随着开始拥抱云计算技术,企业将更多的业务系统云化,将工作负载迁移至云端,保护云环境已成为当务之急。无论是在Gartner的白皮书中,还是云安全解决方案里,相信你经常会遇到像CSPM、CWPP、SASE等一些传统安全中未曾出现过的词汇,确切地说,是各种理念。他们都代表了什么、如何将他们逐步落地,下面就让我们揭开这些词汇的神秘面纱,一探究竟。
图1 文中涉及概念所在位置概览
一、CSPM(Cloud Security Posture Management),云安全态势管理
云安全态势管理旨在为云上租户提供最大化的资源可见性、云上资源配置管理和漏洞管理,协助客户对云上业务系统开展持续地威胁检测与安全事件自动化响应。
图2 AWS最佳实践“你无法保护你看不件的事情”
1.提高资源可见性
“人们无法防护他们看不到的东西”,通过对接主流云管平台OpenStack中Nova等模块或云服务商提供的API,对云上资产做发现和梳理并进行关联展示。将部署在云内业务系统上的安全能力作为触手,结合智能安全运营平台和威胁情报的订阅,以态势可视化的形式可以直观地了解云内资产正在发生哪些事情和面临着哪些威胁。做好云上安全,可见性对于将底层基础设施“封装”起来的云计算环境至关重要。
NSFOCUS能力:多云管理系统CSPM、智能安全运营平台ISOP
2.资源合规监控
云上资源的配置错误,对信息系统的安全性将造成非常严重的影响,最常见被报告的影响是云环境中的敏感数据泄露。对于计算资源,凭借漏洞扫描和配置核查能力,自动化地去发现在如虚拟机或容器的不合理配置。对于数据资源,无论是针对自建数据库,还是大数据平台、通过内置规则的数据风险评估工具去扫描发现敏感信息以实施云上数据层面的合规性检测。
NSFOCUS能力:漏洞扫描RSAS、配置核查BVS
3.威胁检测与防护
当面对针对3-7层的网络攻击、针对Web应用的SQL注入和XSS等攻击、针对主机侧的恶意软件等已知威胁时,我们通过将对应的防护能力,如NGFW、WAF、EDR等,以实例化近源部署在租户的VPC内或将以上能力下沉到安全资源池的部署方式,同时满足私有云和公有云威胁检测与防护的需求。而当面临诸如APT等未知威胁时,单点防护能力便显得捉襟见肘,我们需要以上能力构建的纵深防御体系加上以大数据分析技术为底座的智能运营分析平台,配合安全专家的研判,全方位地对威胁进行识别。
NSFOCUS能力:防火墙NF、入侵监测与防御系统IDPS、Web应用防火墙WAF、DdoS防御ADS、主机安全UES、统一威胁探针UTS、智能安全运营平台ISOP
4.审计与溯源
任何到了一定规模的系统都会提供大量不同种类的日志和监控指标,我们很容易被那些对安全没有帮助的海量数据所淹没,因此,选择监控什么非常关键。除了合规要求里提到的对日志和数据库审计等,我们还需要关注VPC内部的网络情况,增强对网络流量的控制力,分析包括基于五元组的流日志(DFI)和实际流量包数据(DPI);另外,一定不能忽视的是对云上API操作的审计,如果某些云上资源莫名的被删除了,到底发生了什么,什么时候,是谁主导了这次违规行为,这些无一例外都被记录到API操作记录里,可谓安全溯源之必备佳品。
NSFOCUS能力:日志审计系统LAS、数据库审计系统DAS、堡垒机OSMS、网络流量分析系统NTA
图3 CSPM重点内容梳理
二、CWPP(Cloud Workload Protection Platform),云工作负载保护平台
云工作负载主要是指云上的虚拟机和容器,概念的提出旨在针对云上威胁最终的落脚点—工作负载提供安全防护产品和解决方案。覆盖云上业务系统从搭建、部署到实际运行等全生命周期保护,强调异构环境下工作负载的统一安全管理。
图4 容器化业务系统受到大量安全威胁
1.虚拟机
根据思科发布的《全球云指数:预测和方法 2015-2020年》显示:到2020年,全球数据中心内部东西向网络流量占到整体流量的近80%,我们需要在云内对计算资源做东西向网络防护。无论是私有云还是公有云,云服务商都会提供安全组(Security Group)功能,安全组是一种应用在主机操作系统或Pod(Pod 是容器集群调度的最小对象)层面的有状态防火墙,通过控制流量进出某个计算实例来实现对某个实例的访问控制。通过使用安全组服务,便可以对云上工作负载执行细粒度的访问控制,从而实现网络微隔离来应对东西向安全威胁。
同时,在终端侧部署EDR能力,对虚拟机的基本元数据、执行数据、网络和存储数据等进行识别,通过观察攻击行为,对异构数据进行分析以主动减少攻击面、防止恶意软件感染、实时检测并消除虚拟机上的潜在威胁。为了提高对工作负载间网络流量的可见性与控制力,可以使用云服务商提供的流量镜像功能,将虚拟机弹性网卡上获取的流量镜像发送至安全设备,也可以使用EDR探针进行流量捕获后传输至安全设备,对VPC内部的流量内容进行协议解析与威胁检测。如将安全设备日志发送至安全运营平台做进一步分析,可实现威胁发现与攻击溯源等能力。
NSFOCUS能力:主机安全UES、统一威胁探针UTS、智能安全运营平台ISOP
2.容器
容器作为当前微服务架构应用主流工作负载,作为一种操作系统层之上的虚拟化技术,相比于IaaS层的虚拟机可谓“封装”层级更高,潜在威胁更加难以发现。DevOps是容器最佳的试练场地,我们不妨从容器的生命周期视角,即从容器镜像的构建与存储到容器运行时进行监测与防护。
首先在镜像构建阶段,对镜像文件中存在的恶意代码进行扫描发现,将威胁扼杀在“左侧”,同时从镜像仓库拉取镜像时,使用TLS协议传输以保证容器镜像的完整性,防止镜像被篡改从而破坏完整性。
接下来在容器运行时阶段,我们需要深入到容器集群和业务节点内部,对容器不合理配置、容器内进程的异常行为、容器的非法挂载等风险进行识别和发现,及时阻止容器逃逸、挖矿等行为发生;由于微服务架构使得业务应用最大化解耦,容器作为其工作负载,之间的网络交互量异常庞大,我们需要通过部署网络插件和抓取流量镜像进行实时分析等技术手段实现容器环境下的微隔离和网络威胁检测,防止东西向攻击蔓延。
最后,不要忘记对容器基础设施,如K8S和Docker等进行合规性检测,毕竟“地基”不稳,“建筑”再坚固也是徒劳。
图5 CWPP重点内容梳理
NSFOCUS能力:容器安全管理系统NCSS-C
CSPM和CWPP,两者从不同的视角来看待云上威胁,在落地执行时或多或少都有重叠的部分,部署单一理念对应的安全产品无法满足各类云上业务系统的安全防护需求,云上安全未来更多需要云服务商和安全厂商之间协作,以及各项安全能力相互之间打通来共同完成。
图6 CSPM与CWPP之间的关系
3.SASE(Security Access Service Edge),安全访问服务边缘
图7 企业分支机构使用SASE直接通过互联网访问云上业务
云工作负载保护平台随着业务系统云化以及由于现实因素导致远程办公的兴起,让传统的 VPN 系统不堪重负,安全服务商和云服务商面临将网络接入和安全能力进行融合的挑战,对此Gartner在2019年提出SASE(安全访问服务边缘)。SASE 是一种基于零信任模型,通过将网络接入和安全能力融合,统一在云端平台管理和交付,将安全执行点部署在离用户更近的边缘节点,从而实现安全能力的服务化和企业安全服务的托管。
我们可以将SDP套件与安全防护能力进行云化,同时通过SDP Agent、SD-WAN、隧道传输等多种方式将访问云端业务主体的流量牵引至SASE云(或PoP点),即可以完成多分支机构的统一安全交付,避免分支安全建设和安全策略的不一致性,同时降低使用MPLS回联总部再上网的高额成本并以就近选择边缘节点来提升用户网络访问体验。在SASE云中执行零信任访问控制能力,可实现多分支用户在多云等异构环境下的单点登录,同时最大限度的收敛云端业务暴露面,有效地避免对云端业务DDoS攻击发生。
NSFOCUS能力:SASE-NPA、SASE-NIA
参考材料
- Cisco, SASE for dummies
https://www.secureitstore.com/datasheets/ebooks/new-secure-access-service-edge-sase-for-dummies-ebook.pdf
- AWS, Well-Architected Framework
https://docs.aws.amazon.com/wellarchitected/latest/framework/wellarchitected-framework.pdf
- Gartner, Cloud Security 201 CASB, CSPM, CWPP —What Does I – 380782
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。