《云上安全白皮书2021》是由嘶吼安全产业研究院通过多方调研和专家访谈，历时一个多月撰写而成。本次云上安全白皮书首次引入了甲方视角，嘶吼产业研究院在会上解读表示，2021年云上安全市场即将突破百亿大关，盈利模式也从单纯的卖产品和卖“人头”开始向更多资本侧、渠道侧和经济型盈利模式侧倾斜，未来云上安全的高速发展趋势势不可挡。

　　私有云安全需求

　　企业做私有云时初定的目标是稳定、高效、安全、绿色。刚开始觉得过等保是目标，后来发现远远不是。要从确保云能力持续稳定安全的输出的角度来看安全，能够让用户始终都用上云上服务。

　　多条技术路径混合，企业云安全充满挑战。在企业私有云里面，往往不是一种技术战，通常面对多种技术战，如基于VMWare、基于开源的OpenStack等结构，还有各种商业性的公司。大型国企里面，各种技术、厂家共存。当要构建云安全时，面临的问题不是单一的问题，而是多种技术基础上，甚至在不同的私有云面前的建设问题。网络安全的出口设备，包括云都不一样，该怎么办呢？怎么把这些能力串在一起，还能够稳定的进行工作，这些都是非常大的挑战。除此之外，通过调研标准化组织和机构给出的云安全风险 （OSCAR开源云联盟、CSA云安全联盟、ENISA欧洲信息安全管理局），整理成云安全风险列表可以看出：数据泄露、数据丢失、恶意内部人员等风险是共性的安全风险。

　　基于此，总结出企业私有云的安全需求：

　　一致性：要和企业既有的及未来规划的云计算架构、安全设施架构有机融合，这是一大挑战。

　　合规性：站在用户角度必须过等保，但这个过程中，能不能以能力建设应对等保合规性是需要探索的问题。

　　灵活选择安全能力的需求：结合企业实际情况，根据业务需要，能灵活选择和分配能力，能以不同的成本、效能来选择。

　　可持续实战需求：能投入生产，能实战，能支持云上应用、服务能持续输出。

　　云安全体系架构

　　在上述需求基础上要建立一个什么样的云安全体系结构呢？通过对CSA的云控制矩阵和等保2.0的体系结构，以及SANS滑动标尺模型、自适应模型和零信任模型的梳理，总结出这样两点体会：第一、强调要分层次，强调从基础架构到应用的防护。第二、强调要叠加演进，从被动到主动的防护，能力闭环。

　　结合私有云安全需求、SANS滑动标尺模型、云等保责任共担模型，细化设计后的云数据中心安全体系架构如图：

　　在云安全体系结构中，安全防护能力横向分为4个层次：基础结构安全、纵深防御、积极防御、威胁情报。纵向分为云化安全防护和云平台基础防护。在等保里已明确提出所有的云防护测评需要分成两部分：一是对云平台自身的防护，二是对其上云应用的防护。业界普遍把研究重点集中到云化的安全防护，但对云平台的基础防护基本没人研究，云平台到底该怎么防护？在这个过程中，按照云安全体系架构设计思想，针对平台侧安全能力、租户侧安全能力，统一安全基础设施提出了能力设计，放到不同的模块当中。蓝色代表云化的能力，橙色代表平台侧必须具有的能力，绿色代表统一的安全能力。云边界的安全防护能力，需要结合实际，不仅给云提供边界，同时给云平台提供边界，起到节约成本的效果。

　　基础结构安全。在各种安全能力中，有一些基础能力非常关键，如基础设施的统一身份认证和管理，这也是零信任的核心问题；又如数据生命周期的安全管理等。

　　全面纵深防御。云平台底层基础设施网络纵深防御以及租户侧虚拟网络纵深防御是难点。平台侧纵深防御基于分区、分域的安全原则，把云管理平台、云操作系统和资源池分别放到不同安全域里面，同时在中间加装各种防火墙和防护机制，只允许配置过安全策略的这些节点之间相互通信，同时对外提供防火墙和其他防护机制，从而形成纵深的防御体系。

　　租户侧东西向、南北向流量防护也是难点，业界的各种解决方案都各有利弊。

　　没有一个方案是完美的，都有缺陷，最后怎么权衡？第一、投入的成本。第二、你希望取得的效果。没有十全十美的解决方案，相信你选中的合作伙伴！

　　东西向流量防护、南北向流量防护。结合业界实践情况，根据东西向防护、南北向流量防护不同路线的优缺点和各种安全能力的特点，采用最适合其发挥最大能效的实施方式。

　　积极防御和威胁情报。云管平台需与集中安全管理平台结合，还需与态势感知平台等相结合，双向通信，形成主动防御。

　　滑动标尺模型为云安全建设明确了建设步骤，在云安全建设的过程中，应逐步完成基础机构安全、纵深防御、积极防御和威胁情报，左侧安全能力是右侧安全能力的基础和依赖，协同联动整体的安全能力。

　　建立起云安全体系架构后，各种安全能力怎么整合，才能有效持续确保云能力持续稳定安全的输出，又成为下一个挑战。而零信任模型似乎是一种思路，值得深入研究。

　　铁信云对零信任模型的理解

　　零信任体系架构是一种端到端的网络/数据安全方法，包括身份、凭证、访问管理、操作、终端、宿主环境和互联基础设施，是一种侧重于数据保护的架构方法。

　　零信任模型对传统的边界安全架构思想重新进行了评估和审视，并对安全架构思路给出了新的建议：默认情况下不应该信任网络内部和外部的任何人、设备、系统和应用，而是应该基于认证、授权和加密技术重构访问控制的信任基础，并且这种授权和信任不是静态的，它需要基于对访问主体的风险度量进行动态调整。

　　NIST给出的零信任模型定义为：零信任架构提供了一个概念、思路和组件关系（架构）的集合，旨在消除在信息系统和服务中实施精确访问决策的不确定性。零信任是一套不断发展的网络安全模式的术语，它将防御从静态的、基于网络的边界，转移到关注用户、资产和资源上。

　　基于零信任模型的思想、定义理解，可以看出零信任模型重点是应用和数据服务的安全交付。核心理念是基于身份的动态权限管理，其关键能力可以概况为：以资产为基础，以身份为核心、业务安全访问、持续信任评估和基于最小权限的动态访问控制。

　　因此将云安全体系架构滑动标尺的安全能力和业务系统、信息化系统紧密结合起来，动态联动，形成耦合关系，就可以形成基于零信任架构理念落地的一种内生安全解决方案。

结合零信任模块框架图，一个深刻体会是策略执行点的选择。不同的场景，应结合企业实际情况，灵活的选择策略执行点，如主体资产上的客户端安全软件、远程访问场景下的网关、数据访问场景下的API网关、应用软件的授权控制模块、应用资源隔离场景下的微隔离防火墙等。这些策略执行点的选择可根据业务需要选择单个或者多个组合，以满足业务的需要。另外一个深刻体会是策略决策点在什么位置更合适，需要结合业务场景做选择。

　　以内生安全支撑云服务交付

　　为实现内生安全的云服务交付，应结合场景，先梳理核心资产，清楚防护目标的暴露情况，清楚访问路径，并结合云安全体系架构滑动标尺中的各项能力对照，梳理出需要的安全能力、并分配到合理位置。将所需要的安全能力和业务软件开发、系统建设融合，而不再单纯是外挂式安全防护机制，实现安全和业务同步规划、同步建设，建立起以资产为基础、以增强身份治理为核心、动态调整授权的内生安全机制，支撑业务的安全防护。

　　以应用交付、数据交付场景为例。细化落实的过程异常复杂。举例来说，一个软件应用最简化的模型可以由前台门户、业务服务、数据处理、认证授权这几个模块组成，用户通过电脑或手机经过网络来到云边界，再到应用边界，再到应用，这个场景大家都觉得很简单，传统做法主要为加装各种安全组件，纵深防御。但数据的防护和应用的防护怎么办？要防护到哪一级？菜单能点击吗？报表能看吗？数据能取走吗？把上述这些设计理念一一落实的过程异常复杂。在这个场景中，防护目标是云上运行的应用，暴露面包含着域名、IP、端口、API、URL、页面菜单、功能按纽、数据等。资产有用户的终端设备、网络设备、云主机、容器、应用进程等。访问路径可以从用户终端-公司内网-云边界-数据中心网络-应用边界-应用内虚拟网络-应用云机端点-应用服务等。当把网络细分时，有公司内网、互联网、数据中心之间的交互用户进一步细分，尤其是用户的身份，在公司内部就有普通用户、应用管理员、IT运维人员。在公司外部还有协作人员、供应链的人员等，叠加起来，不同场景下，每个人的权限都不一样，每个人要赋予的职责也不一样。

　　结合云安全体系架构的安全能力，选择所需要的安全能力。

　　在基础结构侧，结合上述细分访问场景，细化安全能力选择。例如对于公众从互联网访问，可选择用户身份治理，如浏览器类型、版本的要求；而对于应用的管理员/运维人员从企业内网访问，则必须选择用户身份治理，访问终端安全加固、补丁升级等安全基线管理；而对应用运维人员/企业云基础设施运维人员/企业云基础设施供应链供应商从互联网访问，则在上述安全能力的基础上，还需选择终端合法性认证、网络流量加密等安全能力。

　　在纵深防御侧，基于基础结构的资产、访问流向等，建立起逐层收缩攻击面、逐层防御的立体安全策略执行体系。云上工作负载的微隔离是纵深防御的难点。通过微隔离实现不同应用间的隔离和应用内部中各云主机/服务的隔离，除允许必要的通信外，默认拒绝任何其他访问，实现云上资源内部的微分段。

　　基于身份的动态授权是内生安全的关键，包含权限管理以及动态调整两个方面。权限包含静态权限和动态权限，静态权限主要在网络平面，负责为应用提供稳定、逐层收缩的高质量网络传输通道；动态权限主要体现在应用自身。

　　基于身份的分段授权，权限的管理需要结合业务访问路径上的设备、系统进行分段分层设置。网络准入负责终端接入企业网络的管理，网络纵深防御负责应用IP/Port/DNS的管理，应用负责微隔离/页面菜单/页面按钮/数据的管理，作为执行点的各个设备、系统应将权限配置、执行情况汇总到零信任模型的数据平台，以实现可视化和动态调整。因此这是一个权限控制粒度从粗到细的一个过程，其中关键点是应用自身实现基于身份的细粒度权限控制，这也是安全能力和应用软件融合实现非外挂式内生安全的关键之一。应用软件通常都具有用户认证和权限管理模块，在新建应用系统的软件规划和设计时，应当结合业务需要和零信任的思想，在认证和权限模块中做基于身份的细粒度权限管理，并和零信任的策略引擎等联动，实现用户身份的动态验证、应用访问的动态授权。

　　在此过程中，应用能看到所有路径的权限情况，是零信任策略决策点的最佳位置。

　　数据安全防护和业务应用访问场景基本一致，其差异点在于数据服务场景安全交付的重点是数据安全。数据服务交付场景面临的风险包括API漏洞、缺乏细粒度数据访问权限、身份认证不足、数据泄露等，因此在规划和设计上除了云安全体系架构的基础架构安全能力、纵深防御能力，关键是结合应用软件和系统建设构建面向数据的内生安全能力。

　　面向数据的内生安全能力首先要基于数据治理，梳理出重要数据、敏感数据，按照零信任的思想，细化设计面向数据的身份验证、权限控制、访问行为审计等安全能力，设计和态势感知、零信任策略引擎互动的安全能力，并在构建数据访问API和系统建设时将这些安全能力嵌入到软件和系统中，实现用户访问数据范围可控、可跟踪。

　　另外在防止数据泄露上，还需要结合用户终端安全管控软件做细粒度权限管理，例如是否允许下载的数据通过微信、邮件等渠道外传。

　　内生安全能力与运维/运营融合构建实战化持续交付能力。为支撑云服务持续安全稳定交付，需要能“可持续”的发现网络攻击并基于协同响应的实战化安全运行做出有效响应，这就需要将网络安全保障体系和运维/运营深度融合，实现可持续常态化安全保障，支撑云服务持续安全稳定交付。

　　首先，通过网络安全保障体系的建设，形成网络安全基础设施，形成标准化的安全服务，并在日常工作中持续实施这些标准化的安全服务，确保安全能力的持续输出。

　　其次，需要将安全运行融合到运维运营运行中，包括在信息系统的制度、流程等方面嵌入安全运行的要求，确保安全能力能被执行。

　　再次，需要在安全团队和运维运营团队间形成紧密协作、循环提升工作机制。在面对网络攻击、威胁入侵、响应处置、动态策略配置及优化、权限管理等工作时，能团结协作，形成以数据驱动流程的运行模式，确保实战中能持续输出安全能力，支撑云服务的持续交付，并在此过程中形成PDAC闭环的工作机制，循环提升安全运行的水平，持续改进网络安全保障体系，支撑云服务持续输出。

　　结束语

　　以内生安全支撑云上服务交付，要以“动态、综合、可持续”为指导，以安全能力建设为基础，围绕服务交付确定防御重点，规划建设动态综合的网络安全防御体系，使安全能力覆盖服务交付路径上的云资源、网络、人员等所有IT要素，避免局部盲区而导致的防御体系失效，还要将安全能力深度融入物理、网络、系统、应用、数据和用户等各个层次，确保安全能力在IT的各个层次有效集成。围绕人员和流程开展实战化安全运行，将网络安全保障体系和运维运营深度融合，实现可持续常态化安全保障，支撑云服务持续安全稳定交付。