云安全技術(shù)白皮書

1 1 5 7 7漢柏云安全解決方案 21 什么叫云安全借用云計算商業(yè)模式將信息安全以云服務(wù)方式交付。參照云計算SaaS(SoftwareasService)的定義方法，我們可以叫做SecaaS(SecurityasService)。比如阿里云的云盾、百度的安全寶、山石的云界、漢柏的云墻都屬于針對云計算產(chǎn)品、服務(wù)、環(huán)境、數(shù)據(jù)等提供安全防護。屬于這個領(lǐng)域的云安全產(chǎn)品。利用云計算技術(shù)提升信息安全服務(wù)能力與水平。比如奇虎360的天眼利用云計算大規(guī)模計算能力進行病毒查殺、漢柏的云腦利用云計算大規(guī)模計算和存儲資源彈性伸縮技術(shù)進行未知安全威脅的預(yù)測和防御。2信息安全發(fā)展歷史junperFERTINETWAFOiMPERNA是piss■圖1主要信息安全業(yè)務(wù)領(lǐng)域從安全業(yè)務(wù)需求角度來看，呈現(xiàn)下面幾個趨勢：趨勢一：從通信安全、計算機安全、網(wǎng)絡(luò)安全向以應(yīng)用為主的信息安全升級；趨勢二：從主機病毒查殺到主機側(cè)全方位安全；趨勢三：從傳統(tǒng)IT安全向移動互聯(lián)網(wǎng)安全、云計算安全、工業(yè)控制安全、大數(shù)據(jù)安全等新領(lǐng)域挺進；趨勢四：從防范已知威脅到未知威脅的防范。圖2信息安全發(fā)展里程碑APPNGFW、IPS、王控安全云計算安金物聯(lián)網(wǎng)安全大數(shù)據(jù)安全研發(fā)過程安全趨勢二：將社會工程學(xué)融合到攻擊實施過程中，比如脫褲、洗庫、撞庫等。3.從信息安全防御技術(shù)來看從信息安全防御技術(shù)角度看，呈現(xiàn)下面幾個趨勢：趨勢一：利用云計算和大數(shù)據(jù)技術(shù)防范未知威脅攻擊；趨勢二：采用大數(shù)據(jù)挖掘、日志交叉關(guān)聯(lián)分析等技術(shù)盡可能做到安全威脅的可視化；趨勢三：從單點防范到威脅情報共享，實現(xiàn)全局聯(lián)動與防范；趨勢四：從4~7層檢測到payload以及會話關(guān)聯(lián)檢測；趨勢五：從單純安全防護到重視前期預(yù)防，在信息系統(tǒng)研發(fā)、建設(shè)的過程中采取嚴格科學(xué)的流程確保盡可能少的安全漏洞。poaa4.從信息安全產(chǎn)品交付模式來看從信息安全產(chǎn)品交付模式來看，呈現(xiàn)下面趨勢：趨勢一：從軟硬一體形態(tài)到純軟件形態(tài)；趨勢二：從一次性售賣到租賃；趨勢三：從線下實物交付到線上云服務(wù)交付。3隨著云計算的興起，應(yīng)用軟件廠商ISV紛紛開始嘗試SaaS業(yè)務(wù)模式，同樣一些信息安全廠商也開始在信息安全領(lǐng)域嘗試SaaS模式，一般稱之為SecaaS。從客戶角度，SecaaS模式有下面幾個明顯優(yōu)勢：-提供全新的按需(規(guī)模，時間)銷售模式用戶在軟件和硬件上都無任何前期的一次性成本開銷，而且用戶還可以隨時啟用或者停止安全服務(wù)，無需任何事前承諾。-提供全托管的軟件交付模式-提供高可用，高安全的安全服務(wù)用戶的服務(wù)由安全廠商自身的專業(yè)運維團隊運維，且服務(wù)可用性是SecaaS客戶協(xié)議中的-SecaaS的租用模式比原來一次性授權(quán)的模式讓信息安全產(chǎn)品的使用成本門檻大幅下降可以讓安全廠商可以服務(wù)更多原來無能力使用的大量長尾用戶。-SecaaS讓產(chǎn)品交付及后期支持變得容易很多。由于基于集中的托管模式，安全廠商可以在線交付和更新服務(wù)，所有支持也可以在線完成，比原來線下和現(xiàn)場交付和支持的模式要高效得多，相應(yīng)的成本也有明顯降低。-SecaaS讓軟件知識產(chǎn)權(quán)的保護變得更容易。由于后端集中托管，安全廠商無需再發(fā)行單獨的軟件安裝包，也就讓軟件盜版及非法使用變得不可能。這將避免安全廠商大量的收入流失以及原來模式下沉重的法務(wù)支出。所以，安全產(chǎn)品和服務(wù)的銷售和交付模式正在在沿著提高交付價值，降低用戶使用成本，幫助安全廠商更好提供服務(wù)的方向發(fā)展。盡管SecaaS在模式上有非常明顯的優(yōu)勢。但SecaaS帶來的全托管模式也給安全廠商帶來新的問題，其中一個最大的挑戰(zhàn)就是基礎(chǔ)設(shè)施投入和建設(shè)。而過去十年公有云laaS的快速發(fā)展則正好解決了SecaaS軟件面臨的這個重大挑戰(zhàn)，大大降低安全廠商提供SecaaS服務(wù)的難度。具體體現(xiàn)在如下幾個方面：公有云laaS讓安全廠商不再需要自己投資昂貴的硬件基礎(chǔ)設(shè)施運行SecaaS軟件。相反，laaS提供了和SecaaS完全匹配的基礎(chǔ)設(shè)施計費模式(按需付費),這讓安全廠商在提供SecaaS服務(wù)上無基礎(chǔ)設(shè)施成本的額外負擔(dān)。-公有云提供的全球一致部署模式讓安全廠商可通過互聯(lián)網(wǎng)快速部署SecaaS服務(wù)到全球任一角落而無額外成本。-類似萃果的AppStore,公有云供應(yīng)商開始普遍提供售賣軟件產(chǎn)品及服務(wù)的統(tǒng)一平臺(如軟件市場)。該平臺幫助安全廠商解決入口流量、用戶管理、支付管理等多個方面的工作，讓SecaaS服務(wù)的銷售成本更低。正是得益于SaaS模式上的優(yōu)勢和過去十年公有云隨著云計算產(chǎn)品和服務(wù)的開花落地，針對云環(huán)境、云系統(tǒng)、云數(shù)據(jù)、云操作等方面的安全防護需求也隨著而來。比如vmware的vShield方案，與趨勢科技合作，提供云主機的病毒查隨著應(yīng)用越來越豐富，安全事件也頻繁爆發(fā)，用戶對安全事件快速應(yīng)急響應(yīng)需求也越來越多。然而，之前的安全防護技術(shù)更多是基于已知威脅，一且發(fā)生未知威脅則需要相當(dāng)長的時間研究才能夠提供特征庫更新或產(chǎn)品補丁升級。同時之前大多是單點防護，多個安全防護節(jié)點之間沒有有效協(xié)同，導(dǎo)致安全防護效果不佳，防護范圍也非常有限。因此未知威脅的提前感知、威脅情報共享就開始受到重視。但幸運的是，恰逢云計算技術(shù)和應(yīng)用在當(dāng)前得到長足發(fā)展和推廣，因此安全產(chǎn)品和服務(wù)就可以利用云計算的集中模式、大規(guī)模并行分布式計算、海量存儲以及大數(shù)據(jù)挖掘技術(shù)，來實現(xiàn)未知威脅的信息收集、存儲、挖掘與分析、告警及展示；威脅情報的收集、確認、共享等，從而有效提升安全服務(wù)的質(zhì)量。云安全發(fā)展現(xiàn)狀當(dāng)前還未有專業(yè)機構(gòu)做SecaaS的市場統(tǒng)計。借鑒SaaS的市場情況，推測SecaaS占SaaS市場規(guī)模的10%左右。根據(jù)思科最新的全球云平臺負載指數(shù)(如圖6),SaaS已經(jīng)成為云上最主要、增長最快的負載類型。到2018年全球云上負載超過一半都被SaaS服務(wù)消耗。圖6全球云平臺負載指數(shù)(思科統(tǒng)計)模將與2015年到達200億美金，且復(fù)合年均增長率也是超過傳統(tǒng)軟件的5倍。從技術(shù)和產(chǎn)品角度來看，當(dāng)前SecaaS服務(wù)主要有三種交付模式：由于laaS公有云的快速發(fā)展，公有云laaS提供商成為新的軟件銷售入口。越來越多的用戶為降低初期基礎(chǔ)設(shè)施投入，都直接在laaS上部署企業(yè)軟件。這種方式降低了IT基礎(chǔ)設(shè)施的成本，但是軟件前期一次性授權(quán)的費用對很多企業(yè)來說仍然是很大的一筆開支。于是，laaS供應(yīng)商開始和ISV合作，推出鏡像市場模式銷售軟件。企業(yè)用戶只需要在laaS軟件市場訂閱ISV的軟件并利用鏡像方式直接在laaS基礎(chǔ)設(shè)施上啟動服務(wù)，而且整個基礎(chǔ)設(shè)施和軟件授權(quán)費用都按使用時間和規(guī)模計費，統(tǒng)一通過laaS供應(yīng)商的支付渠道完成支付。這里模式已經(jīng)被公有云laaS供應(yīng)商普逼采用，最為代表的有AWSMarketplace和阿里云的云市場。同理，安全廠商將安全軟件從硬件中分離出來，以軟件鏡像的方式運行在laaS基礎(chǔ)設(shè)施上面，提供SecaaS服務(wù)。這類模式的代表安全廠商已經(jīng)比較多，下面是阿里云市場上的安全廠商：三云市場分類三云市場分類在此輸入您需要的服務(wù)oominoomin5金牌主機安全代維服務(wù)Hillstone圖8阿里云應(yīng)用市場中的安全產(chǎn)品對于每一個用戶，安全廠商在其后臺獨立部署一套安全防護系統(tǒng)，并由安全廠商集中運維所有用戶的服務(wù)。在這種模式下，用戶之間的資源和數(shù)據(jù)是從物理層進行隔離，互不影響，所以無需安全廠商在軟件自身進行多租戶改造。類似于多租戶，用戶也是按需向安全廠商租用服務(wù)，并且不關(guān)心其中的軟件和硬件具體成本。由于這種模式的改造成本較低，同時又可以帶來SaaS服務(wù)的諸多優(yōu)點，所以這類模式成為傳統(tǒng)安全廠商廠商轉(zhuǎn)型SecaaS的一個新選擇。代表廠商有云WAF服務(wù)商阿里云WAF、加速樂；云DDoS服務(wù)商阿里云DDoS等。-多租戶模式真正的多租戶模式，需要安全廠商對自己的安全產(chǎn)品做較大的改造，在前幾年由NetScreen提出的虛擬防火墻，在本質(zhì)上就是讓防火墻支持多租戶。不過當(dāng)前還未見到大規(guī)模采用這種模式的安全廠商。中國私有云市場規(guī)模，2012-2013總計-USS549.1MB計-088766.7MIDC204(4.1)圖9中國公有云市場規(guī)模(2013)針對云的安全防護市場規(guī)模當(dāng)前也沒有權(quán)威機構(gòu)單獨統(tǒng)計，如果按照云計算市場規(guī)模的10%計算，根據(jù)IDC2014年的統(tǒng)計預(yù)測數(shù)據(jù)，可以得出2013年中國云安全防護的市場規(guī)模大概在1.25億美元。從技術(shù)和產(chǎn)品的角度，幾家互聯(lián)網(wǎng)公司都為自己的云自主研發(fā)了防護系統(tǒng)，比如阿里云的云盾、騰訊的大禹和天御。vmware的vShield方案，與趨勢科技合作，提供云主機的病毒查殺；NSX方案，與Paloalto合作，提供云網(wǎng)絡(luò)安全防護。此領(lǐng)域還主要利用云計算和大數(shù)據(jù)技術(shù)來進行未知威脅的感知和處理。奇虎360的天眼產(chǎn)品走在業(yè)界前面，傳統(tǒng)安全廠商也逐漸開始關(guān)注此領(lǐng)域，不過大多還是基于SIEM和SoC的基礎(chǔ)上進行概念包裝。轉(zhuǎn)型云安全的挑戰(zhàn)大多傳統(tǒng)信息安全廠商已經(jīng)意識到云安全的剛需和迫切性，但要想進入云安全的三個領(lǐng)域在技術(shù)、交付、思維模式方面都存在較大的挑戰(zhàn)。2)效率與性能租戶隔離分為邏輯隔離與物理隔離兩類。邏輯隔離意味著安全軟件系統(tǒng)需要重構(gòu)以支持多租戶。-知識更新要針對云提供安全防護，則一方面需要對云計算的技術(shù)、系統(tǒng)結(jié)構(gòu)、服務(wù)模式有較深入的理解和掌握，才能夠提出適用于各種部署模式的云的安全防護解決方案，另一方面，需要改造和升級現(xiàn)有安全產(chǎn)品，能夠?qū)υ骗h(huán)境、云系統(tǒng)、云數(shù)據(jù)、云操作等提供全方位的安全防護。-必須與虛擬化系統(tǒng)協(xié)同半年就升級一個大版本，從而導(dǎo)致安全解決方案也得不斷的跟隨openstack,疲于奔命。-技術(shù)挑戰(zhàn)當(dāng)前開源的云操作系統(tǒng)(分布式資源調(diào)度、分布式任務(wù)調(diào)度)比較多，利用開源系統(tǒng)搭建一個大型規(guī)模的云數(shù)據(jù)中心來進行大規(guī)模的計算任務(wù)相對并不困難，但是傳統(tǒng)安全廠商不得不需要自己去開發(fā)未知威脅的收集、存儲、挖掘、可視化、與探針有效聯(lián)動的系統(tǒng)，則需要安全廠商掌握大規(guī)模分布式系統(tǒng)計算、并行計算、分布式存儲、大數(shù)據(jù)挖掘算法、交叉關(guān)聯(lián)分析算法、應(yīng)用前端展示技術(shù)等，而這些是大部分安全廠商之前接觸掌握較少的技術(shù)。-基礎(chǔ)設(shè)施投入成本挑戰(zhàn)必須要建設(shè)一定規(guī)模的云數(shù)據(jù)中心，則意味著大量的硬件服務(wù)器、存儲、網(wǎng)絡(luò)等設(shè)備投入，這是一筆不小的投入，而且還不直接產(chǎn)生收入，對公司的運營成本帶來挑戰(zhàn)。-運維管理挑戰(zhàn)云數(shù)據(jù)中心雖然不直接對外提供服務(wù)，但是云數(shù)據(jù)中心的運維管理必不可少，對于傳統(tǒng)安全廠商沒有做過大型數(shù)據(jù)中心運維來說，也是不小的挑戰(zhàn)。云安全轉(zhuǎn)型的技術(shù)路線SecaaS的技術(shù)路線一般有三條，鏡像交付和單租戶交付模式前面已經(jīng)闡述。-多租戶模式通過“大平臺+多租戶”的模式提供SecaaS服務(wù)。所有用戶的服務(wù)都由安全廠商集中運維管理，且所有用戶的服務(wù)共享安全防護的資源池，由安全廠商提供的多租戶邏輯實現(xiàn)用戶之間的資源和數(shù)據(jù)隔離。用戶按使用規(guī)模和時間直接向安全廠商付費(這個費用不再區(qū)分硬件費用和軟件費用)。目前，這類模式被認為是SecaaS服務(wù)的最終產(chǎn)品形態(tài)，所有新型的SecaaS公司也基本都采用這種模式在運營。但是，到目前為止，還沒有出現(xiàn)傳統(tǒng)安全廠商成功轉(zhuǎn)型成這種模式的成功案例。-與云平臺廠商合作，開辟新的產(chǎn)品線云防護產(chǎn)品至少需要下面幾個角色：1)可Scaleout的云安全防護控制器；2)可無縫嵌入到云平臺的安全插件；3)可動態(tài)伸縮的安全防護資源池。自主建設(shè)機房、自主開發(fā)或采用開源系統(tǒng)搭建云操作系統(tǒng)、自主開發(fā)運行在云操作系統(tǒng)上的業(yè)務(wù)系統(tǒng)、自主運維管理數(shù)據(jù)中心。采用公有云模式，在公有云上租用虛擬數(shù)據(jù)中心vDC相對于私有云模式，少了機房和IT基礎(chǔ)設(shè)施的建設(shè)，而是在公有云服務(wù)商那里租用以提供-采用混合云模式所謂的混合云模式，也就是在私有云和公有云上的vDC之間實現(xiàn)網(wǎng)絡(luò)通信、業(yè)務(wù)自動雙向遷移。當(dāng)前，業(yè)務(wù)向公有云遷移有成功案例，反過來公有云業(yè)務(wù)向私有云遷移還未見到商用漢柏云安全解決方案云監(jiān)管者云監(jiān)管者云計算服務(wù)安全認證云消費者PrivateCommunityetc.云服務(wù)提供商軟件定義安全云產(chǎn)品提供商云解決方案安全云計算產(chǎn)品測評認證云計算資產(chǎn)等級保護Hybrid4.服務(wù)模型此架構(gòu)模型將云角色分為云監(jiān)管者、云產(chǎn)品提供者、云服務(wù)提供商、云消費者，并描述了每個角色的主要職責(zé)和承擔(dān)的安全風(fēng)險。2.應(yīng)用模型SecaaS(SecurityasService)CSP(CloudSecurityProtection)SCT(SecurityCloudTechnique)圖11漢柏云計算安全應(yīng)用模型此應(yīng)用模型描述了三個云安全應(yīng)用領(lǐng)域。3.部署模型PrivateCloudPublicPrivateCloudPublicCloud此部署模型分為公有云、私有云、混合云、社區(qū)云幾個場景，同時針對每種場景的云安全需求也不盡相同。公有云場景，比較適合SecaaS服務(wù)，但對于公有云服務(wù)提供商來說，針對云的安全防護SCT需求仍然是必不可少，而且大都自主研發(fā)，以適應(yīng)復(fù)雜的云場景。云計算安全服務(wù)模型云計算安全服務(wù)模型SaaS(SecuritySoftwareorFeatureaaS)PaaS(DistributedSecurityOS)HaaS(PhysicalFW、IPS.…)圖13漢柏云計算安全服務(wù)模型5.技術(shù)架構(gòu)MultitaskComputing存儲與備份監(jiān)控與大數(shù)據(jù)挖掘SOA基于隔離基于可信根儲圖14漢柏云計算安全技術(shù)架構(gòu)數(shù)據(jù)保護OSS服務(wù)開通管理備份與恢復(fù)管理T服務(wù)水平管理服務(wù)交付目錄管理服務(wù)自動化管理工單管理自動化部署配置與變更管理T資產(chǎn)管理容量與性能管理平臺與虛擬化管理監(jiān)控與事件管理BSS財務(wù)管理服務(wù)管理身份授權(quán)管理訂單管理服務(wù)目錄評級管理賬單管理度量與計費定價管理客戶管理合同管理圖15漢柏云計算安全管理模型云操作可信確保云服務(wù)對用戶透明比如：確保云中的數(shù)據(jù)不被竊取、尊改、甚至是數(shù)壞，云所提供的雕務(wù)不竊取，分析用戶的隱私，云中所運行的應(yīng)用不被非法監(jiān)聽、干擾，分析等可管確保針對用戶提供定制安全服務(wù)比如針對租戶提供定制化入侵防護服務(wù)比如針對不同用戶提供不同級別的信息安全服務(wù)準備規(guī)劃云數(shù)據(jù)擇與部署可控確保云環(huán)境不被用來做惡比如利用云的規(guī)模性主動或被動發(fā)起網(wǎng)絡(luò)攻擊、利用云數(shù)據(jù)集中的特性敖布遙言、更加重要的是采用一些非常規(guī)的技術(shù)和手段泄露國家機密?；蚶妙A(yù)留后門在緊急時刻發(fā)起針對云數(shù)據(jù)中心的飯滅性攻擊等可靠確保云服務(wù)持續(xù)、符合SLA比如確保云報務(wù)持續(xù)可靠，不中斷、不因為故障或其他原因?qū)е掠脩魮p失等比如不被病毒感染，不被入侵攻擊等云環(huán)境運行監(jiān)管云系統(tǒng)終止服務(wù)物理安全基礎(chǔ)設(shè)施安全慮擬化安全網(wǎng)絡(luò)安全應(yīng)用安全數(shù)據(jù)安全內(nèi)容安全移動安全管理安全圖16漢柏云計算安全評估模型在云計算服務(wù)生命周期的準備規(guī)劃、選擇與部署、運行監(jiān)管、終止服務(wù)等4個階段，分別從云操作、云數(shù)據(jù)、云環(huán)境、云系統(tǒng)等4個角度，就物理安全、基礎(chǔ)設(shè)施安全、虛擬化安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全、內(nèi)容安全、移動安全、管理安全等9個方面，進行可信、可控、可靠、可管等4個安全維度的評估。8.監(jiān)管模型(MSP/CSP)圖17漢柏云計算安全監(jiān)管模型此監(jiān)管模型提出云監(jiān)管者可以從三個方面來實施監(jiān)管：云計算產(chǎn)品測評認證、云計算服務(wù)安全認證和云計算資產(chǎn)等級保護。XenServer