云安全技術(shù)白皮書

1 1 5 7 7漢柏云安全解決方案 21 什么叫云安全借用云計(jì)算商業(yè)模式將信息安全以云服務(wù)方式交付。參照云計(jì)算SaaS(SoftwareasService)的定義方法，我們可以叫做SecaaS(SecurityasService)。比如阿里云的云盾、百度的安全寶、山石的云界、漢柏的云墻都屬于針對云計(jì)算產(chǎn)品、服務(wù)、環(huán)境、數(shù)據(jù)等提供安全防護(hù)。屬于這個(gè)領(lǐng)域的云安全產(chǎn)品。利用云計(jì)算技術(shù)提升信息安全服務(wù)能力與水平。比如奇虎360的天眼利用云計(jì)算大規(guī)模計(jì)算能力進(jìn)行病毒查殺、漢柏的云腦利用云計(jì)算大規(guī)模計(jì)算和存儲資源彈性伸縮技術(shù)進(jìn)行未知安全威脅的預(yù)測和防御。2信息安全發(fā)展歷史junperFERTINETWAFOiMPERNA是piss■圖1主要信息安全業(yè)務(wù)領(lǐng)域從安全業(yè)務(wù)需求角度來看，呈現(xiàn)下面幾個(gè)趨勢：趨勢一：從通信安全、計(jì)算機(jī)安全、網(wǎng)絡(luò)安全向以應(yīng)用為主的信息安全升級；趨勢二：從主機(jī)病毒查殺到主機(jī)側(cè)全方位安全；趨勢三：從傳統(tǒng)IT安全向移動互聯(lián)網(wǎng)安全、云計(jì)算安全、工業(yè)控制安全、大數(shù)據(jù)安全等新領(lǐng)域挺進(jìn)；趨勢四：從防范已知威脅到未知威脅的防范。圖2信息安全發(fā)展里程碑APPNGFW、IPS、王控安全云計(jì)算安金物聯(lián)網(wǎng)安全大數(shù)據(jù)安全研發(fā)過程安全趨勢二：將社會工程學(xué)融合到攻擊實(shí)施過程中，比如脫褲、洗庫、撞庫等。3.從信息安全防御技術(shù)來看從信息安全防御技術(shù)角度看，呈現(xiàn)下面幾個(gè)趨勢：趨勢一：利用云計(jì)算和大數(shù)據(jù)技術(shù)防范未知威脅攻擊；趨勢二：采用大數(shù)據(jù)挖掘、日志交叉關(guān)聯(lián)分析等技術(shù)盡可能做到安全威脅的可視化；趨勢三：從單點(diǎn)防范到威脅情報(bào)共享，實(shí)現(xiàn)全局聯(lián)動與防范；趨勢四：從4~7層檢測到payload以及會話關(guān)聯(lián)檢測；趨勢五：從單純安全防護(hù)到重視前期預(yù)防，在信息系統(tǒng)研發(fā)、建設(shè)的過程中采取嚴(yán)格科學(xué)的流程確保盡可能少的安全漏洞。poaa4.從信息安全產(chǎn)品交付模式來看從信息安全產(chǎn)品交付模式來看，呈現(xiàn)下面趨勢：趨勢一：從軟硬一體形態(tài)到純軟件形態(tài)；趨勢二：從一次性售賣到租賃；趨勢三：從線下實(shí)物交付到線上云服務(wù)交付。3隨著云計(jì)算的興起，應(yīng)用軟件廠商ISV紛紛開始嘗試SaaS業(yè)務(wù)模式，同樣一些信息安全廠商也開始在信息安全領(lǐng)域嘗試SaaS模式，一般稱之為SecaaS。從客戶角度，SecaaS模式有下面幾個(gè)明顯優(yōu)勢：-提供全新的按需(規(guī)模，時(shí)間)銷售模式用戶在軟件和硬件上都無任何前期的一次性成本開銷，而且用戶還可以隨時(shí)啟用或者停止安全服務(wù)，無需任何事前承諾。-提供全托管的軟件交付模式-提供高可用，高安全的安全服務(wù)用戶的服務(wù)由安全廠商自身的專業(yè)運(yùn)維團(tuán)隊(duì)運(yùn)維，且服務(wù)可用性是SecaaS客戶協(xié)議中的-SecaaS的租用模式比原來一次性授權(quán)的模式讓信息安全產(chǎn)品的使用成本門檻大幅下降可以讓安全廠商可以服務(wù)更多原來無能力使用的大量長尾用戶。-SecaaS讓產(chǎn)品交付及后期支持變得容易很多。由于基于集中的托管模式，安全廠商可以在線交付和更新服務(wù)，所有支持也可以在線完成，比原來線下和現(xiàn)場交付和支持的模式要高效得多，相應(yīng)的成本也有明顯降低。-SecaaS讓軟件知識產(chǎn)權(quán)的保護(hù)變得更容易。由于后端集中托管，安全廠商無需再發(fā)行單獨(dú)的軟件安裝包，也就讓軟件盜版及非法使用變得不可能。這將避免安全廠商大量的收入流失以及原來模式下沉重的法務(wù)支出。所以，安全產(chǎn)品和服務(wù)的銷售和交付模式正在在沿著提高交付價(jià)值，降低用戶使用成本，幫助安全廠商更好提供服務(wù)的方向發(fā)展。盡管SecaaS在模式上有非常明顯的優(yōu)勢。但SecaaS帶來的全托管模式也給安全廠商帶來新的問題，其中一個(gè)最大的挑戰(zhàn)就是基礎(chǔ)設(shè)施投入和建設(shè)。而過去十年公有云laaS的快速發(fā)展則正好解決了SecaaS軟件面臨的這個(gè)重大挑戰(zhàn)，大大降低安全廠商提供SecaaS服務(wù)的難度。具體體現(xiàn)在如下幾個(gè)方面：公有云laaS讓安全廠商不再需要自己投資昂貴的硬件基礎(chǔ)設(shè)施運(yùn)行SecaaS軟件。相反，laaS提供了和SecaaS完全匹配的基礎(chǔ)設(shè)施計(jì)費(fèi)模式(按需付費(fèi)),這讓安全廠商在提供SecaaS服務(wù)上無基礎(chǔ)設(shè)施成本的額外負(fù)擔(dān)。-公有云提供的全球一致部署模式讓安全廠商可通過互聯(lián)網(wǎng)快速部署SecaaS服務(wù)到全球任一角落而無額外成本。-類似萃果的AppStore,公有云供應(yīng)商開始普遍提供售賣軟件產(chǎn)品及服務(wù)的統(tǒng)一平臺(如軟件市場)。該平臺幫助安全廠商解決入口流量、用戶管理、支付管理等多個(gè)方面的工作，讓SecaaS服務(wù)的銷售成本更低。正是得益于SaaS模式上的優(yōu)勢和過去十年公有云隨著云計(jì)算產(chǎn)品和服務(wù)的開花落地，針對云環(huán)境、云系統(tǒng)、云數(shù)據(jù)、云操作等方面的安全防護(hù)需求也隨著而來。比如vmware的vShield方案，與趨勢科技合作，提供云主機(jī)的病毒查隨著應(yīng)用越來越豐富，安全事件也頻繁爆發(fā)，用戶對安全事件快速應(yīng)急響應(yīng)需求也越來越多。然而，之前的安全防護(hù)技術(shù)更多是基于已知威脅，一且發(fā)生未知威脅則需要相當(dāng)長的時(shí)間研究才能夠提供特征庫更新或產(chǎn)品補(bǔ)丁升級。同時(shí)之前大多是單點(diǎn)防護(hù)，多個(gè)安全防護(hù)節(jié)點(diǎn)之間沒有有效協(xié)同，導(dǎo)致安全防護(hù)效果不佳，防護(hù)范圍也非常有限。因此未知威脅的提前感知、威脅情報(bào)共享就開始受到重視。但幸運(yùn)的是，恰逢云計(jì)算技術(shù)和應(yīng)用在當(dāng)前得到長足發(fā)展和推廣，因此安全產(chǎn)品和服務(wù)就可以利用云計(jì)算的集中模式、大規(guī)模并行分布式計(jì)算、海量存儲以及大數(shù)據(jù)挖掘技術(shù)，來實(shí)現(xiàn)未知威脅的信息收集、存儲、挖掘與分析、告警及展示；威脅情報(bào)的收集、確認(rèn)、共享等，從而有效提升安全服務(wù)的質(zhì)量。云安全發(fā)展現(xiàn)狀當(dāng)前還未有專業(yè)機(jī)構(gòu)做SecaaS的市場統(tǒng)計(jì)。借鑒SaaS的市場情況，推測SecaaS占SaaS市場規(guī)模的10%左右。根據(jù)思科最新的全球云平臺負(fù)載指數(shù)(如圖6),SaaS已經(jīng)成為云上最主要、增長最快的負(fù)載類型。到2018年全球云上負(fù)載超過一半都被SaaS服務(wù)消耗。圖6全球云平臺負(fù)載指數(shù)(思科統(tǒng)計(jì))模將與2015年到達(dá)200億美金，且復(fù)合年均增長率也是超過傳統(tǒng)軟件的5倍。從技術(shù)和產(chǎn)品角度來看，當(dāng)前SecaaS服務(wù)主要有三種交付模式：由于laaS公有云的快速發(fā)展，公有云laaS提供商成為新的軟件銷售入口。越來越多的用戶為降低初期基礎(chǔ)設(shè)施投入，都直接在laaS上部署企業(yè)軟件。這種方式降低了IT基礎(chǔ)設(shè)施的成本，但是軟件前期一次性授權(quán)的費(fèi)用對很多企業(yè)來說仍然是很大的一筆開支。于是，laaS供應(yīng)商開始和ISV合作，推出鏡像市場模式銷售軟件。企業(yè)用戶只需要在laaS軟件市場訂閱ISV的軟件并利用鏡像方式直接在laaS基礎(chǔ)設(shè)施上啟動服務(wù)，而且整個(gè)基礎(chǔ)設(shè)施和軟件授權(quán)費(fèi)用都按使用時(shí)間和規(guī)模計(jì)費(fèi)，統(tǒng)一通過laaS供應(yīng)商的支付渠道完成支付。這里模式已經(jīng)被公有云laaS供應(yīng)商普逼采用，最為代表的有AWSMarketplace和阿里云的云市場。同理，安全廠商將安全軟件從硬件中分離出來，以軟件鏡像的方式運(yùn)行在laaS基礎(chǔ)設(shè)施上面，提供SecaaS服務(wù)。這類模式的代表安全廠商已經(jīng)比較多，下面是阿里云市場上的安全廠商：三云市場分類三云市場分類在此輸入您需要的服務(wù)oominoomin5金牌主機(jī)安全代維服務(wù)Hillstone圖8阿里云應(yīng)用市場中的安全產(chǎn)品對于每一個(gè)用戶，安全廠商在其后臺獨(dú)立部署一套安全防護(hù)系統(tǒng)，并由安全廠商集中運(yùn)維所有用戶的服務(wù)。在這種模式下，用戶之間的資源和數(shù)據(jù)是從物理層進(jìn)行隔離，互不影響，所以無需安全廠商在軟件自身進(jìn)行多租戶改造。類似于多租戶，用戶也是按需向安全廠商租用服務(wù)，并且不關(guān)心其中的軟件和硬件具體成本。由于這種模式的改造成本較低，同時(shí)又可以帶來SaaS服務(wù)的諸多優(yōu)點(diǎn)，所以這類模式成為傳統(tǒng)安全廠商廠商轉(zhuǎn)型SecaaS的一個(gè)新選擇。代表廠商有云WAF服務(wù)商阿里云WAF、加速樂；云DDoS服務(wù)商阿里云DDoS等。-多租戶模式真正的多租戶模式，需要安全廠商對自己的安全產(chǎn)品做較大的改造，在前幾年由NetScreen提出的虛擬防火墻，在本質(zhì)上就是讓防火墻支持多租戶。不過當(dāng)前還未見到大規(guī)模采用這種模式的安全廠商。中國私有云市場規(guī)模，2012-2013總計(jì)-USS549.1MB計(jì)-088766.7MIDC204(4.1)圖9中國公有云市場規(guī)模(2013)針對云的安全防護(hù)市場規(guī)模當(dāng)前也沒有權(quán)威機(jī)構(gòu)單獨(dú)統(tǒng)計(jì)，如果按照云計(jì)算市場規(guī)模的10%計(jì)算，根據(jù)IDC2014年的統(tǒng)計(jì)預(yù)測數(shù)據(jù)，可以得出2013年中國云安全防護(hù)的市場規(guī)模大概在1.25億美元。從技術(shù)和產(chǎn)品的角度，幾家互聯(lián)網(wǎng)公司都為自己的云自主研發(fā)了防護(hù)系統(tǒng)，比如阿里云的云盾、騰訊的大禹和天御。vmware的vShield方案，與趨勢科技合作，提供云主機(jī)的病毒查殺；NSX方案，與Paloalto合作，提供云網(wǎng)絡(luò)安全防護(hù)。此領(lǐng)域還主要利用云計(jì)算和大數(shù)據(jù)技術(shù)來進(jìn)行未知威脅的感知和處理。奇虎360的天眼產(chǎn)品走在業(yè)界前面，傳統(tǒng)安全廠商也逐漸開始關(guān)注此領(lǐng)域，不過大多還是基于SIEM和SoC的基礎(chǔ)上進(jìn)行概念包裝。轉(zhuǎn)型云安全的挑戰(zhàn)大多傳統(tǒng)信息安全廠商已經(jīng)意識到云安全的剛需和迫切性，但要想進(jìn)入云安全的三個(gè)領(lǐng)域在技術(shù)、交付、思維模式方面都存在較大的挑戰(zhàn)。2)效率與性能租戶隔離分為邏輯隔離與物理隔離兩類。邏輯隔離意味著安全軟件系統(tǒng)需要重構(gòu)以支持多租戶。-知識更新要針對云提供安全防護(hù)，則一方面需要對云計(jì)算的技術(shù)、系統(tǒng)結(jié)構(gòu)、服務(wù)模式有較深入的理解和掌握，才能夠提出適用于各種部署模式的云的安全防護(hù)解決方案，另一方面，需要改造和升級現(xiàn)有安全產(chǎn)品，能夠?qū)υ骗h(huán)境、云系統(tǒng)、云數(shù)據(jù)、云操作等提供全方位的安全防護(hù)。-必須與虛擬化系統(tǒng)協(xié)同半年就升級一個(gè)大版本，從而導(dǎo)致安全解決方案也得不斷的跟隨openstack,疲于奔命。-技術(shù)挑戰(zhàn)當(dāng)前開源的云操作系統(tǒng)(分布式資源調(diào)度、分布式任務(wù)調(diào)度)比較多，利用開源系統(tǒng)搭建一個(gè)大型規(guī)模的云數(shù)據(jù)中心來進(jìn)行大規(guī)模的計(jì)算任務(wù)相對并不困難，但是傳統(tǒng)安全廠商不得不需要自己去開發(fā)未知威脅的收集、存儲、挖掘、可視化、與探針有效聯(lián)動的系統(tǒng)，則需要安全廠商掌握大規(guī)模分布式系統(tǒng)計(jì)算、并行計(jì)算、分布式存儲、大數(shù)據(jù)挖掘算法、交叉關(guān)聯(lián)分析算法、應(yīng)用前端展示技術(shù)等，而這些是大部分安全廠商之前接觸掌握較少的技術(shù)。-基礎(chǔ)設(shè)施投入成本挑戰(zhàn)必須要建設(shè)一定規(guī)模的云數(shù)據(jù)中心，則意味著大量的硬件服務(wù)器、存儲、網(wǎng)絡(luò)等設(shè)備投入，這是一筆不小的投入，而且還不直接產(chǎn)生收入，對公司的運(yùn)營成本帶來挑戰(zhàn)。-運(yùn)維管理挑戰(zhàn)云數(shù)據(jù)中心雖然不直接對外提供服務(wù)，但是云數(shù)據(jù)中心的運(yùn)維管理必不可少，對于傳統(tǒng)安全廠商沒有做過大型數(shù)據(jù)中心運(yùn)維來說，也是不小的挑戰(zhàn)。云安全轉(zhuǎn)型的技術(shù)路線SecaaS的技術(shù)路線一般有三條，鏡像交付和單租戶交付模式前面已經(jīng)闡述。-多租戶模式通過“大平臺+多租戶”的模式提供SecaaS服務(wù)。所有用戶的服務(wù)都由安全廠商集中運(yùn)維管理，且所有用戶的服務(wù)共享安全防護(hù)的資源池，由安全廠商提供的多租戶邏輯實(shí)現(xiàn)用戶之間的資源和數(shù)據(jù)隔離。用戶按使用規(guī)模和時(shí)間直接向安全廠商付費(fèi)(這個(gè)費(fèi)用不再區(qū)分硬件費(fèi)用和軟件費(fèi)用)。目前，這類模式被認(rèn)為是SecaaS服務(wù)的最終產(chǎn)品形態(tài)，所有新型的SecaaS公司也基本都采用這種模式在運(yùn)營。但是，到目前為止，還沒有出現(xiàn)傳統(tǒng)安全廠商成功轉(zhuǎn)型成這種模式的成功案例。-與云平臺廠商合作，開辟新的產(chǎn)品線云防護(hù)產(chǎn)品至少需要下面幾個(gè)角色：1)可Scaleout的云安全防護(hù)控制器；2)可無縫嵌入到云平臺的安全插件；3)可動態(tài)伸縮的安全防護(hù)資源池。自主建設(shè)機(jī)房、自主開發(fā)或采用開源系統(tǒng)搭建云操作系統(tǒng)、自主開發(fā)運(yùn)行在云操作系統(tǒng)上的業(yè)務(wù)系統(tǒng)、自主運(yùn)維管理數(shù)據(jù)中心。采用公有云模式，在公有云上租用虛擬數(shù)據(jù)中心vDC相對于私有云模式，少了機(jī)房和IT基礎(chǔ)設(shè)施的建設(shè)，而是在公有云服務(wù)商那里租用以提供-采用混合云模式所謂的混合云模式，也就是在私有云和公有云上的vDC之間實(shí)現(xiàn)網(wǎng)絡(luò)通信、業(yè)務(wù)自動雙向遷移。當(dāng)前，業(yè)務(wù)向公有云遷移有成功案例，反過來公有云業(yè)務(wù)向私有云遷移還未見到商用漢柏云安全解決方案云監(jiān)管者云監(jiān)管者云計(jì)算服務(wù)安全認(rèn)證云消費(fèi)者PrivateCommunityetc.云服務(wù)提供商軟件定義安全云產(chǎn)品提供商云解決方案安全云計(jì)算產(chǎn)品測評認(rèn)證云計(jì)算資產(chǎn)等級保護(hù)Hybrid4.服務(wù)模型此架構(gòu)模型將云角色分為云監(jiān)管者、云產(chǎn)品提供者、云服務(wù)提供商、云消費(fèi)者，并描述了每個(gè)角色的主要職責(zé)和承擔(dān)的安全風(fēng)險(xiǎn)。2.應(yīng)用模型SecaaS(SecurityasService)CSP(CloudSecurityProtection)SCT(SecurityCloudTechnique)圖11漢柏云計(jì)算安全應(yīng)用模型此應(yīng)用模型描述了三個(gè)云安全應(yīng)用領(lǐng)域。3.部署模型PrivateCloudPublicPrivateCloudPublicCloud此部署模型分為公有云、私有云、混合云、社區(qū)云幾個(gè)場景，同時(shí)針對每種場景的云安全需求也不盡相同。公有云場景，比較適合SecaaS服務(wù)，但對于公有云服務(wù)提供商來說，針對云的安全防護(hù)SCT需求仍然是必不可少，而且大都自主研發(fā)，以適應(yīng)復(fù)雜的云場景。云計(jì)算安全服務(wù)模型云計(jì)算安全服務(wù)模型SaaS(SecuritySoftwareorFeatureaaS)PaaS(DistributedSecurityOS)HaaS(PhysicalFW、IPS.…)圖13漢柏云計(jì)算安全服務(wù)模型5.技術(shù)架構(gòu)MultitaskComputing存儲與備份監(jiān)控與大數(shù)據(jù)挖掘SOA基于隔離基于可信根儲圖14漢柏云計(jì)算安全技術(shù)架構(gòu)數(shù)據(jù)保護(hù)OSS服務(wù)開通管理備份與恢復(fù)管理T服務(wù)水平管理服務(wù)交付目錄管理服務(wù)自動化管理工單管理自動化部署配置與變更管理T資產(chǎn)管理容量與性能管理平臺與虛擬化管理監(jiān)控與事件管理BSS財(cái)務(wù)管理服務(wù)管理身份授權(quán)管理訂單管理服務(wù)目錄評級管理賬單管理度量與計(jì)費(fèi)定價(jià)管理客戶管理合同管理圖15漢柏云計(jì)算安全管理模型云操作可信確保云服務(wù)對用戶透明比如：確保云中的數(shù)據(jù)不被竊取、尊改、甚至是數(shù)壞，云所提供的雕務(wù)不竊取，分析用戶的隱私，云中所運(yùn)行的應(yīng)用不被非法監(jiān)聽、干擾，分析等可管確保針對用戶提供定制安全服務(wù)比如針對租戶提供定制化入侵防護(hù)服務(wù)比如針對不同用戶提供不同級別的信息安全服務(wù)準(zhǔn)備規(guī)劃云數(shù)據(jù)擇與部署可控確保云環(huán)境不被用來做惡比如利用云的規(guī)模性主動或被動發(fā)起網(wǎng)絡(luò)攻擊、利用云數(shù)據(jù)集中的特性敖布遙言、更加重要的是采用一些非常規(guī)的技術(shù)和手段泄露國家機(jī)密。或利用預(yù)留后門在緊急時(shí)刻發(fā)起針對云數(shù)據(jù)中心的飯滅性攻擊等可靠確保云服務(wù)持續(xù)、符合SLA比如確保云報(bào)務(wù)持續(xù)可靠，不中斷、不因?yàn)楣收匣蚱渌驅(qū)е掠脩魮p失等比如不被病毒感染，不被入侵攻擊等云環(huán)境運(yùn)行監(jiān)管云系統(tǒng)終止服務(wù)物理安全基礎(chǔ)設(shè)施安全慮擬化安全網(wǎng)絡(luò)安全應(yīng)用安全數(shù)據(jù)安全內(nèi)容安全移動安全管理安全圖16漢柏云計(jì)算安全評估模型在云計(jì)算服務(wù)生命周期的準(zhǔn)備規(guī)劃、選擇與部署、運(yùn)行監(jiān)管、終止服務(wù)等4個(gè)階段，分別從云操作、云數(shù)據(jù)、云環(huán)境、云系統(tǒng)等4個(gè)角度，就物理安全、基礎(chǔ)設(shè)施安全、虛擬化安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全、內(nèi)容安全、移動安全、管理安全等9個(gè)方面，進(jìn)行可信、可控、可靠、可管等4個(gè)安全維度的評估。8.監(jiān)管模型(MSP/CSP)圖17漢柏云計(jì)算安全監(jiān)管模型此監(jiān)管模型提出云監(jiān)管者可以從三個(gè)方面來實(shí)施監(jiān)管：云計(jì)算產(chǎn)品測評認(rèn)證、云計(jì)算服務(wù)安全認(rèn)證和云計(jì)算資產(chǎn)等級保護(hù)。XenServer