9月2日，深信服方案專家廣博在信服云《云集技術(shù)學社》系列直播課上進行了《云安全的演進與關鍵技術(shù)能力介紹》的分享，詳細介紹了云和云安全的演進路徑，以及伴隨著路徑帶來的需求變化和關鍵技術(shù)能力。

看點一：云與云安全的演進路徑

云的演進路徑可以從三個角度來看待，一是從信息化的角度看，從虛擬化超融合承載部分業(yè)務系統(tǒng)到整體數(shù)據(jù)中心的云化，再到混合云乃至多云的統(tǒng)一管理。二是從服務模式的角度看，最初云大多是提供IaaS層面的一些服務慢慢演變成以容器服務、數(shù)據(jù)庫服務為代表的PaaS服務，最后演變?yōu)橐蕴峁┸浖榇淼腟aaS服務。三是從作用的角度上看，云也從IT支撐中心提高到IT服務中心，目前也在逐步演變?yōu)樘峁┹p量化服務的創(chuàng)新中心。

與云演進路徑相對應的是，云端的安全風險也在逐步發(fā)生變化。除了傳統(tǒng)環(huán)境中已經(jīng)存在的網(wǎng)絡應用數(shù)據(jù)的風險和合規(guī)需求外，云化環(huán)境以及利用虛擬化層漏洞的攻擊和海量不可視的橫向流量均帶來了新的安全風險。

在云化過程中，最為重要的是權(quán)責分離，即明確云服務商以及云服務用戶對各種資源的管理責任與義務。

伴隨著對云計算概念的逐步的探索，多云安全以及云原生安全也漸漸成為了用戶關心的重點。這也讓用戶開始考慮“適配云化環(huán)境的”安全，也要求用戶在開發(fā)階段就將安全考慮其中，即“安全左移”。

為了應對多變的云安全風險，云安全的技術(shù)也在發(fā)生非常大的變化，從最早期關注主機的漏洞修復，逐步擴展到針對云主機的殺毒。后面隨著云上業(yè)務越來越多，安全能力的NFV化和安全能力的平臺化也逐步成為用戶考慮的重點。此時就誕生了通過安全資源池來實現(xiàn)對于NFV組件統(tǒng)一管理的概念。近幾年，因為安全能力對應云的演進升級到了多云管理平臺以及云上的安全開發(fā)平臺，多云安全管理、云原生安全的概念應運而生。

總的來說，云安全的技術(shù)演進路徑可以總結(jié)為兩條，第一個就是通過安全能力的演進來解決發(fā)展過程當中的云安全問題。第二個是利用平臺進行納管，實現(xiàn)對于整體安全能力的整合。

看點二：云安全需求與關鍵技術(shù)能力

2017年全國信息安全標準化技術(shù)委員會就提出了GB/T 35279云計算安全參考架構(gòu)，采用分層形式，清晰地描述出了在云服務當中參與決策的安全責任和計算角色、角色安全職責、安全功能組件以及它們之間的關系。這個架構(gòu)適用于指導所有云計算參與者在進行云計算系統(tǒng)規(guī)劃時對安全的評估與設計。

結(jié)合參考架構(gòu)及用戶云發(fā)展的情況，云安全的三大關鍵需求總結(jié)如下：

1.滿足合規(guī)要求的云計算平臺

當企業(yè)開始建設云底層平臺以及部分業(yè)務遷移上云的時候，企業(yè)需要的是一個滿足合規(guī)要求的云計算平臺。關于滿足合規(guī)要求，國內(nèi)說的比較多的是等級保護。在等級保護中分為四大核心標準，分別是等保的定級指南、基本要求、安全設計技術(shù)要求以及測評要求。這4個標準共同構(gòu)成了等級保護2.0標準體系。

在等保的這4個標準中，它分別解答了用戶最為關心的4個問題。“等保定級指南”解答了在云環(huán)境下包含了哪些定級對象？這里面包含了云計算平臺以及云上的業(yè)務應用系統(tǒng)。“基本要求”回答了在云計算環(huán)境下，做了哪些具體要求。“安全設計技術(shù)要求”解答了在云計算環(huán)境下如何進行系統(tǒng)設計以及建設的問題。“測評要求”回答了對于測評機構(gòu)如何開展測評的問題。

對于黨政機關以及涉及到關鍵信息基礎設施來說，可能需要重點關注的是云安全審查，對應的是GB/T 31167-2014《信息安全技術(shù)云計算服務安全指南》和GB/T 31168-2014《信息安全技術(shù)云計算服務安全能力要求》。它的評估對象是面向于黨政機關以及關鍵信息基礎設施運營者，對于他們所使用的云服務的安全性進行審查。對于云服務商的征信、經(jīng)營基本情況、平臺的穩(wěn)定性、技術(shù)供應鏈安全、安全管理能力以及云平臺的整體防護能力等都提出了比較高的要求。

在等級保護和云安全審查的兩個合規(guī)需求推動下，在具體的落地時，合規(guī)能力可拆解為5個方面。一是安全能力NFV化及它是否適配云化業(yè)務/租戶；二是云平臺的南北向安全；三是云平臺的東西向安全；四是虛擬化層和宿主機安全；五是云管平臺安全。

2.滿足業(yè)務需要的云租戶應用安全

隨著云化持續(xù)推進，目前的業(yè)務系統(tǒng)很多都是基于云來進行開發(fā)，對于云安全來說，它需要適配到業(yè)務的全生命周期各個階段，重點需要提供的是服務化編排以及監(jiān)測運營的能力。

云租戶有公有云和私有云這兩個不同的應用場景。在私有云場景下，業(yè)務上線時需要對服務能力進行編排。將云安全服務平臺作為中間承載平臺來實現(xiàn)的。在北向，云安全服務平臺能夠和云管平臺實現(xiàn)對接，提供API目錄被云管平臺所集成，也就是說通過云管平臺就可以直接和云安全服務平臺進行聯(lián)動。同時云安全服務平臺還起了承下的作用，通過和應用集成開放集成平臺進行對接，相當于直接支持相關第三方的一些安全能力。云安全服務平臺南北向的接口能夠?qū)崿F(xiàn)對于整體安全的編排。

在運行階段，私有云重點在于業(yè)務運行時監(jiān)測運營能力的構(gòu)建，分為三個方面。第一是統(tǒng)一的安全監(jiān)測，全面采集云數(shù)據(jù)中心各區(qū)域日志/流量，基于各類型模型算子深度關聯(lián)分析，實現(xiàn)統(tǒng)一安全監(jiān)測預警。第二是策略優(yōu)化統(tǒng)一配置，運營中心生成處置策略，對接安全資源池，基于服務鏈編排模塊管理云內(nèi)或云外安全NFV組件，處置閉環(huán)安全事件。第三是現(xiàn)有建設有效利用，廣泛適配對接第三方NFV組件、安全設備、網(wǎng)絡設備，有效利用原有零散安全能力資源。

在公有云場景中，業(yè)務上線時重點關注的是安全配置管理。公有云配置的正確性和安全性，是一大難題，特別是云服務的采用率不斷增長，平臺服務的復雜性不斷增加情況下，公有云配置導致的安全與合規(guī)挑戰(zhàn)日益嚴峻。因此建議公有云采用CSPM（云安全配置管理）。CSPM能夠?qū)A設施安全配置進行分析與管理。這些安全配置包括賬號特權(quán)、網(wǎng)絡和存儲配置、以及安全配置（如加密設置）。如果發(fā)現(xiàn)配置不合規(guī)，CSPM會采取行動進行修正?？梢詫SPM視為一個持續(xù)改進和適應云安全態(tài)勢的過程，其目標是在配置層面降低攻擊成功的可能性，以及在攻擊者獲得訪問權(quán)限的情況下降低發(fā)生的損害。CSPM策略是在云應用的整個生命周期中進行持續(xù)評估和改進的一個策略，從研發(fā)開始一直延伸到運維，并在需要時做出響應和改進。

在業(yè)務訪問時，則需要CASB（云訪問安全代理）發(fā)揮作用。隨著SaaS服務的快速發(fā)展，從底層硬件資源到上層軟件資源，最終用戶都無法實施控制。

CASB主要運用的是以下幾個功能：

1.深度可視化：影子IT發(fā)現(xiàn)、云服務統(tǒng)一視圖、云服務用戶信息采集和管理。

2.數(shù)據(jù)安全：實施以數(shù)據(jù)為中心的安全策略，通過在數(shù)據(jù)層面的審計、警報、阻止、隔離、刪除和只讀等控制措施，實現(xiàn)云訪問過程的DLP。

3.威脅防護：提供AAC來防止有害設備、用戶和應用程序版本來訪問云服務，一般通過嵌入式UEBA、威脅情報、網(wǎng)絡沙箱以及惡意軟件識別和緩解。

4.合規(guī)性：幫助組織機構(gòu)證明和管理云計算資源使用情況，確定云風險偏好并確定云風險承受能力，有助于滿足數(shù)據(jù)駐留和法律合規(guī)性要求。

在公有云場景下，在業(yè)務上線以及業(yè)務訪問過程當中，安全的能力已經(jīng)實現(xiàn)。但目前在SaaS的這種環(huán)境下，用戶更多的時候需要云服務商通過SaaS化來交付安全的能力，因此就出現(xiàn)了SASE。

3.面向未來的多云和云原生安全

云目前已成為新型基礎設施，企業(yè)從優(yōu)化資源、提升效能出發(fā)會選擇各類云服務。從“應用上云”到“應用生于云、長于云”，云原生應用快速爆發(fā)。也因此云安全需要適配多云和云原生場景，應對新場景安全挑戰(zhàn)，實現(xiàn)資產(chǎn)、配置、態(tài)勢的統(tǒng)一管理運營。

多云環(huán)境

在多云環(huán)境下，對于用戶來講首先需要面對的一個問題就是在多云環(huán)境下的資產(chǎn)管理。多云環(huán)境中，業(yè)務類型更多樣，變化更頻繁。同時業(yè)務和安全管理責任人更廣泛，權(quán)限更難梳理。在這種情況下，如何將業(yè)務和安全管理更好地進行結(jié)合

首先需要構(gòu)建一個統(tǒng)一的資源安全中心，統(tǒng)一管理多云資產(chǎn)當中的配置風險，資產(chǎn)風險以及資產(chǎn)的各類訪問權(quán)限。

其次針對各類云平臺安全配置差異大、配置項復雜、存在安全風險和合規(guī)挑戰(zhàn)的問題，通過云安全配置管理（CSPM）功能，解決多云場景下控制平面的挑戰(zhàn)。

另外還可利用云安全服務平臺CSPM功能，掃描比對各個云平臺上各類型業(yè)務，自動化適配和制定合規(guī)管理模板，實現(xiàn)面向多云環(huán)境的統(tǒng)一自動化動態(tài)合規(guī)管理。

最后針對多云的安全策略管理，分為事前、事中、事后三個階段。事前需要通過云安全服務平臺和各個的云平臺云管實現(xiàn)對接，管理不同云平臺內(nèi)整體的安全組件。同時云安全服務平臺對接云平臺原生安全組件，通過內(nèi)置策略模板校驗策略安全性，集中調(diào)整安全配置，避免合規(guī)風險。事中重點在于事件和流量的統(tǒng)一的收集、態(tài)勢分析以及呈現(xiàn)。事后基于風險事件定位，利用云編排響應功能下發(fā)網(wǎng)絡、主機、配置編排策略，下發(fā)各類型安全控制點執(zhí)行，反饋處置結(jié)果，實現(xiàn)多云安全事件處置閉環(huán)。

云原生環(huán)境

在云原生環(huán)境下，首先需要厘定云原生安全的定義和范圍。云原生的代表技術(shù)包括容器、服務網(wǎng)格、微服務、不可變基礎設施和聲明式API。云原生技術(shù)有利于各組織在公有云、私有云和混合云等新型動態(tài)環(huán)境中，構(gòu)建和運行可彈性擴展的應用。云原生安全所保護的對象，是指以容器技術(shù)為基礎底座，以DevOps、面向服務等云原生理念進行開發(fā)并以微服務等云原生架構(gòu)構(gòu)建的業(yè)務系統(tǒng)共同組成的信息系統(tǒng)。

云原生安全主要還是以容器安全技術(shù)作為整體底座來保護云原生業(yè)務應用。

此外，云原生業(yè)務存在大量API發(fā)布和對外訪問交互，還需要針對API場景進行持續(xù)的監(jiān)測和防護。目前應用比較多的是通過API的整體安全網(wǎng)關，匹配云原生場景下的API的安全監(jiān)測和防護能夠?qū)τ谙駱藴实囊恍〢PI的格式進行解析。同時需要識別和防護SQL、XSS等注入攻擊，針對防護重放、篡改等攻擊形式實現(xiàn)阻斷。另外API安全網(wǎng)關還需要考慮一個功能，就是針對于后端資產(chǎn)的發(fā)現(xiàn)和校驗?；谡埱蠓降纳矸輽?quán)限來進行調(diào)用，實現(xiàn)對于API的整體的一個限流和審計。為了提高API的監(jiān)測和防護能力，還會使用語義識別和機器學習等一些新技術(shù)，增強防御能力，降低檢測誤報。