随着《网络安全法》、《信息安全技术 网络安全等级保护基本要求》等法律法规的实施,云计算已经成为了国家重点监管对象,网信办更是对每个行业云都提出新的监管要求。因此,将业务从传统IDC迁移到云上最大的挑战就是要满足众多的合规要求。例如,全国信息安全标准化技术委员会(TC260)针对政府上云出台了GB/T 31167《信息安全技术 云计算服务安全指南》和GB/T 31168《信息安全技术 云计算服务安全能力要求》等规范, 对政府部门采用的云计算服务提出了新要求。
“云”到底面临哪些安全挑战?
尽管上云对许多企业来说都是一个不错的选择,但也存在一定的风险。大量有价值的数据涌入云中,使得云服务商成为黑客攻击的主要目标。
举个简单例子,如果每个人都将存款存放在各自家中的保险箱中(本地数据中心),这意味着每个房主都要对自己的钱完全负责。然而,大多数人更愿意把大部分钱存在第三方银行(云服务)。虽然银行会提供更多的安全保障,并有更安全的保护措施,但这也意味着银行成为了专业劫匪袭击的首要目标。
根据云安全联盟(CSA)列出的“十二大云安全威胁”,云安全的主要威胁包括数据泄露,数据丢失,帐户劫持,不安全的应用程序接口(API)以及可能危及云安全的共享技术等,具体如下:
1. 数据泄露;
2. 凭证被盗和身份验证如同虚设;
3. 界面和API被黑;
4. 系统漏洞利用;
5. 账户劫持;
6. 恶意内部人士;
7. APT(高级持续性威胁)寄生虫;
8. 永久的数据丢失;
9. 调查不足;
10. 云服务滥用;
11. 拒绝服务(DoS)攻击;
12. 共享技术,共享危险;
云安全最佳实践:云工作负载保护平台(CWPP)
云正持续改变企业机构使用、存储和共享数据、应用程序和工作负载的方式。这带来了一系列新的安全威胁和挑战。在现代混合的数据中心架构中,主要的保护目标是服务器的工作负载。这种架构是由本地服务器、虚拟服务器以及不同私有云、公有云组成。因此,针对云计算的安全防护正发生重大转变,从“安全的网络”到“安全的工作负载”。
但是,在虚拟化或云环境下,边界和硬件安全不再有效,而是需要一个产品在工作负载层面进行保护来适应于这种动态的环境,这个产品能够自动化进行安全保护。
根据抽象度的不同,工作负载分为物理机、虚拟机、容器和Serverless。可以看出这几种工作负载从虚拟化水平到单位的计量再到生命周期都有很大的区别。如果只是服务器安全或者云主机安全,是无法覆盖容器以及Serverless场景的。
工作负载粒度和抽象度
不同的工作负载需要不同级别的安全保护,对于承载核心敏感数据的工作负载需要更多安全组件。云工作负载保护平台(CWPP)的层次结构如下图所示,对其安全投资进行优先级排序。如下图所示,金字塔底部是那些更为基础的安全防护策略,金字塔顶端是次重要的一些防护策略。因此企业需要根据服务器的特定风险配置以及工作负载和合规要求采用合适策略。
云工作负载保护平台的核心组件有:
(1)加固、配置和漏洞管理。基于部署在服务器内部Agent,“由内而外”评估系统配置和漏洞,以可视化方式展现。
(2)网络防火墙、可视化及微隔离。支持对数据中心东西流量的“微隔离”,并提供工作负载之间的网络流量加密和保护运转中的数据。
(3)系统信任保证。
I.在加载BIOS、Hypervisor、VM和容器系统镜像前,通过基于物理系统硬件的信任度量来度量它们的能力,并且在挂载之前测量系统镜像和容器的完整性。
II.在工作负载启动后对关键系统文件的完整性进行实时监控。可以监视Windows注册表、启动文件夹、驱动程序和引导加载程序的完整性。
(4)应用控制(白名单)。白名单可对在服务器上运行的可执行文件提供强大的安全保护策略。
(5)漏洞入侵防护和内存保护。内存自省技术可为虚拟基础设施提供额外的安全层,防止黑客利用零日漏洞或未修复漏洞进行的攻击。
(6)威胁检测和响应/行为监控。侧重于检测和响应,从白名单应用程序中建立预期的行为模式,并查找行为中的偏差。
(7)基于主机的入侵防御系统。能够实时、准确地感知入侵事件,发现失陷主机,并提供对入侵事件的响应手段。
(8)反恶意软件扫描。
云工作负载保护平台(CWPP)强调了混合数据中心架构需要统一的管理、Linux系统的重点支持、杀毒软件的无效、定价灵活性以及跟云平台的对接和API与DevSecOps的结合等。从技术角度来看,最重要是和云平台原生的对接,利用云厂商提供的接口来进行相关安全措施的处理。比如说通过VPC接口可以做到相关业务的微隔离,也可以通过traffic flow log来进行流量的安全分析。
写在最后
作为Gartner 全球云安全市场指南常客,青藤云安全已经连续三年进入CWPP。青藤的云工作负载保护平台(CWPP)是基于Agent底层技术的主机解决方案,能够很好满足现代混合数据中心架构中服务器工作负载的保护要求。可以帮助测评机构全面了解云上资产、协助检查配置漏洞管理,同时让流量清晰可见,也可以让监管单位对云资产、测评过程、云运营商等清晰可见;还能够让用户对所有云端资产、合规状况一目了然,同时可以协助用户对云主机进行实时监控,了解其安全状态。
青藤的云工作负载保护平台(CWPP)采用自内而外的防护方法,通过先进算法形成的众多微小指标,持续感知客户业务端工作负载的运行状态,第一时间识别攻击并迅速响应。相比传统防御只关注外部黑客攻击方式的做法,青藤这种自适应安全防护能更快、更准地检测并响应未知威胁。此外,青藤的云工作负载保护平台(CWPP)支持本地、物理和虚拟机(VM)、公有云、私有云等环境,支持基于容器的应用程序架构。