摘 要:信息技术与现代生活及生产互相交融、不可分割,各国都把信息化作为本国重要的发展方向,依托信息化建设提高资源协作效率,推动技术创新,提高综合国力。在此背景下,云计算作为信息化基石,其安全性异常重要。由于传统的安全防护体系不再适用于云计算安全建设,因此,依据滑动标尺模型,结合等级保护制度,以软件定义安全、分层防御、区域自治、全面纳管的思想,从云环境识别、边界安全设计、云内安全设计、特权管理、安全管控 5 个方面对今后云计算安全防护提出理论指导。

内容目录:

1 云计算平台面临的安全挑战

1.1 新兴风险和传统风险会在云计算长时间演进下持续并存

1.2 用户需进一步提高对云计算平台的全面系统性安全建设认知

1.3 云计算安全日益严峻,面临更大的安全挑战

2 各行业在云计算安全建设上的误区

2.1 缺乏整体视角构建云上安全,安全及运营存在割裂

2.2 缺乏云内外安全态势,安全需要统管、统知

3 面向云计算安全防护建设的方法和要点

3.1 概念阐释

3.2 云安全建设思想

3.3 总体设计方式

3.4 云安全建设要点

4 建设成效

4.1 全面防护云计算平台,有效提供云上安全防护需求

4.2 云安全能力与云业务紧密结合,使云上业务服务更加安全

4.3 云安全能力与整体业务流程相结合,实现云上一体化的安全防护

5 结 语

互联网与人类生产生活不断地进行交汇融合,世界各国都把推进国家数字化作为实现创新发展、提高综合国力的重要方向。时至今日,席卷全球的数字化浪潮已对各国经济发展、社会治理、人民生活产生了重大影响。数字化算力的高速发展促使新的技术应用概念被不断提出,如智慧政务、智慧城市、智慧医疗、智慧交通等,这些新的互联网 + 概念的提出无疑是来自云计算的全面深入应用,让当前社会的生产效率大幅提升。传统网络信息架构提供的传统算力与云计算平台提供的全新算力,在技术采用、建设理念和管理方式等方面存在巨大差异,传统的安全防护体系已不再适用于承担如今云化进程中的安全防护任务。

云计算平台面临的安全挑战

1.1 新兴风险和传统风险会在云计算长时间演进下持续并存

云计算将传统的算力供应方式进行了颠覆式的改变,高效、弹性、按需贯穿了整个云计算的使命核心,但资源的使用方式本质上并没有发生变化,如业务形态、运行环境等,继承了传统网络结构下业务运行方式。因此,云数据中心同样没有将传统数据中心“一刀切”式地全部摒弃,这进一步说明了传统数据中心向云数据中心演变不是一蹴而就的。安全体系也是如此,它需要有效应对传统风险与新兴风险长期并存的局面。

1.2 用户需进一步提高对云计算平台的全面系统性安全建设认知

云计算从虚拟化技术到传统数据中心云化的高速发展期仅用了约 10 年时间。此前,大部分用户采用传统数据中心安全方式进行建设,云化后继续沿用了传统安全防护经验指导云数据中心的安全建设,由于传统数据中心和云技术中心在 IT 结构、安全运营方面具有较大差异,因而对于云计算安全建设方法,用户普遍认识不高。尤其是云计算具有多层次的网络纵深、多种角色的 IT 活动、多形态的服务特点,这就导致其与现有运行业务和安全管理脱节,无法有效地保护现有云上业务安全运行。

1.3 云计算安全日益严峻,面临更大的安全挑战

云计算的出现并没有改变原有的安全风险。作为新引入的技术,云计算带来了新的安全暴露面,加上云数据中心是应用、流量、数据的大型集散地,因此云数据中心被越来越多的破坏者注意。目前,对云数据中心的攻击呈现隐匿、动态的特性,常以单点爆破、横向扩散为手段进行云上攻击,因此,当以云计算的弹性、动态等特点为业务提供方便时,对安全也提出了新考验,导致静态的安全体系无法适应动态变化的节奏。

各行业在云计算安全建设上的误区

2.1 缺乏整体视角构建云上安全,安全及运营存在割裂

多数行业用户由于缺乏整体安全防护视角下的云安全规划建设,导致企业在安全建设当中存在缺失和不足。例如,云计算安全建设往往不能覆盖安全滑动标尺模型要求的基础架构安全、纵深防护安全、主动防御、威胁情报等安全能力;又因历史原因,企业的安全建设、制度建设往往只关注传统网络环境下的业务安全保障,而忽略了整个云化进程带来的与传统业务混合紧密结合的云数据中心,从而衍生出云计算平台多种安全风险。由于云业务具有极强的运营属性,在面向企业客户提供云基础服务时往往需要一起提供安全服务,但当前云计算安全建设往往与信息化建设存在一定的割裂,安全能力无法与云业务有效结合,从而导致安全服务游离于云基础服务之外,安全效果得不到保障。

2.2 缺乏云内外安全态势,安全需要统管、统知

云计算作为信息化基础设施,云平台本身可以成为一个完整的生态环境,所以企业需要构建对云上生态的感知能力,但当前建设情况差强人意,要么云上感知缺失,要么没有与企业整体安全态势联通,从而无法将云安全情况与企业安全情况联动,导致云安全体系保障效果大打折扣,也降低了云数据中心的服务效能。

面向云计算安全防护建设的方法和要点

3.1 概念阐释

所谓云计算安全防护,是基于私有云模式,基于基础设施即服务(Infrastructure as a Service,IaaS)、平台即服务(Platform as a Service,PaaS)、基础设施即服务(Infrastructure as a Service,SaaS)层不同云服务类型,结合云技术本身弹性拓展、虚拟化等特点,依据滑动标尺模型、等级保护要求采用全面覆盖、深度融合的方式规划设计云计算安全能力,利用统一规划、同步建设、同步运营原则,从工程设计角度出发,多维度地构建云计算平台的安全防护体系 。

3.2 云安全建设思想

3.2.1 软件定义安全

软件定义安全是面向云的数据中心安全防护的基础。面对云计算弹性、动态的特性,通过软件定义安全,实现对原有安全能力的改造创新,将安全能力软件化、服务化、资源池化,使其真正适应云数据中心的变化。

3.2.2 分层防御,区域自治

与传统数据中心不同,云数据中心是多层次、 多 角 色 的。针 对 云 计 算 IaaS、PaaS、SaaS不同层次的安全需要,设计不同的安全能力进行防护,使得每个层次能够独立进行安全管控和运营。同时,整体设计云安全中心,对全局维度的云数据中心安全能力进行统一监控、管理、运营。

3.2.3 聚合业务,全面纳管

将云安全组件结合到云的各个信息化层次中,并将云安全能力聚合到云数据中心的信息化业务中,可以实现对云主机、云网络、中间件、数据等云资源的全面安全纳管,确保安全成为云数据中心信息化的组成部分,落实安全对云数据中心的全面覆盖和深度融合。

3.3 总体设计方式

建设云计算平台安全体系,要基于云服务交付安全和基础云平台安全两大方面开展,借鉴滑动标尺模型概念、等级保护要求,按照基础架构、纵深防御、主动防御、威胁情报 4 个层级和安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心 5 个方面进行综合分析,然后进行总体架构建设,从而全面覆盖云计算平台安全需求,并做到安全深度结合云平台相关业务 。云计算平台能力体系如图 1 所示。

图 1 云计算平台能力体系

滑动标尺模型:该模型是由美国系统网络安全协会于 2015 年提出的一种科学规划网络安全建设投入的滑动标尺模型。该模型将网络安全体系建设过程阶段化,按照每个阶段的建设水平对安全防护能力进行评估,从而指导企业未来在安全防护能力方面的建设。目前,该模型的防护思路在国内一些领先机构的网络安全规划与建设中被借鉴与使用。

等级保护:《中华人民共和国网络安全法》颁布施行后,等级保护 2.0 被提出作为《网络安全法》落地执行的国家非涉密信息系统防护标准。为落实相关安全能力,企业机构应该按照如下步骤进行云计算平台防护建设,安全建设流程如图 2 所示。

图 2 安全建设流程

步骤 1:云环境识别。先识别云计算平台的IT 环境、业务环境,包括自身业务情况以及关联性,对外交付云业务、云资产 IT 业务、运维管理业务等内容,确认资源(网络、存储)占用情况,保障网络健壮性、后期业务增长拓展性及业务属性,从而挑选合适的安全能力。

步骤 2:对外边界防护设计。基于步骤 1 的结论,围绕云计算对外边界接入点设计,基于风险和业务需求选择所需要的接入点安全能力,比如企业内部接入点、互联网接入点等。

步骤 3:云内安全能力设计。基于步骤 1 识别到的业务结论,对网络、云工作负载两方面着手进行设计,配合威胁诱捕云内异常流量、威胁文件,具备检测、发现、告警、聚合分析、情况判定、威胁联合处置,以及云内可视、云内可管的基本能力。

步骤 4:云特权操作管控设计。云内特权操作是非常值得关注的,需要围绕云基础平台特权、云交付业务特权两方面进行管控:一是分配完权限后进行严格管理,非必要不使用;二是遵守权限最小原则进行权限分配,过期账号、弱口令账号及时清理。

步骤 5:云内外整体安全管控设计。云内外安全打通,纳入集中管理平台,将步骤 3 的基础安全能力做到统一管控,同时,集中开展安全策略、运行状态、风险处置,将所有安全探针收集到的安全日志进行聚合分析、联合研判。

3.4 云安全建设要点

3.4.1 云环境识别

识别云数据中心的接入边界,将其作为云安全边界防护的重要信息输入。一般政企机构的云数据中心边界包括:企业网(骨干网)接入边界、互联网接入边界、公有云接入边界等,部分机构还可能存在专有云接入边界。

3.4.2 云资源识别

识别被保护的云资源的详细属性信息,将其作为云安全能力设计的重要信息,具体属性包括:虚拟机资产、虚拟网络、中间件、云上应用系统、云基础平台硬件、虚拟化软件及管理组件等。需要识别相关云资源的类别、所属系统、重要程度、部署位置、归口管理等。

3.4.3 云服务交付业务识别

识别政企机构的云服务交付业务是一项重要工作,需明确云服务交付的业务类型是 IaaS、PaaS、SaaS 中的一种或者其组合。针对每一种业务类型,需要明确其内部服务对象、外部服务对象、访问关系、申请及管理方式、权限情况等。尤其是在使用混合云的情况下,要明确其 IT 责任,以确定安全服务等级协议(Service Level Agreement,SLA)要求。

3.4.4 云运维管理业务识别

识别运维管理场景的业务包括云内运维管理、云平台运维管理。需明确运维管理用户的属性、访问方式、权限设定、账号管理的机制等内容。

3.4.5 协同识别

在面向云的数据中心安全防护建设的过程中,应识别企业相关部门的参与,而不仅仅是云安全建设团队的参与。一般企业典型的相关建设方至少应包括企业的安全管理部门、安全运营组、网络及系统管理组、应用系统开发组、应用系统运维组、云平台项目组及 IT 服务中心。同时,还应识别相关对接系统,一般包括身份管理与访问控制平台、安全态势感知平台、系统安全平台、内部威胁感知平台、运维管理系统、云平台管理系统等。

3.4.6 对外边界防护建设要点

建设面向企业内网的云数据中心安全接入点,在安全接入点对进出云数据中心的网络流量进行网络层访问控制、流量监控及威胁检测,实现对云数据中心内部边界的风险收敛及网络安全防护。

建设面向互联网的外部安全接入点,在外部安全接入点对来自互联网的网络流量进行网络层访问控制、流量监控及威胁检测,实现对云数据中心外部边界的风险收敛及网络安全防护。

建设面向公有云的公有云安全接入点,对连接公有云的网络流量进行网络层访问控制、流量监控及威胁检测,实现对公有云专线接入的风险收敛及网络安全防护。

3.4.7 云内安全能力建设要点

在云边界建设共享的、资源可编排的网络安全栈,针对进出各应用系统区、专有云区、非安全系统与安全系统之间的缓冲区(Demilitarized Zone,DMZ)、系统安全服务区的流量提供访问 控 制、Web 应 用 防 护 系 统(Web Application Firewall,WAF)、内网虚拟专用网络(Virtual Private Network,VPN)、 应 用 安 全 代 理、应 用 程 序 编 程 接 口(Application Programming Interface,API)安全代理、负载均衡、零信任访问控制等安全服务,实现对云服务交付层的边界网络访问控制及应用安全防护 。

在云内建设数据中心统一的、资源可编排的系统安全服务,针对各应用系统区、DMZ 区、系统安全服务区的系统、容器的安全管理,提供软件更新、补丁分发、安全漏洞扫描、配置核查、防病毒、堡垒机、日志采集等安全服务,实现对云服务交付层的系统级安全管理和安全运行支撑。

建设云安全资源池,针对各应用系统区的内部网络、容器网络,提供网络访问控制、应用安全代理、API 安全代理、零信任访问控制等安全服务,并作为容纳承载密码、数据安全、应用安全等其他安全组件的资源池 。

基于分层自治的原则,协同网络对云基础平台按照存储、计算、管理的物理网络结构进行划分隔离、执行白名单访问控制、收缩硬件管理接口、实施虚拟化系统统一管理,通过平台底层的严格控制保障云服务交付层的灵活应用。在管理区为云基础平台提供补丁分发、堡垒机、日志采集等安全能力,实现对云基础平台的系统安全管理和安全运行支撑。

3.4.8 云特权操作管控建设要点

建设云特权操作管控系统、平台特权操作管控系统,应与统一身份管理平台对接,由统一身份管理平台实现对云平台管理用户、业务管理用户、应用运维管理用户、云数据库管理员等特权账号的管理,并基于属性的访问控制模型(Attribute-Based Acces Control,ABAC)开展特权用户操作和零信任访问控制,有效降低资源管控、运行维护等操作的安全风险。

3.4.9 云内外整体安全管控建设要点

建设云安全管理中心,为网络安全栈、系统安全服务、云安全资源池、云特权操作管控等提供统一的控制平面,并与云环境控制平面进行集成,支撑对混合云环境下的全局安全策略管控。

将云数据中心的安全数据接入安全态势感知平台,并向其开放控制接口,实现对云数据中心的整体安全监控及处置响应。

在面向云的数据中心安全防护建设的过程中,需要打通身份管理与访问控制平台、安全态势感知平台、系统安全平台、内部威胁感知平台、运维管理系统、云平台管理系统的接口互联,确保关键的身份数据、资产数据、风险数据得以流转,实现在面向云数据中心的同时又能够协同企业整体安全防护体系的体系化运作。

建设成效

4.1 全面防护云计算平台,有效提供云上安全防护需求

通过开展面向云计算平台的安全防护建设,可以构建全面覆盖云计算平台的各类场景需求的云安全能力,能够满足云计算平台的接入边界安全防护,保障云计算平台自身安全运行,构建云服务交付层的、面向企业用户的安全服务能力,确保云计算平台的开发、运维等特权操作安全,从而实现云计算平台安全防护的全面性。

4.2 云安全能力与云业务紧密结合,使云上业务服务更加安全

通过开展面向云计算平台的安全防护建设,可以将云安全能力嵌入云业务流程中。在云资源及云业务的产生、使用、更改、存储、注销等环节同步进行安全管理,将安全能力变成云运营业务的一部分,在企业开展云服务业务的同时同步交付云安全服务。

4.3 云安全能力与整体业务流程相结合,实现云上一体化的安全防护

通过开展面向云计算平台的安全防护建设,以滑动标尺为依据,在云上构建安全合规及态势感知能力,并体系化地实现与企业级的态势感知平台、身份平台、密码平台的互联互通,确保云安全防护不是一个独立、割裂的区域,而是企业整体安全体系的一环,并为数据安全、应用安全等领域提供承载环境和执行点,真正发挥体系化安全防护的效力。

结 语

本文通过对云计算平台安全风险以及各行业在云安全建设中出现的建设误区安全问题的研究,建议在建设云安全时做到统一规划、同步建设、同步运营,以软件定义安全,通过云特性的安全来提供安全服务,按照分层防御、区域自治、统一纳管的原则,结合滑动标尺架构和等级保护制度来构建云计算平台各类场景需求的云安全能力,在满足云计算平台接入边界安全防护的同时,保障云平台自身安全运行,构建云服务、云基础平台层面向用户的安全服务能力,确保云数据的开发、运维等特权安全,全面实现云计算平台安全防护。

引用格式:曹海杰 . 一种基于等保和滑动标尺模型的云安全系统性建设方法 [J]. 信息安全与通信保密 ,2023(9):79-86.

作者简介 >>>

曹海杰,男,学士,云计算解决方案专家,主要研究方向为云计算、信息安全、网络通信。

选自《信息安全与通信保密》2023年第9期(为便于排版,已省去原文参考文献)

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。