云安全技术发展白皮书

1 云安全技术发展白皮书 导读1 1.⼗年云计算安全威胁演进4 1.1安全事件层出不穷4 1.2云上资产激增扩大攻击面5 1.3云原生环境的安全⻛险日益增加7 1.4漏洞威胁持续涌现12 1.5勒索软件构成重大安全挑战14 1.6新型的高级攻击手法防不胜防16 1.7小结18 2.云安全技术的过去、现在与未来19 2.1主机安全19 2.2虚拟化层和宿主机安全27 2.3微隔离32 2.4云安全态势管理38 2.5云访问安全代理42 2.6云原生安全48 2.7云安全资源池65 3.总结69 导读 在信息技术革命的推动下，云计算、大数据、物联网、AI、5G等新兴技术不断涌现，推动人类社会、经济、文明等多方面以更快的速度发展着。当经济发展过程中借助互联网、IT技术、软件等多种工具打破人与人之间的“物理墙”，人们随时随地都能与大洋彼岸的不同国家的人聊天、交易、合作的同时，云计算以其无处不在的、便捷的、按需的特点脱颖而出，成为不同企业发展其业务的利刃之一。 在中国云计算服务发展的早期，阿⾥云等云厂商所组建的弹性计算共享资源租用服务，即公有云，可为用⼾提供公共计算、存储、网络、安全、数据、应用共享服务等系列云计算服务。小企业和个人等用⼾能以较低成本、简易地使用云计算服务。在政府、金融等企业用⼾，出于对敏感、重要数据的安全性、可控性的考虑，他们偏向于采用私有云的部署模式。对于既要对外提供服务、对内又有重要的企业数据管控要求的大型集团与互联网企业，以公有云、私有云呈现的混合云则成为他们的最优选择。 不管是出于哪种部署模式，当企业客⼾从排斥业务上云到主动让IT基础设施上云、大幅度采用云计算服务的进程中，围绕云计算技术滋生的系列云计算平台安全问题，如，用⼾身份管理/访问控制、网络安全、数据安全、管理安全、虚拟化安全等，以及频发的且损害范围越大的安全事件。如，2017年5月，WannaCry勒索软件攻击在全球范围内爆发，影响了多个国家和组织，包括医疗机构、政府机构和教育机构。2020年，SolarWinds攻击事件被曝光，攻击者通过向SolarWinds公司植入恶意软件，利用SolarWinds的供应链传播恶意软件，影响了全球范围内的政府机构、企业和组织。2021年5月，美国科洛尼尔管道运输公司遭受的勒索软件攻击事件。2023 年11月，国内某大型银⾏的美国全资子公司在官网发布申明称遭受了LockBit勒索软件攻击，导致部分系统中断等。这类事件也推动着云安全技术产生及推陈出新。 为了让用⼾能更好地保护公有云、私有云及混合云上的工作负载等资源的安全，国内外云安全厂商也打造了表1所列举的云工作负载保护平台（CWPP）、云访问安全代理（CASB）、微隔离（Micro-Segmentation）、云安全态势管理(CSPM)、云原生应用保护平台（CNAPP）、云安全资源池等系列不同的云安全技术应用，以及对应的云安全产品及解决方案，协助用⼾做好云上安全防护。 表1主流的云安全技术 技术概念 提出方 提出的时间 云工作负载保护平台 Gartner 2010年 云访问安全代理 Gartner 2012年 微隔离 Gartner 2015年 云安全态势管理 Gartner 2015年 云安全资源池 —— 2016-2017年 云原生应用保护平台 Gartner 2019年 在云计算的时间发展曲线上，在不同的时间段⾥，不同的云安全厂商提出的系列云安全技术及安全产品在适用于各自国家⾏业用⼾特点的基础上，也会因为国家不同、采用的实现技术理念 不同等因素而呈现差异。不管是初入云安全赛道的安全新手，还是上云前、上云过程中的大、中、小型企业的安全运维人员\安全决策者，或者是专注在网络安全⾏业其他赛道⾥的资深安全人，都可通过此份白皮书加深对云工作负载保护平台、云安全态势管理、云访问安全代理、云原生应用保护平台等主流云安全技术提出的背景、演进的历史及未来可能的发展趋势的了解，在积累云安全知识储备的同时，做出更好的安全决策与技术选择。 1.⼗年云计算安全威胁演进 云计算技术的快速迭代更新推动着云技术架构和应用模式不断演进，使得云服务面临的安全 ⻛险日益多元化、复杂化、扩大化，云正在成为安全攻防的主战场。根据CybersecurityInsiders 《2023云安全报告》对上千网络安全专业人员的调查显示，随着采用云计算的组织不断增多，39%的受访者将其50%以上的工作负载放置在云中，大多数组织都面临着以下困难：云安全部署方面的技能差距（58%），以及确保多云环境中的数据保护（52%）。安全顾虑仍然居高不下，76%的受访者极其或非常担心云安全。下面对过去⼗年来的一些云计算安全威胁演进情况进⾏分析，以揭示其发展变化及对安全防护的影响。 1.1安全事件层出不穷 全球各类针对虚拟化架构的逃逸攻击、资源滥用、横向穿透、APT攻击等新安全问题层出不穷，且攻击活动越来越有组织性；全球网络战威胁日趋明显，各国持续加大网络空间的军事投入，重要业务平台面临国家级网络攻击⻛险，我国面临的网络战威胁愈加严峻。 近年来，网络空间全球治理已经“从一个技术问题跃升为大国政治博弈的新热点”。在国际上的典型代表事件包括了2013年的斯诺登泄露事件，而影响国内的典型代表事件包括： 1．2022年，美商务部产业与安全局发布针对网络安全领域新的出口管制规定《信息安全控制：网络安全物项》，以国家安全和反恐为由，要求美企与我国政府相关组织网络安全产业合作需经审核，并限制漏洞检测分析等技术产品出口我国； 2．2022年，西北工业大学遭美国NSA网络攻击，经计算机病毒应急处理中心与360公司分 析发现，校园信息网络中存在多款源于境外的⽊⻢与恶意程序，对我国网络造成严重危害； 3．2023年，武汉应急管理地震监控设备通告称遭受美国情报局的网络攻击，经国家应急处理和360安全团队分析，发现监控设备中存在恶意窃取程序，监控设备中的地质数据泄露则会严重危害我国的国土防御安全。 APT活动近两年呈现了大幅增⻓的趋势，高级威胁对抗已然进入白热化阶段。一是攻击总量飙升，APT事件的攻击数量逐年递增，同样我国遭受的APT攻击也越来越多，重点事件包括来自美国NSA-TAO的攻击事件、来自越南海莲花组织的系列攻击活动、针对国内高校的多起APT窃密攻击活动、以及针对我国大型企业的大量勒索式攻击活动；二是攻击组织激增，安全报告披露涉及162个APT威胁组织，2023年新增65个APT威胁组织，均比2022年大幅增加。全球范围内APT攻击活动依然紧跟政治、经济等时事热点，攻击目标集中分布于政府、教育、金融等⾏业领域；三是攻击手段多样化，为了确保攻击流程的成功实施，APT攻击者在代码执⾏手法上不断创新（如利用驱动程序内核模块来直接读和写内存区域）和采用绕过技术，使用非常规的TTP（战术Tactics、技术Techniques、过程Procedures）去实施攻击，APT攻击显得更有效率和难以防范。 1.2云上资产激增扩大攻击面 随着容器、云原生、Serverless、API等云上技术的升级和变化，加上云基础架构上国产化、多云化、云边一体等新模式的增加，再结合AI升级带来了算网一体、模型服务等新的业务诉求，导致云上资产的类型扩充、云上资产的架构变更，从而使得整体云上资产管理复杂度大大提升，如图1所示。 图1-云架构模式多元复杂 云上资产的激增引发了以下几个安全场景的演变： 1.云上资产类型越来越多，资产间关系从一维线性向多维拓扑进⾏调整； 2.除去原有的服务器资产，大量的API应用、编排工具、容器及容器上应用资产类型不断增加；资产类型的增加，结合整体业务发展，资产关系也从简单的服务器到服务器访问变成主机、容器、应用及API等多层级联动的复杂拓扑结构； 3.随着云上资产的⻛险关联程度越来越高，很有可能因为一个资产的⻛险，导致多个资产甚至一个集群出现大面积安全威胁； 4.随着不同⾏业的数字化发展以及云架构的升级，垂直⾏业云和多层级云架构模式也大大增加了资产管理的复杂度。 为了应对这样的安全场景，用⼾很可能需要采购多套安全产品，来完成对不同维度、不同层级的资产信息和资产⻛险梳理。但这样的模式使得用⼾的安全运营成本指数级增加，最终落为以下几个问题： 1.资产信息不清：云上到底有哪些类型资产、资产所处的云架构在哪⾥、资产间的关系和影响如何、资产的暴露面在哪⾥； 2.⻛险信息和关联影响不清：云上资产到底有多少⻛险，这些⻛险到底有什么影响，会对主机上的哪些应用以及哪些业务有影响； 3.攻击暴露面不清：结合上述的信息综合分析，从整个云安全管理来看，暴露的攻击面有哪些，被攻击后的影响范围是什么，也需要进⾏整体分析。 1.3云原生环境的安全⻛险日益增加 最近几⼗年，可以发现每隔⼗年都会有新的技术出现，甚至改变IT基础架构，比如2000年的“虚拟化”，2010年的“云计算”，以及当下火热的“云原生”。业界普遍认为“云原生”将是云计算的下半场。同时，云原生安全是未来云安全的重要发展方向。 根据知名云原生安全公司sysdig在2022年发布的《云原生安全和使用报告》显示，在容器编排平台市场，K8s的占比高达96%，已然成为容器编排平台的“事实标准”。此外，在容器运 ⾏时引擎方面，Docker的占比约为46%，而containerd、cri-o也有着较高的市场份额。下面就K8s云原生工作负载的安全威胁进⾏分析。 在容器的全生命周期，主要的安全问题在于：不当的配置及漏洞；在项目构建阶段，主要的安全问题在于：CI/CD安全、镜像安全；在容器运⾏阶段，主要的安全问题在于：计算、网络、存储以及应用等方面的安全问题。图2展示了容器云的安全威胁概况。 图2-容器云的安全威胁概览 这些安全问题体现在用⼾视⻆中就成为了：云计算环境是否可信。为保障云计算全周期的安全可信，业界从人员操作规范、云基础设施、上云业务应用、第三方云安全产品等⻆度建立了一些安全标准。 “云原生K8s工作负载的攻击模式图”呈现了攻击者在云原生K8s工作负载中的典型攻击路线，攻击者可以通过应用、容器、主机、内部集群等等攻击对象，实施组合式攻击，如图3所示。 图3-云原生K8s工作负载的攻击模式图 云原生应用的漏洞攻击面激增。云原生应用资产可分为五大层级，分别是：Cloud、Cluster、 Image、Container、APP，各个层级均可能成为攻击的入口点。 层级说明 1.Cloud Cloud——云，一般指数据中心的基础设施。基础设施一般指运⾏着Linux操作系统的宿主机集群，并通过专业的数据交换机进⾏连接。常⻅的安全问题主要集中在操作系统本身、Web中间件以及rootfs等方面的漏洞。例如，特定版本内核或者某些驱动模块本身包含有漏洞，CVE-2016-5195（“脏⽜漏洞”）就是该类型漏洞的典型代表。该漏洞存在于特定版本的Linux内核，由于内核代码没有正确处理copy-on-write(COW)功能写入只读内存映射，导致本地攻击者可利用该漏洞获取权限。例如，一些基础组件像bash、ssh等软件自身的漏洞，CVE-2021-4034（LinuxPolkit权限提升漏洞）就是该类型漏洞的典型代表，攻击者可利用该漏洞通过精心设计环境变量诱导pkexec程序执⾏任意代码；再如，一些Web中间件像Tomcat、Weblogic等软件自身的漏洞，CVE-2020-2551（WeblogicIIOP反序列化漏洞）就是该类型漏洞的典型代表，攻击者可利用IIOP协议执⾏远程代码。此外，在基础设施部署过程中，某些不安全配置的引入也可导致的漏洞等，例如对外暴露了某些不安全的端口。 2.Cluster Cluster——集群，一般指承载云原生环境的编排引擎集群。当前云原生体系建设所使用的编排引擎主要是以Kubernetes为基础的各种发⾏版本。作为Kubernetes来说，其本身是由多个组件构成的集群系统。这些组件包括但不限于kubelet、Do