云计算安全白皮书 先进计算产业发展联盟 2023年12月 版权声明 本白皮书版权属于先进计算产业发展联盟,并受法律保护。转载、摘编或利用其它方式使用本白皮书文字或者观点的,应注明“来源:先进计算产业发展联盟”。违反上述声明者,将追究其相关法律责任。 前言 随着云计算的快速发展,传统行业在数字化转型的推动下,将业务和应用迁移到云上,开启了新的工作模式。相对传统模式而言,云计算具备的分布式、按需使用、易扩展、可重用等特性可以解决传统企业运营中面临的信息孤岛、成本高、资源浪费、效率低等问题。在享受各类云服务带来便捷体验的同时,云上数据的安全性成为了客户聚焦的核心问题,频发的云安全事件更是引发了广泛担忧。因此,云平台及云上数据的安全性成为云服务提供商亟待解决的问题。 本白皮书重点介绍了云计算安全市场的发展现状、安全威胁和挑战、安全参考框架以及未来的发展趋势。白皮书首先梳理了全球以及国内云计算安全市场规模以及重要方向,分析了当前云安全行业的政策环境,然后总结了云计算发展中面临的威胁及主要挑战,并针对这些挑战提出云计算安全的参考框架,介绍了云计算安全防护架构以及安全防护技术,最后对未来云安全产业的发展趋势进行了展望和预测。 编制单位:先进计算产业发展联盟 参编单位:浪潮电子信息产业股份有限公司、济南浪潮数据技术有限公司、曙光云计算集团有限公司 参编人员:邹小蔚、刘雁鸣、曹柱、梁媛、亓开元、吴栋、袁东海、冯振、张晓辉、董青、韩华珊 目录 前言I 一、云计算安全行业发展现状1 (一)云计算安全市场规模及发展趋势1 (二)云计算安全政策形势分析8 二、云计算安全威胁和挑战13 (一)云计算面临的安全威胁13 (二)云计算七大安全挑战14 三、云计算安全参考框架15 (一)总体建设思路15 (二)物理安全16 (三)云计算安全技术19 (四)云计算安全管理26 (五)云计算安全运维27 四、云计算安全发展趋势29 (一)数据安全体系建设的需求29 (二)提高可用性和安全性之间的平衡29 (三)零信任架构的应用30 (四)人工智能在云安全中的扩展作用30 (五)基于云原生的安全技术兴起30 (六)安全合规方案的自动化31 (七)保护不断扩大的物联网生态系统31 (八)基于eBPF“零侵入”技术兴起32 (九)超融合架构实现软硬一体式安全32 (十)围绕“一云多芯”构筑整体安全方案33 附录1:术语表35 附录2:缩略语表37 附录3:参考文献39 图目录 图1全球云计算安全市场规模增长情况6 图2中国云计算安全市场规模增长情况7 图3中国云安全服务市场份额占比7 图4云计算安全架构16 表目录 表1近年来发生的云安全事件1 表2云安全相关标准文件10 表3机房等级划分17 表4术语表35 表5缩略语表37 一、云计算安全行业发展现状 (一)云计算安全市场规模及发展趋势 在全球范围,云计算作为新兴产业之一,其在降本增效、便捷性、灵活性和扩展性方面的优势无可比拟,同时还通过对其他行业的带动和改造,使得云计算拥有了广阔的市场和美好的前景,这使得世界各国都将云计算行业作为首要发展目标,然而云计算安全问题也因为云的特性被无限放大,这也是互联网时代面临的一大难题,如信息共享、不同系统间对接后出现的个人隐私、业务数据泄露,配置错误、设备故障或资源耗尽导致的服务中断,以及针对开放接口的网络攻击、勒索病毒等问 题,以各类安全事件的形式进入公众的视野。 表1近年来发生的云安全事件 序号 事件时间 云服务 事件内容 原因 1 2017.3.22 青云QingCloud 用户业务及控制台无法访问 北京2区机房电力故障引发部分网关设备及计算节点重启 2 2018.6.27 阿里云 阿里云官网的部分管控功能,及MQ、NAS、OSS等产品的部分功能出现访问异常 上线自动化运维新功能时出现操作失误 3 2018.8.5 腾讯云 “前沿数控技术新媒体”公司存储在腾讯云上的数据无可挽回地全部丢失 因所在物理硬盘固件版本bug导致的静默错误影响,文件系统元数据损坏 4 2019.4.3 优刻得UCloud 北京二地域外网虚拟网关(UVER)某集群发生转发异常 灰度集群的配置文件被错误推送到某个业务集群上,预定的回滚措施没能正常运 行,导致转发异常 5 2020.3.3 微软Azure 微软位于美国东部数据中心发生了6个小时的服务中断,从而导致美国北部的一些客户无法使用Azure云服务 微软称这次故障应归咎于冷却系统故障 6 2020.3.26 谷歌云 谷歌云宕机长达14小时,多个云服务无法访问 基础设施组件问题 7 2020.4.10 华为云 华为云出现大面积宕机,登录、管理后台无法访问,本次宕机持续约三小时 有消息称这次宕机主要是由于北京的机房出现故障导致的 8 2020.6.2 苹果iCloud 苹果iCloud云存储服务宕机,导致一些用户无法顺利登录iCloud账户,无法访问Web应用程序和iCloud邮箱等其他产品,基于iCloud平台的Applepay等服务的运行也不正常 不详 9 2020.6.9 IBMCloud IBMCloud发生长达四个小时的中断故障,导致多项托管于平台上的互联网服务中断,其中就包括知名科技新闻聚合网站Techmeme IBM网站解释到,INM网络运营团队调整了路由策略,处理了第三方提供商引入的问题,这次故障也得以解决 10 2020.8.10 多家云服务器 Muhstik僵尸网络大肆攻击国内云服务器,有数千台服务器失陷 境外IP及部分国内IP针对国内云服务器发起的攻击,攻击者通过SSH(22端口)暴破登录服务器,然后 执行恶意命令下载Muhstik僵尸网络木马,组建僵尸网络并控制失陷服务器执行SSH横向移动、下载门罗币挖矿木马和接受远程指令发起DDoS攻击 11 2021.12.7 亚马逊云 亚马逊云宕机长达两小时,关联的一些网站和服务瘫痪 不详 12 2021.12.11 Kronos私有云 云人力资源管理公司Kronos遭到勒索软件攻击,据Kronos声称,攻击者访问了Kronos私有云(KPC)云环境,并在部署勒索软件之前窃取了许多企业客户的员工数据信息 不详 13 2022.1.11 亚马逊AWS 美国数字化调度平台FlexBooker遭遇数据泄露,威胁分子闯入其AWS(亚马逊网络服务)服务器后,370万用户的敏感信息外泄 调查发现,该公司使用AWSS3存储桶来存储数据,但并未实施任何安全措施 14 2022.3.20 微软Azure Lapsus$黑客组织入侵了微软的AzureDevOps服务器,窃取了37GB的数据,这些数据主要是微软各个内部项目的源代码,包括必应、必应地图和Cortana。黑客随后在其Telegram 利用微软内部一名员工获得对源码存储库有限访问权限 频道上泄露了被盗数据 15 2022.3.21 亚马逊AWS 由于配置错误的AWSS3存储桶,土耳其飞马航空公司(PegasusAirlines)泄露了约6.5TB的数据,包括敏感的航班数据、源代码和机组人员的个人信息 包含飞马航空公司电子飞行包(EFB)信息的AWSS3存储桶没有口令保护 16 2022.6.30 阿里云 黑客从上海警方数据库窃取了超过10亿中国公民的数据,并企图向上海市公安局勒索约20万美元 攻击者从中国电子商务巨头阿里巴巴的子公司阿里云托管的一个数据库中窃取了数据调查显示,数据库本身是安全的,但管理仪表板可以从开放的互联网随意访问 17 2022.9.24 微软Azure 网络安全供应商SOCRadar向微软通报了一次重大数据泄露事件,声称属于100多个国家的65000多家公司的2.4TB微软客户数据被泄露。这起数据泄露事件被称为“BlueBleed” AzureBlobStorage存储桶配置错误 18 2023.5.12 丰田ToyotaConnectedCorporation(TC) 日本丰田汽车公司12日承认,由于云服务平台设置错误,其日本车主数据库在近10年间“门户大开”,约215万日本用户的车辆数据蒙受泄露风险 该云环境中的设置错误是由于系统性质被设置为“公共”而非“私人”的人为错误设置导致的 表格数据来源:根据公开信息整理 云安全事件一旦发生,就会对企业造成不可挽回的巨大损失,为避免此类事件再次发生,越来越多的客户在挑选云服务商时将安全和稳定放在第一位,也因此催生出一大批提供云计算安全产品和服务的公司,有传统的安全厂商对其产品进行云化升级,以支持多租户、虚拟化等应用场景,如奇安信、深信服、安恒、绿盟、天融信、趋势科技等公司;也有新诞生的基于互联网基因的云安全公司,能够定制更加符合云环境的安全产品,如青藤云、云安宝等。除了直接面向最终客户销售云安全产品和服务的方式,行业内领先的云服务提供商如亚马逊、微软、谷歌、阿里云、华为云等公司,也通过与上述安全厂商合作的方式打造云安全生态,为云上客户直接提供可定制的云安全服务。随着各类云安全需求的涌现,加上国家战略和政策面的激励,企业加快了人才招聘和培养的进度,云安全也出现了很多细分领域,整个行业呈现出了高速的发展态势。 根据市场调研机构的数据显示,2020年到2022年间全球云安全市场规模呈逐年递增趋势,2023年受到俄乌冲突事件以及全球经济下滑趋势的影响增速有所放缓,预计全年规模将达到131.5亿美元。其中,公有云安全市场规模将达到75.8亿美元,占比57.7%;私有云安全市场规模将达到37.9亿美元,占比28.8%;混合云安全市场规模将达到17.8 亿美元,占比13.5%。预计2024年开始市场增长加速,到2025年全球 云安全市场规模将有望超过190亿美元。 图1全球云计算安全市场规模增长情况 图片来源:公开资料整理 中国在全球云安全市场中占据重要地位,受益于政策和各方需求的推动,为我国云安全市场发展提供了良好的契机。2020年以来,中国云安全市场规模呈现出快速增长的态势,2022年在国家“东数西算”工程全面推进的战略驱动下,中国云安全市场规模达181亿元左右,同比增长 约47%,预计到2025年中国云安全市场规模将突破470亿元大关。 图2中国云计算安全市场规模增长情况 图片来源:公开资料整理 根据最新调查数据显示,2023年中国云安全服务市场份额占比排名前三的分别是:数据加密服务(82.4%)、防火墙服务(76.8%)和身份认证服务(71.2%),其次为安全监测服务(65.6%)和安全审计服务(59.2%)。 图3中国云安全服务市场份额占比 图片来源:公开资料整理 (二)云计算安全政策形势分析 中国政府高度重视云计算和云安全的发展,出台了一系列相关的法律法规,如《网络安全法》、《个人信息保护法》、《数据安全法》、《关键信息基础设施安全保护条例》等,以规范云计算行业的行为和责任,保护用户的数据和隐私。为指导具体工作的开展,国家多个部门都出台过云计算安全相关的政策文件。 2012年05月,科技部发布《中国云科技发展“十二五”专项规划》时提出总体目标:到“十二五”末期,在云计算的重大设备、核心软件、支撑平台等方面突破一批关键技术,形成自主可控的云计算系统解决方案、技术体系和标准规范,引领云计算产业的深入发展。其中提到云安全相关的保障问题:“制定适应不同行业需要的云计算安全要求和评测方法标准,保障云服务的网络和信息安全。” 2015年01月,国务院发布《关于促进云计算创新发展培育信息产 业新业态的意见》,提出到2017年,云计算在重点领域的应用得到深化,产业链条基本健全,初步形成安全保障有力,服务创新、技术创新和管理创新协同推进的云计算发展格局,带动相关产业快速发展。其中格外提到——安全保障要基本健全,这是对于云安全相关概念的相对明确的定位:“初步建立适应云计算发展需求的信息安全监管制度和标准规范体系,云计算安全关键技术产品的产业化水平和网络安全防护能力明显提升,云计算发展环境更加安全可靠。” 2017年01月