能力。

　　在基礎結構側，結合上述細分訪問場景，細化安全能力選擇。例如對于公眾從互聯網訪問，可選擇用戶身份治理，如瀏覽器類型、版本的要求；而對于應用的管理員/運維人員從企業內網訪問，則必須選擇用戶身份治理，訪問終端安全加固、補丁升級等安全基線管理；而對應用運維人員/企業云基礎設施運維人員/企業云基礎設施供應鏈供應商從互聯網訪問，則在上述安全能力的基礎上，還需選擇終端合法性認證、網絡流量加密等安全能力。

　　在縱深防御側，基于基礎結構的資產、訪問流向等，建立起逐層收縮攻擊面、逐層防御的立體安全策略執行體系。云上工作負載的微隔離是縱深防御的難點。通過微隔離實現不同應用間的隔離和應用內部中各云主機/服務的隔離，除允許必要的通信外，默認拒絕任何其他訪問，實現云上資源內部的微分段。

　　基于身份的動態授權是內生安全的關鍵，包含權限管理以及動態調整兩個方面。權限包含靜態權限和動態權限，靜態權限主要在網絡平面，負責為應用提供穩定、逐層收縮的高質量網絡傳輸通道；動態權限主要體現在應用自身。

　　基于身份的分段授權，權限的管理需要結合業務訪問路徑上的設備、系統進行分段分層設置。網絡準入負責終端接入企業網絡的管理，網絡縱深防御負責應用IP/Port/DNS的管理，應用負責微隔離/頁面菜單/頁面按鈕/數據的管理，作為執行點的各個設備、系統應將權限配置、執行情況匯總到零信任模型的數據平臺，以實現可視化和動態調整。因此這是一個權限控制粒度從粗到細的一個過程，其中關鍵點是應用自身實現基于身份的細粒度權限控制，這也是安全能力和應用軟件融合實現非外掛式內生安全的關鍵之一。應用軟件通常都具有用戶認證和權限管理模塊，在新建應用系統的軟件規劃和設計時，應當結合業務需要和零信任的思想，在認證和權限模塊中做基于身份的細粒度權限管理，并和零信任的策略引擎等聯動，實現用戶身份的動態驗證、應用訪問的動態授權。

　　在此過程中，應用能看到所有路徑的權限情況，是零信任策略決策點的最佳位置。

　　數據安全防護和業務應用訪問場景基本一致，其差異點在于數據服務場景安全交付的重點是數據安全。數據服務交付場景面臨的風險包括API漏洞、缺乏細粒度數據訪問權限、身份認證不足、數據泄露等，因此在規劃和設計上除了云安全體系架構的基礎架構安全能力、縱深防御能力，關鍵是結合應用軟件和系統建設構建面向數據的內生安全能力。

　　面向數據的內生安全能力首先要基于數據治理，梳理出重要數據、敏感數據，按照零信任的思想，細化設計面向數據的身份驗證、權限控制、訪問行為審計等安全能力，設計和態勢感知、零信任策略引擎互動的安全能力，并在構建數據訪問API和系統建設時將這些安全能力嵌入到軟件和系統中，實現用戶訪問數據范圍可控、可跟蹤。

　　另外在防止數據泄露上，還需要結合用戶終端安全管控軟件做細粒度權限管理，例如是否允許下載的數據通過微信、郵件等渠道外傳。

　　內生安全能力與運維/運營融合構建實戰化持續交付能力。為支撐云服務持續安全穩定交付，需要能“可持續”的發現網絡攻擊并基于協同響應的實戰化安全運行做出有效響應，這就需要將網絡安全保障體系和運維/運營深度融合，實現可持續常態化安全保障，支撐云服務持續安全穩定交付。

　　首先，通過網絡安全保障體系的建設，形成網絡安全基礎設施，形成標準化的安全服務，并在日常工作中持續實施這些標準化的安全服務，確保安全能力的持續輸出。

　　其次，需要將安全運行融合到運維運營運行中，包括在信息系統的制度、流程等方面嵌入安全運行的要求，確保安全能力能被執行。

　　再次，需要在安全團隊和運維運營團隊間形成緊密協作、循環提升工作機制。在面對網絡攻擊、威脅入侵、響應處置、動態策略配置及優化、權限管理等工作時，能團結協作，形成以數據驅動流程的運行模式，確保實戰中能持續輸出安全能力，支撐云服務的持續交付，并在此過程中形成PDAC閉環的工作機制，循環提升安全運行的水平，持續改進網絡安全保障體系，支撐云服務持續輸出。

　　結束語

　　以內生安全支撐云上服務交付，要以“動態、綜合、可持續”為指導，以安全能力建設為基礎，圍繞服務交付確定防御重點，規劃建設動態綜合的網絡安全防御體系，使安全能力覆蓋服務交付路徑上的云資源、網絡、人員等所有IT要素，避免局部盲區而導致的防御體系失效，還要將安全能力深度融入物理、網絡、系統、應用、數據和用戶等各個層次，確保安全能力在IT的各個層次有效集成。圍繞人員和流程開展實戰化安全運行，將網絡安全保障體系和運維運營深度融合，實現可持續常態化安全保障，支撐云服務持續安全穩定交付。