绿盟科技云安全纲领

2023 绿盟科技云安全纲领 关于绿盟科技 绿盟科技集团股份有限公司（以下简称绿盟科技），成立于2000年4月，总部位于北京。公司于2014年1月29日在深圳证券交易所创业板上市，证券代码：300369。绿盟科技在国内设有50余个分支机构，为政府、金融、运营商、能源、交通、科教文卫等行业用户与各类型企业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡及巴西圣保罗设立海外子公司和办事处，深入开展全球业务，打造全球网络安全行业的中国品牌。 星云实验室专注于云计算安全。基于IaaS环境的安全防护，利用SDN/NFV等新技术和新理念，提出了软件定义安全的云安全防护体系。承担并完成多个国家、省、市以及行业重点单位创新研究课题，已成功孵化落地绿盟科技云安全解决方案。 版权声明 为避免合作伙伴及客户数据泄露,所有数据在进行分析前都已经过匿名化处理,不会在中间环节出现泄露,任何与客户有关的具体信息，均不会出现在本报告中。 CONTENTS 1云化⻛险分析001 1.1云计算通用的安全⻛险002 1.2云计算应用场景的安全⻛险004 2云安全价值主张008 2.1云化趋势下的绿盟科技战略转型009 2.2绿盟科技云计算安全价值主张010 3云安全合作体系全景图014 3.1合作伙伴015 3.2合作模式017 3.3服务及方案019 4云计算安全技术体系全景图023 4.1云计算安全体系024 4.2基础云安全能⼒026 4.3复合云安全能⼒036 4.4业界优秀实践041 5云安全参考体系044 5.1与NIST安全标准的关系045 5.2与CSA标准的关系049 5.3与等级保护6.0的关系053 6云安全能⼒发展趋势059 6.1云上攻防060 6.2云安全态势与安全能⼒的评估061 6.3云上⻛险发现062 6.4API与服务类安全063 7场景化的云安全建设065 7.1大型公有云上的安全建设066 7.2私有/行业云的安全建设066 7.3多云/混合云的安全建设067 7.4云化新型基础设施（5G/边缘计算）的安全建设068 参考文献069 云化0⻛险1分析 云计算的发展给千行百业提供了数字化的技术支撑，也是我国加快数字经济发展的支撑力之一。在云计算带来高效、弹性、便捷的同时，新的风险也在增加，但原有的安全问题并没有消除。由于数据的重要性加上云用户对数据的掌控权丢失，想要让用户放心地使用云，就必须解决云计算本身面临的各种安全问题。云计算的风险包括通用风险与具体场景的特有风险。 1.1云计算通用的安全风险 （无论是基础设施即服务（InfrastructureasaService，IaaS）、平台即服务 制度管理风险 法律与合规性风险 PlatformasaService，PaaS）、软件即服务（SoftwareasaService，SaaS）等传统云计算平台，还是云原生、多云、混合云等新的云计算场景，都存在一些通用常见的安全风险。通用的风险如图1.1所示。 云 租户 虚拟化 安全风险 虚拟网络风险 虚拟主机风险 云应用安全风险 数据与隐私泄露风险 云计算 云存储 云网络 1.1.1平台安全风险 图1.1云计算通用的安全风险 云 平台 计算 资源 物理 资源 机房与环境 宿主机和物理网络 平台安全风险 云计算最核心的问题就是服务可用性的问题，服务可用性所面临的风险主要分为内部风险与外部风险。内部风险主要是涉及平台自身可靠性问题，如：人员威胁操作、宕机、数据丢失等，它们都会造成云服务不可用；外部风险主要有漏洞利用、流量攻击、恶意扫描、密码爆破等等。 由于云计算规模大，并承载各类服务，平台安全风险被利用所造成的后果和破坏性远超传统应用平台，目前存在一些提高云计算安全性的解决方案，但只能解决特定的问题，还不能从根本上改变当前云计算平台不安全的状态。 1.2.1虚拟化安全风险 虚拟化技术是云平台核心技术之一，虚拟化技术以客居方式运行操作系统带来的安全问题是虚拟化所特有的安全风险，其中包括虚拟化层引入的新安全风险，以及新的虚拟化特有的安全风险，前者如虚拟机间的攻击与观测盲点、虚拟机蔓延（VMSprawl）导致的攻击面扩大；后者如数据混杂风险、镜像篡改风险、数据所有权和管理权分离不清、残余数据清除，这些风险正成为云计算安全的焦点。 1.2.2云应用安全风险 云计算的灵活性和开放性使得任何用户都可以通过互联网接入，因此对运行在云端的应用程序安全防护是一个非常大的挑战。云应用的安全风险一方面要分析云应用自身的安全风险，如API、Web应用等面临的安全风险；另一方面还需考虑整个网络体系的安全，特别是底层计算与网络架构。用户将数据从本地网络上传到云端来提供服务，在这一过程中除了要考虑Web类型的攻击以外，还应该对敏感数据应用与服务器之间通信采用加密技术防止中间人劫持风险。 1.2.3数据与隐私泄露风险 数据作为第五大生产要素，其重要程度显而易见。考虑到各类数据上云趋势明显，云上的数据安全应特别得到重视。云用户将海量业务数据汇集到云数据中心，故应在数据整个生命周期做好安全管理，在采集、传输、存储、使用、共享、销毁流程做到相应的安全防护。特别地，云用户的敏感信息不应被泄露、破坏或损失。为此，存储服务具备授予用户访问权限并且阻止非法访问的机制，防止因非授权访问和其他物理方法导致的数据泄露，此外还要保护高权限管理员的敏感信息。然而，我们观察到的事实是，云计算相关安全事件相当比例是云上数据泄露，原因是未对云上的服务、数据访问进行认证授权，或访问凭证暴露在代码仓库、镜像或网站页面中，导致攻击者能够非授权地通过凭证访问云上数据。大量用户数据被部署在同一个云平台上，也降低了恶意攻击者击破数据保护堡垒的工作量和难度。如云平台存在安全风险，攻击者则有可能利用其技术优势获取云中用户的数据信息。除了外部攻击者外，还要考虑云服务商(CloudServiceProvider，CSP)内部恶意攻击者。在多云和混合云场景中，系统间数据传输流程也使得数据秘密性和完整性受到显著威胁。因此，如何保证存放 在云数据中心的数据隐私不被非法利用，如何保证数据在云系统流转过程中不被窃取或篡改，需要技术改进与法律完善。 1.2.4制度管理风险 制度管理风险是指云服务商或用户部署、使用、运营云服务的过程中的制度不完备所带来的风险。实际上，仅靠安全防护技术并不能完全保证云系统和应用的安全，还需要制定并有效执行制度，以支撑各类安全技术的应用。云计算系统的安全运行离不开有效的制度管理。攻击者利用新漏洞或使用新的攻击战法可能会绕过云计算各类现有安全机制，但事前发现并避免组织在制度管理中的风险，可以在很大程度上抵御各类威胁，更好地保证提供安全的云计算服务。 1.2.5法律与合规性风险 虽然云计算具有分布式、跨地理区域的特性，但云计算数据中心始终是部署在某个国家或行政区域，因此云计算物理设施、云平台与部署应用需要受当地法律的约束。法律风险是指云服务商声明的SLA协议以及服务内容在法律意义上存在的违反规定的风险、网络安全法提出的安全保护要求等。例如，2019年，我国出台了网络安全等级保护2.0，其中针对云计算风险提出了相关的具体要求；此外，2022年的《数据出境安全评估办法》对境内数据出境做出了具体的合规性要求。 1.3云计算应用场景的安全风险 云计算在不同应用场景下存在的特定安全风险如下： 1.3.1公有云安全风险 用户通常是出于信任使用公有云服务，若公有云服务商无法保障用户的业务与数据安全，即便成本再低廉，也几乎没有用户愿意使用。因此，使用公有云需考虑的风险包含云应用的安全风险与云服务商的安全风险。公有云上应用的主要安全风险有两种：漏洞利用和弱密码爆破。攻击者利用漏洞或弱密码爆破入侵部分云主机后，一般利用多种黑客工具进行扩散传播，最终攻击手段为挖矿、勒索、窃密还是DDoS攻击完全取决于攻击者的喜好和目的。每年因错误配置、漏洞利用等问题而发生的恶意代码执行事件与日俱增，恶意样本总数相比2020年同期数量上涨10%，因而云计算租户需要特别注意这些安全风险。虽然主流的公有云服务商的安全防护能力比较强，但仍需要考虑云服务商自身存在的安全风险。首先，可能出现云服务商灾备管理不完善，导致数据中心服务中断；其次，云服务商的服务水平协议（SLA） 及免则声明是否符合需求，例如服务可用性保障范围及供给商是否担负一定安全责任等；最后，云服务商内部员工窃取客户敏感数据、客户不易对云服务供给商的安全控制措施和访问记录开展审计以及终止使用云端服务后，数据的备份、迁移与销毁问题。 1.3.2私有云/行业云安全风险 区域和行业的头部企业或组织通过构建私有云或行业云，为数字化建设提供基础资源，奠定数字化转型的基石。因各地市、各行业的云建设方式不同，其安全责任划分不同，具体可参考前述责任共担模型。私有云/行业云的安全主要集中在保障物理设施与硬件的稳定安全运行、网络划分的隔离性以及健壮性、业务高峰期大流量承受能力、云网络边界接入隔离、检测监测、审计溯源上，以确保访问云计算系统和应用的流量可信，出现安全事件可以快速发现、响应和溯源。 相比公有云，私有云/行业云因其业务差异大而有较大的定制需求，在应对用户业务本身安全问题也是私有云安全重要的一部分。如金融行业云面临欺诈风险，攻击者利用猫池、手机墙，修改手机硬件的模拟器，模仿正常用户的注册、认证、使用等流程从而不正当获利，因而整个云平台和应用的风险就涉及到拒绝服务、API漏洞利用、业务欺诈等，相关的防护技术和流程会涉及到对业务系统本身的安全改造。 1.3.3多云/混合云安全风险 多云（multi-cloud）一般是由多个云提供商提供的多项公有云服务的组合，出于成本、可用性或避免厂商锁定的原因，企业可同时订购多个云服务商的产品服务，最大限度地发挥不同云服务商各自领域的优势，避免陷于单一云服务商的短板和绑定；混合云是指企业同时使用公有云和私有云（或传统办公环境），形成既有公有云系统，又有私有云系统，甚至还有传统网络互联的混合环境。因此，无论是客户需求使然，还是云计算演进过程，都会使得多云/混合云在各行业出现它们的身影，很多企业正在转向多云或混合云部署，应用程序是仅部署在单个云计算提供商或本地部署的云平台上，还会在多个云计算提供商的云平台进行混合型部署。多云与混合云模型通过增加更异构的计算基础设施来降低威胁可用性的风险，以及避免特定的云计算商锁定。 企业的数字化业务通常部署在多云多地多系统，由于各云平台架构异构，不同云资源管理难度大且运维复杂，难以实现统一高效管理、控制或分析，导致多云/混合云场景下运维不敏捷，管理成本高，而安全运维也同样存在这些问题。企业将业务部署在公有云上，其安全能力建设重度依赖云服务商，而各云厂商安全能力差异性较大且水平参差不齐，无法直接 使用同一套安全方案。此外，Gartner分析得出99%以上的云安全事件的根本原因将是最终用户在云上的错误配置，在多云或混合云的场景下，用户无法保证在所有环境中保持统一、正确的安全策略，从而引发数据泄露或攻击者渗透穿越。 1.3.4云原生安全风险 云原生可称为云计算的下半场，近年兴起的容器和编排技术凭借其弹性敏捷的特性和活跃强大的社区支持，成为云原生生态的重要支撑技术。容器化部署形态也在改变云端应用的设计、开发、部署和运行，从而重构云上业务模式。 容器和容器编排系统的安全风险将直接影响整个云原生系统的安全性。从IT基础设施的视角来看，云原生系统底层是容器，其基于操作系统虚拟化技术，跟其他的虚拟化云计算平台一样，存在逃逸和云内横向移动的风险；上层是以微服务为中心的容器编排、服务网格、无服务器计算（ServerlessComputing）等系统，其API、业务存在被攻击的风险。 此外，从DevOps的视角来看，云原生系统所包含的软件供应链（如第三方软件库、容器镜像等，第三方厂商非