云安全技術(shù)發(fā)展白皮書2024

云安全技術(shù)發(fā)展白皮書導(dǎo)讀 1.?年云計算安全威脅演進(jìn) 41.1安全事件層出不窮 1.2云上資產(chǎn)激增擴(kuò)大攻擊面 1.3云原生環(huán)境的安全?險日益增加 1.4漏洞威脅持續(xù)涌現(xiàn) 1.5勒索軟件構(gòu)成重大安全挑戰(zhàn) 1.6新型的高級攻擊手法防不勝防 2.云安全技術(shù)的過去、現(xiàn)在與未來 2.1主機(jī)安全 2.2虛擬化層和宿主機(jī)安全 2.3微隔離 2.4云安全態(tài)勢管理 2.5云訪問安全代理 422.6云原生安全 482.7云安全資源池 3.總結(jié) 1在信息技術(shù)革命的推動下，云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、AI、5G等新興技術(shù)不斷涌現(xiàn)，推動人類社會、經(jīng)濟(jì)、文明等多方面以更快的速度發(fā)展著。當(dāng)經(jīng)濟(jì)發(fā)展過程中借助互聯(lián)網(wǎng)、IT技術(shù)、軟件等多種工具打破人與人之間的“物理墻”，人們隨時隨地都能與大洋彼岸的不同國家的人聊天、交易、合作的同時，云計算以其無處不在的、便捷的、按需的特點脫穎而出，成為不同企業(yè)發(fā)展其業(yè)務(wù)的利刃之一。在中國云計算服務(wù)發(fā)展的早期，阿?云等云廠商所組建的彈性計算共享資源租用服務(wù)，即公有云，可為用?提供公共計算、存儲、網(wǎng)絡(luò)、安全、數(shù)據(jù)、應(yīng)用共享服務(wù)等系列云計算服務(wù)。小企業(yè)和個人等用?能以較低成本、簡易地使用云計算服務(wù)。在政府、金融等企業(yè)用?，出于對敏感、重要數(shù)據(jù)的安全性、可控性的考慮，他們偏向于采用私有云的部署模式。對于既要對外提供服務(wù)、對內(nèi)又有重要的企業(yè)數(shù)據(jù)管控要求的大型集團(tuán)與互聯(lián)網(wǎng)企業(yè)，以公有云、私有云呈現(xiàn)的混合云則成為他們的最優(yōu)選擇。不管是出于哪種部署模式，當(dāng)企業(yè)客?從排斥業(yè)務(wù)上云到主動讓IT基礎(chǔ)設(shè)施上云、大幅度采用云計算服務(wù)的進(jìn)程中，圍繞云計算技術(shù)滋生的系列云計算平臺安全問題，如，用?身份管理/訪問控制、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、管理安全、虛擬化安全等，以及頻發(fā)的且損害范圍越大的安全事件。如，2017年5月，WannaCry勒索軟件攻擊在全球范圍內(nèi)爆發(fā)，影響了多個國家和組織，包括醫(yī)療機(jī)構(gòu)、政府機(jī)構(gòu)和教育機(jī)構(gòu)。2020年，SolarWinds攻擊事件被曝光，攻擊者通過向SolarWinds公司植入惡意軟件，利用SolarWinds的供應(yīng)鏈傳播惡意軟件，影響了全球范圍內(nèi)的政府機(jī)構(gòu)、企業(yè)和組織。2021年5月，美國科洛尼爾管道運輸公司遭受的勒索軟件攻擊事件。20232年11月，國內(nèi)某大型銀?的美國全資子公司在官網(wǎng)發(fā)布申明稱遭受了LockBit勒索軟件攻擊，導(dǎo)致部分系統(tǒng)中斷等。這類事件也推動著云安全技術(shù)產(chǎn)生及推陳出新。為了讓用?能更好地保護(hù)公有云、私有云及混合云上的工作負(fù)載等資源的安全，國內(nèi)外云安全廠商也打造了表1所列舉的云工作負(fù)載保護(hù)平臺（CWPP）、云訪問安全代理（CASB）、微隔離（Micro-Segmentation）、云安全態(tài)勢管理(CSPM)、云原生應(yīng)用保護(hù)平臺（CNAPP）、云安全資源池等系列不同的云安全技術(shù)應(yīng)用，以及對應(yīng)的云安全產(chǎn)品及解決方案，協(xié)助用?做好云上安全防護(hù)。表1主流的云安全技術(shù)技術(shù)概念提出方提出的時間云工作負(fù)載保護(hù)平臺Gartner云訪問安全代理Gartner微隔離Gartner云安全態(tài)勢管理Gartner云安全資源池云原生應(yīng)用保護(hù)平臺Gartner在云計算的時間發(fā)展曲線上，在不同的時間段?，不同的云安全廠商提出的系列云安全技術(shù)及安全產(chǎn)品在適用于各自國家?業(yè)用?特點的基礎(chǔ)上，也會因為國家不同、采用的實現(xiàn)技術(shù)理念3不同等因素而呈現(xiàn)差異。不管是初入云安全賽道的安全新手，還是上云前、上云過程中的大、中、小型企業(yè)的安全運維人員\安全決策者，或者是專注在網(wǎng)絡(luò)安全?業(yè)其他賽道?的資深安全人，都可通過此份白皮書加深對云工作負(fù)載保護(hù)平臺、云安全態(tài)勢管理、云訪問安全代理、云原生應(yīng)用保護(hù)平臺等主流云安全技術(shù)提出的背景、演進(jìn)的歷史及未來可能的發(fā)展趨勢的了解，在積累云安全知識儲備的同時，做出更好的安全決策與技術(shù)選擇。41.?年云計算安全威脅演進(jìn)云計算技術(shù)的快速迭代更新推動著云技術(shù)架構(gòu)和應(yīng)用模式不斷演進(jìn)，使得云服務(wù)面臨的安全?險日益多元化、復(fù)雜化、擴(kuò)大化，云正在成為安全攻防的主戰(zhàn)場。根據(jù)CybersecurityInsiders《2023云安全報告》對上千網(wǎng)絡(luò)安全專業(yè)人員的調(diào)查顯示，隨著采用云計算的組織不斷增多，39%的受訪者將其50%以上的工作負(fù)載放置在云中，大多數(shù)組織都面臨著以下困難：云安全部署方面的技能差距（58%以及確保多云環(huán)境中的數(shù)據(jù)保護(hù)（52%）。安全顧慮仍然居高不下，76%的受訪者極其或非常擔(dān)心云安全。下面對過去?年來的一些云計算安全威脅演進(jìn)情況進(jìn)?分析，以揭示其發(fā)展變化及對安全防護(hù)的影響。全球各類針對虛擬化架構(gòu)的逃逸攻擊、資源濫用、橫向穿透、APT攻擊等新安全問題層出不窮，且攻擊活動越來越有組織性；全球網(wǎng)絡(luò)戰(zhàn)威脅日趨明顯，各國持續(xù)加大網(wǎng)絡(luò)空間的軍事投入，重要業(yè)務(wù)平臺面臨國家級網(wǎng)絡(luò)攻擊?險，我國面臨的網(wǎng)絡(luò)戰(zhàn)威脅愈加嚴(yán)峻。近年來，網(wǎng)絡(luò)空間全球治理已經(jīng)“從一個技術(shù)問題躍升為大國政治博弈的新熱點”。在國際上的典型代表事件包括了2013年的斯諾登泄露事件，而影響國內(nèi)的典型代表事件包括：1．2022年，美商務(wù)部產(chǎn)業(yè)與安全局發(fā)布針對網(wǎng)絡(luò)安全領(lǐng)域新的出口管制規(guī)定《信息安全控制：網(wǎng)絡(luò)安全物項》，以國家安全和反恐為由，要求美企與我國政府相關(guān)組織網(wǎng)絡(luò)安全產(chǎn)業(yè)合作需經(jīng)審核，并限制漏洞檢測分析等技術(shù)產(chǎn)品出口我國；2．2022年，西北工業(yè)大學(xué)遭美國NSA網(wǎng)絡(luò)攻擊，經(jīng)計算機(jī)病毒應(yīng)急處理中心與360公司分5析發(fā)現(xiàn)，校園信息網(wǎng)絡(luò)中存在多款源于境外的??與惡意程序，對我國網(wǎng)絡(luò)造成嚴(yán)重危害；3．2023年，武漢應(yīng)急管理地震監(jiān)控設(shè)備通告稱遭受美國情報局的網(wǎng)絡(luò)攻擊，經(jīng)國家應(yīng)急處理和360安全團(tuán)隊分析，發(fā)現(xiàn)監(jiān)控設(shè)備中存在惡意竊取程序，監(jiān)控設(shè)備中的地質(zhì)數(shù)據(jù)泄露則會嚴(yán)重危害我國的國土防御安全。APT活動近兩年呈現(xiàn)了大幅增?的趨勢，高級威脅對抗已然進(jìn)入白熱化階段。一是攻擊總量飆升，APT事件的攻擊數(shù)量逐年遞增，同樣我國遭受的APT攻擊也越來越多，重點事件包括來自美國NSA-TAO的攻擊事件、來自越南海蓮花組織的系列攻擊活動、針對國內(nèi)高校的多起APT竊密攻擊活動、以及針對我國大型企業(yè)的大量勒索式攻擊活動；二是攻擊組織激增，安全報告披露涉及162個APT威脅組織，2023年新增65個APT威脅組織，均比2022年大幅增加。全球范圍內(nèi)APT攻擊活動依然緊跟政治、經(jīng)濟(jì)等時事熱點，攻擊目標(biāo)集中分布于政府、教育、金融等?業(yè)領(lǐng)域；三是攻擊手段多樣化，為了確保攻擊流程的成功實施，APT攻擊者在代碼執(zhí)?手法上不斷創(chuàng)新（如利用驅(qū)動程序內(nèi)核模塊來直接讀和寫內(nèi)存區(qū)域）和采用繞過技術(shù)，使用非常規(guī)的TTP（戰(zhàn)術(shù)Tactics、技術(shù)Techniques、過程Procedures）去實施攻擊，APT攻擊顯得更有效率和難以防范。1.2云上資產(chǎn)激增擴(kuò)大攻擊面隨著容器、云原生、Serverless、API等云上技術(shù)的升級和變化，加上云基礎(chǔ)架構(gòu)上國產(chǎn)化、多云化、云邊一體等新模式的增加，再結(jié)合AI升級帶來了算網(wǎng)一體、模型服務(wù)等新的業(yè)務(wù)訴求，導(dǎo)致云上資產(chǎn)的類型擴(kuò)充、云上資產(chǎn)的架構(gòu)變更，從而使得整體云上資產(chǎn)管理復(fù)雜度大大提升，6圖1-云架構(gòu)模式多元復(fù)雜云上資產(chǎn)的激增引發(fā)了以下幾個安全場景的演變：1．云上資產(chǎn)類型越來越多，資產(chǎn)間關(guān)系從一維線性向多維拓?fù)溥M(jìn)?調(diào)整；2．除去原有的服務(wù)器資產(chǎn)，大量的API應(yīng)用、編排工具、容器及容器上應(yīng)用資產(chǎn)類型不斷增加；資產(chǎn)類型的增加，結(jié)合整體業(yè)務(wù)發(fā)展，資產(chǎn)關(guān)系也從簡單的服務(wù)器到服務(wù)器訪問變成主機(jī)、容器、應(yīng)用及API等多層級聯(lián)動的復(fù)雜拓?fù)浣Y(jié)構(gòu)；3．隨著云上資產(chǎn)的?險關(guān)聯(lián)程度越來越高，很有可能因為一個資產(chǎn)的?險，導(dǎo)致多個資產(chǎn)甚至一個集群出現(xiàn)大面積安全威脅；4．隨著不同?業(yè)的數(shù)字化發(fā)展以及云架構(gòu)的升級，垂直?業(yè)云和多層級云架構(gòu)模式也大大增加了資產(chǎn)管理的復(fù)雜度。為了應(yīng)對這樣的安全場景，用?很可能需要采購多套安全產(chǎn)品，來完成對不同維度、不同層級的資產(chǎn)信息和資產(chǎn)?險梳理。但這樣的模式使得用?的安全運營成本指數(shù)級增加，最終落為以下幾個問題：1．資產(chǎn)信息不清：云上到底有哪些類型資產(chǎn)、資產(chǎn)所處的云架構(gòu)在哪?、資產(chǎn)間的關(guān)系和影響如何、資產(chǎn)的暴露面在哪?；72．?險信息和關(guān)聯(lián)影響不清：云上資產(chǎn)到底有多少?險，這些?險到底有什么影響，會對主機(jī)上的哪些應(yīng)用以及哪些業(yè)務(wù)有影響；3．攻擊暴露面不清：結(jié)合上述的信息綜合分析，從整個云安全管理來看，暴露的攻擊面有哪些，被攻擊后的影響范圍是什么，也需要進(jìn)?整體分析。1.3云原生環(huán)境的安全?險日益增加最近幾?年，可以發(fā)現(xiàn)每隔?年都會有新的技術(shù)出現(xiàn)，甚至改變IT基礎(chǔ)架構(gòu)，比如2000年的“虛擬化”，2010年的“云計算”，以及當(dāng)下火熱的“云原生”。業(yè)界普遍認(rèn)為“云原生”將是云計算的下半場。同時，云原生安全是未來云安全的重要發(fā)展方向。根據(jù)知名云原生安全公司sysdig在2022年發(fā)布的《云原生安全和使用報告》顯示，在容器編排平臺市場，K8s的占比高達(dá)96%，已然成為容器編排平臺的“事實標(biāo)準(zhǔn)”。此外，在容器運?時引擎方面，Docker的占比約為46%，而containerd、cri-o也有著較高的市場份額。下面就K8s云原生工作負(fù)載的安全威脅進(jìn)?分析。在容器的全生命周期，主要的安全問題在于：不當(dāng)?shù)呐渲眉奥┒矗辉陧椖繕?gòu)建階段，主要的安全問題在于：CI/CD安全、鏡像安全；在容器運?階段，主要的安全問題在于：計算、網(wǎng)絡(luò)、存儲以及應(yīng)用等方面的安全問題。圖2展示了容器云的安全威脅概況。8圖2-容器云的安全威脅概覽這些安全問題體現(xiàn)在用?視?中就成為了：云計算環(huán)境是否可信。為保障云計算全周期的安全可信，業(yè)界從人員操作規(guī)范、云基礎(chǔ)設(shè)施、上云業(yè)務(wù)應(yīng)用、第三方云安全產(chǎn)品等?度建立了一些安全標(biāo)準(zhǔn)?！霸圃鶮8s工作負(fù)載的攻擊模式圖”呈現(xiàn)了攻擊者在云原生K8s工作負(fù)載中的典型攻擊路線，攻擊者可以通過應(yīng)用、容器、主機(jī)、內(nèi)部集群等等攻擊對象，實施組合式攻擊，如圖3所示。圖3-云原生K8s工作負(fù)載的攻擊模式圖云原生應(yīng)用的漏洞攻擊面激增。云原生應(yīng)用資產(chǎn)可分為五大層級，分別是：Cloud、Cluster、9Image、Container、APP，各個層級均可能成為攻擊的入口點。層級說明Cloud——云，一般指數(shù)據(jù)中心的基礎(chǔ)設(shè)施。基礎(chǔ)設(shè)施一般指運?著Linux操作系統(tǒng)的宿主機(jī)集群，并通過專業(yè)的數(shù)據(jù)交換機(jī)進(jìn)?連接。常?的安全問題主要集中在操作系統(tǒng)本身、Web中間件以及rootfs等方面的漏洞。例如，特定版本內(nèi)核或者某些驅(qū)動模塊本身包含有漏洞，CVE-2016-5195（“臟?漏洞”）就是該類型漏洞的典型代表。copy-on-write(COW)功能寫入只讀內(nèi)存映射，導(dǎo)致本地攻擊者可利用該漏洞獲取權(quán)權(quán)限提升漏洞）就是該類型漏洞的典型代表，攻擊者可利用該漏洞通過精心設(shè)計環(huán)境變量誘導(dǎo)pkexec程序執(zhí)?任意代碼；再如，一些Web中間件像Tomcat、Weblogic等軟件自身的漏洞，CVE-2020-2551（WeblogicIIOP反序列化漏洞）就是該類型漏洞的典型代表，攻擊者可利用IIOP協(xié)議執(zhí)?遠(yuǎn)程代碼。此外，在基礎(chǔ)設(shè)施部署過程中，某些不安全配置的引入也可導(dǎo)致的漏洞等，例如對外暴露了某些不安全的端口。Cluster——集群，一般指承載云原生環(huán)境的編排引擎集群。當(dāng)前云原生體系建設(shè)所使用的編排引擎主要是以Kubernetes為基礎(chǔ)的各種發(fā)?版本。作為Kubernetes來說，其本身是由多個組件構(gòu)成的集群系統(tǒng)。這些組件包括但不限于kubelet、Docker、containerd、cri-o、etcd、kube-apiserver、kube-controller、kube-scheduler以及kube-proxy等等。這些組件一般都是云原生安全領(lǐng)域重點研究的對象，并確實爆出過一些影響范圍廣以及威脅較高的漏洞。比較典型的漏洞是CVE-2019-5736（DockerrunC容器逃逸漏洞該漏洞源于程序沒有正確地處理文件描述符，攻擊者可利用該漏洞覆蓋主機(jī)runC的二進(jìn)制文件并以root權(quán)限執(zhí)?命令。同時，由于集群部署的過程中涉及到大量的配置以及權(quán)限分配過程，難免會留下一些薄弱的配置選項，一些常?的安全?險包括但不限于Kubernetes組件或容器運?時組件未鑒權(quán)、允許非安全通道訪問的的KubernertesDashboard服務(wù)。它們均可能是導(dǎo)致集群的被攻擊面擴(kuò)大的主要因素。Image——鏡像，一般指容器運?的基礎(chǔ)鏡像。鏡像安全問題要一分為二分析，分為靜態(tài)容器鏡像與活動容器鏡像。當(dāng)前云原生體系上的業(yè)務(wù)應(yīng)用是以容器的方式進(jìn)?部署，容器引擎服務(wù)支持使用不同的鏡像啟動相應(yīng)的容器。為了提高容器鏡像數(shù)據(jù)的復(fù)用度，容器鏡像一般都采用分層文件系統(tǒng)的方式進(jìn)?組織。而大部分被復(fù)用的數(shù)據(jù)主要來自于互聯(lián)網(wǎng)或者某些未知的地方。一些攻擊者可能會通過某些精心配置的上游鏡像投放來實現(xiàn)對系統(tǒng)的滲透，這些方案包括植入某些可進(jìn)?漏洞利用的工具或者動態(tài)庫、Webshell、病毒??，甚至是添加一些不安全的配置到上游鏡像中；同時，對私有倉庫的入侵也可能會導(dǎo)致鏡像被污染或者投毒。同時，開發(fā)者無心導(dǎo)致的應(yīng)用漏洞也可能將安全?險帶給容器。4．ContainerContainer——容器，一般指容器鏡像是以容器的形式運?起來后的狀態(tài)。與傳統(tǒng)的IT環(huán)境類似，容器環(huán)境下的業(yè)務(wù)代碼本身也可能存在Bug甚至安全漏洞。無論是SQL注入、XSS和文件上傳漏洞，還是反序列化或緩沖區(qū)溢出漏洞，它們都有可能出現(xiàn)在容器化應(yīng)用中。與此同時，容器中的Web應(yīng)用容器若對外開放端口，則很有可能被黑客直接利用。容器雖然天然地與主機(jī)內(nèi)核有著一定的隔離，這使得它們有著一定的安全性。但是攻擊者可能輕易打破容器的隔離性。比如若某容器被配置了“-privileged”等不安全的配置選項，將不受Seccomp等安全機(jī)制的限制，容器內(nèi)root權(quán)限將變得與宿主機(jī)上的root權(quán)限無異。此外“容器逃逸”問題仍然是運?時容器最為嚴(yán)重的安全?險。因相關(guān)程序漏洞導(dǎo)致的容器逃逸（比如CVE-2019-5136）,或內(nèi)核漏洞導(dǎo)致的容器逃逸（比如CVE-2016-5195）等漏洞?險仍然是需要重點關(guān)注的問題。容器逃逸攻擊的實施往往并非一蹴而就，往往是一系列以“權(quán)限提升”為目的的攻擊步驟的組合，并且達(dá)到容器逃逸目的可能的途徑也是多樣化的。例如，據(jù)SysdigSecure《2021容器安全和使用報告》中的“默認(rèn)啟用的Falco安全策略觸發(fā)的報警”統(tǒng)計，“在/etc下執(zhí)?寫操作”“啟動特權(quán)容器”以及“在root下執(zhí)?寫操作”是最常?的違規(guī)事件，它們均可能是容器逃逸攻擊的一環(huán)。APP——應(yīng)用，一般指各類微服務(wù)應(yīng)用。由于研發(fā)人員在開發(fā)的過程中，會不可避免地使用一些開源項目的代碼或者組件，這些代碼和組件可能存在漏洞；同時，研發(fā)人員在代碼研發(fā)的過程中若使用不安全的編碼方式，可能給微服務(wù)應(yīng)用引入漏洞，進(jìn)而造成微服務(wù)應(yīng)用對外暴露漏洞，被黑客遠(yuǎn)程利用。這些安全問題都應(yīng)該得到重視，并在正式發(fā)布之前進(jìn)?安全加固，踐?“安全左移”。據(jù)統(tǒng)計，6%的云客?已經(jīng)落地了開發(fā)安全運營一體化（DevSecOps37%的云客?將計劃采用DevSecOps。此外使用了基礎(chǔ)設(shè)施即代碼、Serverless和持續(xù)集成持續(xù)部署（CI/CD）的云客?占比分別為44%、48%和44%。此外，和Serverless相比，容器的占比雖然只有4%，但其安全防御的形勢嚴(yán)峻。近兩年Sysdig的《云原生安全和使用報告》的幾項統(tǒng)計可?一斑：（1）87%的容器鏡像包含“高危”或“嚴(yán)重”漏洞；（2）Java包?險最大，占運?時暴露漏洞的60%以上；最為常?；（4）62%的容器被檢測出包含shell命令、76%的容器使用root權(quán)限運?。整體而言，云原生應(yīng)用較之傳統(tǒng)的云上應(yīng)用可受的攻擊面更廣，比如K8s、容器以及激增的API均可能成為攻擊對象；同時，云原生應(yīng)用可能受攻擊的階段更廣泛，在容器應(yīng)用的開發(fā)、構(gòu)建、運?的全生命周期均面臨著?險，這對DevSecOps的建設(shè)提出了更為嚴(yán)格的要求。1.4漏洞威脅持續(xù)涌現(xiàn)漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。配置不當(dāng)也是一種漏洞的形式。根據(jù)CybersecurityInsiders《2023云安全報告》對上千網(wǎng)絡(luò)安全專業(yè)人員的調(diào)查顯示，24%的受訪者經(jīng)歷過與公有云相關(guān)的安全事件，其中主要事件類型包括配置錯誤（19%）和漏洞利用（16%）。隨著全球數(shù)字化、網(wǎng)絡(luò)化和智能化進(jìn)程的推進(jìn)，網(wǎng)絡(luò)安全漏洞數(shù)量、嚴(yán)重程度以及受關(guān)注度都在急劇飆升，數(shù)字經(jīng)濟(jì)發(fā)展在網(wǎng)絡(luò)安全領(lǐng)域所面臨的挑戰(zhàn)在不斷升級。在漏洞攻擊態(tài)勢方面呈現(xiàn)了以下幾個特點：1．高?險漏洞數(shù)量突破新高：根據(jù)CNNVD發(fā)布的《2022年度網(wǎng)絡(luò)安2018至2022年連續(xù)五年漏洞數(shù)量呈持續(xù)增??勢，2022年新增漏洞數(shù)量達(dá)24801個，達(dá)歷年最高，較2018年增?52%，超高危數(shù)量較2018年翻一倍。2018至2022年漏洞新增數(shù)量和超高危漏洞數(shù)量統(tǒng)計如圖4所示；圖4-2018至2022年漏洞新增數(shù)量和超高危數(shù)量對比2．供應(yīng)鏈攻擊暗流涌動：漏洞攻擊不再僅僅關(guān)注特定組織的安全，還包括與供應(yīng)鏈有關(guān)的問題。攻擊者越來越傾向于針對供應(yīng)鏈中的弱點進(jìn)?攻擊，以獲取對更廣泛目標(biāo)的訪問權(quán)限。這種策略可能使攻擊者更容易繞過目標(biāo)組織的直接安全防護(hù)，而是選擇攻擊供應(yīng)鏈中的較弱環(huán)節(jié)，如第三方供應(yīng)商或合作伙伴；3．漏洞攻擊平?化：隨著黑客工具和漏洞利用框架的廣泛傳播，攻擊者能夠更輕松地尋找并利用漏洞。這些工具的易用性和效率也在不斷提高，大大降低了漏洞攻擊的?檻，不具備高度能?水平的人員也能進(jìn)?攻擊；4．漏洞處置困難：普通運維人員在進(jìn)?漏洞研判及漏洞修復(fù)的過程中，面臨諸多困難。首先，在面臨海量漏洞情報的研判時，往往無從下手，無法聚焦重點的高危漏洞；其次，在漏洞修復(fù)的過程中也存有不少痛難點，比如：軟件開發(fā)商發(fā)布正式的補丁程序緩慢，難以快速修復(fù)；傳統(tǒng)補丁需要系統(tǒng)重啟或關(guān)閉應(yīng)用程序才能生效，可致系統(tǒng)停機(jī)、業(yè)務(wù)中斷；一些軟件已經(jīng)停止維護(hù)或不再更新，無法得到官方補丁支持；系統(tǒng)依賴于存在已知漏洞的第三方組件，在漏洞修復(fù)時，需要協(xié)調(diào)不同組件的更新和修復(fù)。1.5勒索軟件構(gòu)成重大安全挑戰(zhàn)勒索病毒在云側(cè)、端側(cè)、傳統(tǒng)網(wǎng)絡(luò)環(huán)境中肆意蔓延。更令人擔(dān)憂的是很多企業(yè)生產(chǎn)系統(tǒng)和備份系統(tǒng)都用同樣的管理員登錄憑證（如密碼攻擊者可同時加密生產(chǎn)系統(tǒng)并摧毀備份數(shù)據(jù)。云廠商在做好勒索病毒防范工作的同時需要完善數(shù)據(jù)備份策略，例如離線備份。在過去的?年間，勒索病毒由“萌芽期”進(jìn)入了“成型期”并趨于產(chǎn)業(yè)化、多樣化。1989年，AIDStrojan是世界上第一個被載入史冊的勒索病毒，從而開啟了勒索病毒的時代。早期的勒索病毒主要通過釣?郵件、掛?、社交網(wǎng)絡(luò)方式傳播，使用轉(zhuǎn)賬等方式支付贖金，其攻擊范疇和持續(xù)攻擊能?相對有限，相對容易追查。2．成?期CryptoLocker、CTBLocker等。此類惡意程序大多零散發(fā)生，并且大多數(shù)情況下，這些惡意軟件本身并不具有主動擴(kuò)散的能?。3．成熟期自2016年開始，然而隨著漏洞利用工具包的流?，尤其是“TheShadowBrokers”（影子經(jīng)紀(jì)人）公布方程式黑客組織的工具后，其中的漏洞攻擊工具被黑客廣泛應(yīng)用。勒索病毒也借此廣泛傳播。典型的例子就是WannaCry勒索蠕?病毒的大發(fā)作，這起遍布全球的病毒大破壞事件是破壞性病毒和蠕?傳播的聯(lián)合?動，其目的不在于勒索錢財，而是制造影響全球的大規(guī)模破壞?動。在此階段，勒索病毒已呈現(xiàn)產(chǎn)業(yè)化、家族化持續(xù)運營的特點。在整個鏈條中，各環(huán)節(jié)分工明確，完整的一次勒索攻擊流程可能涉及勒索病毒作者、勒索實施者、傳播渠道商以及代理。4．運營規(guī)范期自2018年開始，常規(guī)的勒索??技術(shù)日益成熟。已將攻擊目標(biāo)從最初的大面積廣撒網(wǎng)無差別攻擊，轉(zhuǎn)向精準(zhǔn)攻擊高價值目標(biāo)。比如直接攻擊醫(yī)療?業(yè)、企事業(yè)單位、政府機(jī)關(guān)服務(wù)器，包括制造業(yè)在內(nèi)的傳統(tǒng)企業(yè)面臨著日益嚴(yán)峻的安全形勢。如今越來越多的黑產(chǎn)組織進(jìn)?聯(lián)合，通過IAB的業(yè)務(wù)植入勒索病毒，可以說IAB的出現(xiàn)為RaaS提供了極大的便利，如圖5所示。圖5-RaaS勒索模式圖5．勒索獲利演化期隨著勒索產(chǎn)業(yè)的不斷完善，勒索組織也在思考如何有效的收取贖金。最開始只有一重勒索，攻擊組織加密關(guān)鍵數(shù)據(jù)，在獲取贖金后恢復(fù)數(shù)據(jù)；隨后變?yōu)槎乩账?，在加密?shù)據(jù)前將關(guān)鍵數(shù)據(jù)回傳，在攻擊者不想繳納贖金時威脅泄露數(shù)據(jù)，以此獲取利益；在二重勒索之后又有三重勒索，勒索團(tuán)伙還在拓展獲利方式，即被攻擊方拖延不交贖金時，對其發(fā)起DDoS攻擊，干擾其正常運?，逼迫其繳納贖金；在前面三重勒索的基礎(chǔ)上，勒索團(tuán)伙將目標(biāo)看向了數(shù)據(jù)關(guān)聯(lián)方，如受害者客?（比如醫(yī)療數(shù)據(jù)中的就診人）、公司競爭對手（售賣關(guān)鍵數(shù)據(jù)給對手）、商業(yè)合作伙伴（施加壓?）等，以此逼迫繳納贖金的同時，獲取更多的利益。1.6新型的高級攻擊手法防不勝防隨著以云原生技術(shù)為新技術(shù)代表的應(yīng)用越來越廣泛，云原生工作負(fù)載面臨的新型高級威脅也層出不窮。許多攻擊者已經(jīng)不再滿足于傳統(tǒng)的網(wǎng)絡(luò)攻擊手段，進(jìn)一步采用傳統(tǒng)與新型高級攻擊手法的組合技術(shù)。這些攻擊技術(shù)多年來一直被用于有針對性的攻擊，并在近幾年開始大規(guī)模部署。以下是近10年來的新型高級攻擊技術(shù)的發(fā)展情況：1．高級持續(xù)威脅（APT）：隨著云計算的興起，高級持續(xù)威脅（APT）攻擊逐漸成為主流。APT攻擊者擅?使用先進(jìn)的技術(shù)手段，如零日攻擊、社工等方式進(jìn)?定向攻擊，以隱蔽和?期的方式滲透目標(biāo)系統(tǒng)，并竊取敏感數(shù)據(jù)；2．云錯誤配置?險：云基礎(chǔ)設(shè)施非常復(fù)雜并且難以正確配置，云錯誤配置導(dǎo)致的攻擊數(shù)不勝數(shù)。云錯誤配置的?險首先在于其配置問題的解決周期?，沒有專業(yè)知識的運維人員無法很好地處置配置問題，這樣會使漏洞暴露時間更?，攻擊者的可乘之機(jī)更多。在這樣?期暴露的脆弱的云環(huán)境，攻擊者常常利用存儲配置錯誤、憑證配置錯誤、容器和編排環(huán)境相關(guān)配置錯誤，通過未授權(quán)訪問，或者非法獲取敏感數(shù)據(jù)獲取云環(huán)境對應(yīng)權(quán)限；3．虛擬化和容器技術(shù)攻擊：隨著云計算中虛擬化和容器技術(shù)的廣泛應(yīng)用，攻擊者也開始瞄準(zhǔn)這些新技術(shù)進(jìn)?攻擊。他們利用虛擬機(jī)或容器環(huán)境中的漏洞、錯誤配置或未授權(quán)訪問，實現(xiàn)對云基礎(chǔ)設(shè)施和敏感數(shù)據(jù)的入侵和竊取；4．供應(yīng)鏈攻擊：供應(yīng)鏈攻擊是指通過入侵或操縱云服務(wù)供應(yīng)鏈中的環(huán)節(jié)，攻擊云服務(wù)提供商和其客?。攻擊者可以主動尋找錯誤配置的CI/CD管道或者工具，從而修改云應(yīng)用、篡改軟件更新或在供應(yīng)鏈中插入惡意代碼，亦或者通過“錯字搶注”等方式進(jìn)?依賴包混淆和構(gòu)建惡意的軟件包被動地誘騙用?下載，最終達(dá)到獲取對云服務(wù)的控制權(quán)或竊取敏感信息的目的；5．加密劫持攻擊：加密劫持攻擊是未經(jīng)授權(quán)使用他人的云資源來挖掘加密貨幣。這通常是通過在受害者的云資源上安裝惡意軟件來完成的，該惡意軟件利用受害者的處理能?在受害者不知情或不同意的情況下挖掘加密貨幣。加密劫持攻擊通常是基于云資源配置和供應(yīng)鏈攻擊或者網(wǎng)絡(luò)釣?誘騙用?下載惡意軟件，劫持云資源并不斷申請并擴(kuò)大云資源規(guī)模用于挖掘加密貨幣。加密劫持通常不涉及用?個人數(shù)據(jù)的泄露，但是會造成用?大量的云資源開銷，并有可能導(dǎo)致云資源硬件的損耗，降低使用壽命；6．AIGC降低了網(wǎng)絡(luò)攻擊的?檻：AIGC（ArtificialIntelligenceGeneratedContent，人工智能）技術(shù)的快速發(fā)展為網(wǎng)絡(luò)攻擊者提供了新的機(jī)會。利用AIGC技術(shù)分析軟件應(yīng)用、生成惡意代碼將降低安全入侵的技術(shù)?檻、降低高級安全入侵的實施成本、提升安全入侵自動化能?、提升安全入侵的效率，從而增加網(wǎng)絡(luò)攻擊威脅性；7．針對虛擬化底層或者宿主機(jī)本身的攻擊：針對虛擬化底層或宿主機(jī)本身的攻擊，是指一類專?針對虛擬化架構(gòu)中基礎(chǔ)層面及其支撐物理主機(jī)的惡意?動。這類攻擊通常旨在利用虛擬化平臺的漏洞、配置錯誤或其他弱點，影響到整個虛擬化環(huán)境的安全性和穩(wěn)定性，比如這幾年針對VMware、KVM等宿主機(jī)的攻擊。宿主機(jī)層容易受到高危漏洞或者勒索攻擊。攻擊者常用的高頻漏洞包括但不限于：RedHatlibvirt資源管理錯誤漏洞（CVE-2020-25637）、QEMUKVM虛擬機(jī)vSphereClient輸入驗證錯誤漏洞（CVE-2021-21985）以及Apa（CVE-2021-44228近年來，針對虛擬化底層或虛擬機(jī)本身的勒索攻擊事件頻現(xiàn)，以發(fā)生在2023年2月的ESXiArgs對全球VMwareESXi服務(wù)器進(jìn)?攻擊的事件為例。勒索軟件團(tuán)伙ESXiArgs通過利用VMwareESXi服務(wù)器中的RCE漏洞（CVE-2021-21974進(jìn)?了一次大規(guī)模的自動化勒索軟件攻擊?動，影響了全球超過3000臺VMwareESXi服務(wù)器。雖然VMware公司在2021年初就發(fā)布了針對這個漏洞的補丁，但攻擊仍然導(dǎo)致眾多的服務(wù)器被加密。攻擊者要求每個受害者支付約2比特幣（當(dāng)時約值45,000美元）。回首過去?年的云計算安全威脅，我們可以深切地感受到，云計算安全威脅呈現(xiàn)了以下的新變化：一是網(wǎng)絡(luò)攻擊活動持續(xù)，攻擊手段不斷翻新，防不勝防；二是網(wǎng)絡(luò)空間軍備競賽不斷加劇，信息和數(shù)據(jù)被武器化，國家間對抗日趨顯化；三是人工智能等顛覆性技術(shù)發(fā)展及應(yīng)用所帶來的潛在安全?險。它們也對安全產(chǎn)品的研發(fā)與安全服務(wù)的提供提出了更為嚴(yán)格的實戰(zhàn)性要求。2.云安全技術(shù)的過去、現(xiàn)在與未來20世紀(jì)80年代，最早的主機(jī)安全技術(shù)聚焦在AV(AntiVirus，防病毒)，防病毒技術(shù)集中于病毒的哈希比對、特征碼匹配以及啟發(fā)式殺毒。起初的病毒哈希比對需要建立病毒哈希庫，簡單快捷，但是不能檢測未知病毒樣本。特征碼匹配使用靜態(tài)掃描技術(shù)，若掃描對象與病毒特征碼匹配，則判斷為病毒。啟發(fā)式殺毒是通過檢查程序代碼指令中可疑屬性來檢測病毒的方法。隨著20世紀(jì)90年代互聯(lián)網(wǎng)的普及，計算機(jī)系統(tǒng)暴露在廣泛的網(wǎng)絡(luò)攻擊之下，危險漏洞的數(shù)量也持續(xù)增?，惡意軟件開始肆意傳播，HIDS（Host-basedIntrusionDetectionSystem，基于主機(jī)型入侵檢測系統(tǒng)）技術(shù)隨之出現(xiàn)。HIDS側(cè)重基于主機(jī)內(nèi)部活動的檢測，集中于真實攻擊者入侵主機(jī)后可能在系統(tǒng)層面做的惡意?為，比如可疑命令、異常登錄、反彈shell、上傳webshell等。21世紀(jì)初，網(wǎng)絡(luò)和系統(tǒng)安全的需求不斷增?，主機(jī)安全產(chǎn)品如?后春筍。EPP（EndpointProtectionPlatform，端點保護(hù)平臺）整合了多種安全功能，包括防病毒、防火墻、應(yīng)用程序控制、設(shè)備控制等，形成了綜合的解決方案。防御基于文件的惡意軟件攻擊，檢測惡意活動，并且提供響應(yīng)動態(tài)安全事件和警報所需的調(diào)查和補救能?。EPP的檢測能?各有不同，但是高級的解決方案會使用多種檢測技術(shù)，從靜態(tài)IOC到?為分析。反病毒的啟發(fā)式監(jiān)控結(jié)合威脅情報信息提升了EPP的反病毒能?，但從技術(shù)上講都是被動防御能?的疊加。當(dāng)針對性強、持續(xù)時間久、威脅程度高的APT攻擊增多，被動防御已不能滿足安全需求。Response，端點檢測與響應(yīng)）、XDR（ExtendedDetectionandResponse，擴(kuò)展檢測與響應(yīng)）和CWPP（CloudWorkloadProtectionPlatform，云工作負(fù)載保護(hù)平臺）等云安全解決方案。EDR解決方案面向的是端點設(shè)備，記錄和存儲終端系統(tǒng)層?為，使用各種數(shù)據(jù)分析技術(shù)檢測可疑系統(tǒng)?為，提供上下文信息，封堵惡意活動并提供修復(fù)建議以恢復(fù)受感染系統(tǒng)。EDR解決方案通常具備四種功能：1）檢測安全事件，對終端的持續(xù)監(jiān)控；2）在終端遏制威脅事件，以威脅事件為起點實現(xiàn)自動根因分析；3）調(diào)查安全事件，高級關(guān)聯(lián)分析應(yīng)對針對性和復(fù)雜性攻擊；4）提供修復(fù)指導(dǎo)，主動發(fā)現(xiàn)和追蹤存在的威脅，在威脅產(chǎn)生影響之前做出響應(yīng)。XDR解決方案是對EDR的擴(kuò)展和補充，它將EDR的安全覆蓋范圍擴(kuò)充到了用?、端點設(shè)備、電子郵件、應(yīng)用程序、網(wǎng)絡(luò)、云工作負(fù)載和數(shù)據(jù)，集成EDR解決方案的功能對更為廣泛的業(yè)務(wù)場景進(jìn)?威脅檢測和響應(yīng)。在2016年3月份，Gartner的分析師在《CWPP市場指南》中首次對CWPCWPP市場是一個以工作負(fù)載為中心的安全防護(hù)解決方案，它是一種典型的基于代理（Agent）的技術(shù)方案。這類解決方案滿足了當(dāng)前橫跨物理和虛擬環(huán)境、私有云和多種公有云環(huán)境的混合式數(shù)據(jù)中心架構(gòu)條件下服務(wù)器工作負(fù)載防護(hù)的獨特需求。還有的甚至也同時支持基于容器的應(yīng)用架構(gòu)。近年來，CWPP產(chǎn)品的定義、基本產(chǎn)品特性以及廠商都發(fā)生了一定的變化，無論工作負(fù)載位置和粒度如何，為運維人員提供已知的可?性和可控性，針對云上工作負(fù)載提供多維度全方位保護(hù)能?。當(dāng)前的CWPP解決方案通常具備以下核心能?：安全基線掃描、漏洞管理、可信應(yīng)用控制、系統(tǒng)完整性監(jiān)控與控制、入侵檢測、?為監(jiān)控、微隔離。主機(jī)安全技術(shù)的演進(jìn)歷程反映了計算機(jī)技術(shù)和網(wǎng)絡(luò)威脅的演化。產(chǎn)業(yè)互聯(lián)網(wǎng)時代，5G、AI、云計算等新一代信息技術(shù)與應(yīng)用不斷深化，加速了各?業(yè)數(shù)字化和產(chǎn)業(yè)升級的進(jìn)程。安全關(guān)乎國家和企業(yè)的生產(chǎn)和發(fā)展。面對復(fù)雜的網(wǎng)絡(luò)安全形勢，主機(jī)安全作為國家和企業(yè)安全最后也是最重要的一道?，從早期的防火墻到現(xiàn)代的綜合云安全解決方案，從AV、HIDS到EPP、EDR、XDR、CWPP，通過持續(xù)的產(chǎn)品優(yōu)化和技術(shù)完善建立全面適配、全生命周期防護(hù)的主機(jī)安全體系。隨著云計算和虛擬化的快速發(fā)展，云服務(wù)時代已經(jīng)來臨，越來越多的企業(yè)將業(yè)務(wù)和數(shù)據(jù)逐步往云上遷移，業(yè)務(wù)會以數(shù)字化的形態(tài)運轉(zhuǎn)在虛擬化的云主機(jī)上。虛擬化使得傳統(tǒng)的固定防御邊界已經(jīng)不復(fù)存在，傳統(tǒng)的安全產(chǎn)品已經(jīng)不適合用于云環(huán)境中。從日益新增的現(xiàn)代攻擊威脅來看，安全的核心戰(zhàn)場逐漸從網(wǎng)絡(luò)側(cè)南北向邊界向內(nèi)轉(zhuǎn)移到東西向的主機(jī)側(cè)。云環(huán)境下的主機(jī)安全面臨著全新的威脅與挑戰(zhàn)，安全形勢日趨嚴(yán)峻。在云計算架構(gòu)下，擔(dān)負(fù)信息系統(tǒng)各類關(guān)鍵數(shù)據(jù)和核心業(yè)務(wù)系統(tǒng)的主機(jī)系統(tǒng)，一旦受到攻擊，整個信息系統(tǒng)中最具價值的部分將面臨失竊和被破壞的?險。因此，（云）主機(jī)安全已成為云計算時代公認(rèn)的信息安全核心環(huán)節(jié)。我們將本章節(jié)的討論重心放在CWPP解決方案上。Gartner在提出CWPP理念的同時也給出了“安全能?金字塔”，以核心級、重要級、擴(kuò)展級描述了CWPP所應(yīng)具備的安全能?，如圖6所示。CWPP金字塔結(jié)構(gòu)為什么這么設(shè)計呢？我們可以看到CWPP最為核心的五層基座是所有工作負(fù)載保護(hù)的基礎(chǔ)和共性，而在核心級之上則體現(xiàn)了CWPP解決方案的靈活性，由于市場產(chǎn)品的發(fā)展，CWPP的能?已經(jīng)在現(xiàn)有產(chǎn)品中得以體現(xiàn)（如：EDR、防病毒、入侵檢測）其可以被分解為多個原子化能?，利用現(xiàn)有產(chǎn)品集成相應(yīng)的防護(hù)能?。CWPP涵蓋了工作負(fù)載整個生命周期的安全需求，涉及的控制點很多，因此Gartner也將CWPP的能?做了分層，明確了主要能?和次要能?。從能?分層圖上可以看出CWPP的核心保護(hù)策略是“防護(hù)”，包括漏洞利用預(yù)防/內(nèi)存保護(hù)、應(yīng)用控制/白名單、系統(tǒng)信任保護(hù)、微隔離、加固、配置和漏洞管理等。從CWPP的技術(shù)落地路線上看，“有代理”和“無代理”的實現(xiàn)方式最為主流。下面對這兩種技術(shù)路線的現(xiàn)狀進(jìn)?介紹。按照部署方式來劃分，面向云計算的主機(jī)安全防護(hù)軟件工作機(jī)制可以分為有代理、無代理兩種方式：1.有代理技術(shù)路線：其基本思想是云計算中所有服務(wù)器上，無論是物理主機(jī)還是虛擬主機(jī)操作系統(tǒng)上，均加載一個完整版本的安全防護(hù)客?端，即代理軟件。服務(wù)器的防護(hù)工作主要由該代理獨立完成。有代理技術(shù)由于在每臺主機(jī)上安裝代理，所以具備實時監(jiān)測、實時阻斷以及采集數(shù)據(jù)更全面等優(yōu)點，可以深入地與主機(jī)層的文件、進(jìn)程、網(wǎng)絡(luò)和應(yīng)用形成聯(lián)動；具體來說，代理程序可以實時地對工作負(fù)載進(jìn)?監(jiān)控，進(jìn)?資產(chǎn)安全管理、?險評估處置、安全策略管理、入侵檢測以及響應(yīng)處置。這種實時監(jiān)控能?有助于在威脅發(fā)生時迅速作出反應(yīng)，防止?jié)撛诘陌踩录?。同時，由于代理程序通常設(shè)計為輕量級，并且可以在多種操作系統(tǒng)和云平臺上運?。這使得有代理技術(shù)能夠靈活地適應(yīng)不同的云環(huán)境和工作負(fù)載，提供一致的安全保護(hù)。從技術(shù)應(yīng)用情況來看：目前國外、國內(nèi)大規(guī)模部署應(yīng)用的還是有代理技術(shù)方案，比如：國外的PrismaCloud、CrowdStrikeFalcon、AquaSecurity和國內(nèi)的亞信安全信艙等。2.無代理技術(shù)路線：其基本思想是以拒絕訪問為主的防御方案，而非有代理方式采用檢測后進(jìn)?刪除或者隔離。在這種方式下，通常需要在云計算服務(wù)器集群中的每一臺物理主機(jī)上安裝一個上惡意代碼掃描、配置核查和安全庫升級工作，而虛擬機(jī)上無需安裝任何代理。無代理技術(shù)由于不需要在每臺主機(jī)上面安裝代理，所以具備輕量級和高效性，適應(yīng)性和靈活性等獨特的優(yōu)勢，同時對云環(huán)境像國內(nèi)私有云環(huán)境，和目前云原生環(huán)境都具備很好的適應(yīng)性。具體來說，無代理技術(shù)通常采用輕量級的方式進(jìn)?實現(xiàn)，不需要在網(wǎng)絡(luò)中額外添加代理節(jié)點，因此能夠減少網(wǎng)絡(luò)負(fù)載和延遲，提高系統(tǒng)的整體性能和效率。采用分布式、智能化的安全策略引擎，能夠根據(jù)網(wǎng)絡(luò)環(huán)境和安全需求動態(tài)調(diào)整安全策略，更好地適應(yīng)不同的網(wǎng)絡(luò)拓?fù)浜蛻?yīng)用場景，提供更靈活的安全防護(hù)。無代理技術(shù)更容易與云原生架構(gòu)相適配，能夠在云端實現(xiàn)對云環(huán)境配置的實時監(jiān)測和分析，保護(hù)云環(huán)境中的數(shù)據(jù)安全，滿足云計算環(huán)境下的安全需求（如CSPM技術(shù)）。從技術(shù)應(yīng)用落地情況來看：國內(nèi)無代理的相關(guān)技術(shù)主要是CSPM，不具備實時殺毒、虛擬補丁等能?，但亞信安全的無代理一開始就是以國內(nèi)環(huán)境現(xiàn)狀為基礎(chǔ)，基于私有云設(shè)計所以具備實時殺毒、虛擬補丁等實時能?；國外WIZ、Orca等少數(shù)CSPM廠商開發(fā)了使用Snapshot快照技術(shù)的無代理安全方案，試圖解決無代理安全方案在云工作負(fù)載級的實時檢測、防護(hù)和響應(yīng)方面的先天局限性，主要技術(shù)原理是通過云提供商SDKAPI定時采集（比如：24小時采集一次快照）運?時存儲層訪問云工作負(fù)載（比如：AmazonElasticBlockStorage，EBS提供EC2實例一起使用的塊級存儲服務(wù)等）?；诳煺諗?shù)據(jù)提取進(jìn)程、進(jìn)程二進(jìn)制文件、進(jìn)程網(wǎng)絡(luò)?為、進(jìn)程文件?為、操作系統(tǒng)配置等數(shù)據(jù)，使用大數(shù)據(jù)、機(jī)器學(xué)習(xí)、YARA掃描等分析、檢測技術(shù)進(jìn)?威脅發(fā)現(xiàn)等。下面對“有代理”以及“無代理”的主要應(yīng)用場景和選擇原則進(jìn)?介紹：1．“有代理”安全方案的主要應(yīng)用場景：該安全方案是一種在國內(nèi)、外已經(jīng)廣泛部署和經(jīng)過多年實戰(zhàn)驗證的“通用的、成熟的和有效的”方案，應(yīng)用場景可以覆蓋公有云、私有云和混合云等多種場景；2．“無代理”安全方案的主要應(yīng)用場景：在下述安全防護(hù)場景更適合應(yīng)用新一代“無代理”安全方案：1、“有代理”安全方案在租?無宿主機(jī)高級內(nèi)核權(quán)限特殊場景下存在無法部署的問題（比如：租?購買的Serverless和容器云2、對高性能低延遲技術(shù)要求極其嚴(yán)苛的場景（比如：?聯(lián)網(wǎng)平臺3．“有代理+無代理”安全方案的主要應(yīng)用場景：如今，有不少頭部云安全廠商推出了“有代理+無代理”的組合方案，這樣的組合方案兼收并蓄了兩種技術(shù)路線的優(yōu)點（“有代理”模式具有實時監(jiān)測、實時阻斷以及采集數(shù)據(jù)更全面等優(yōu)點，可以深入地與主機(jī)層的文件、進(jìn)程、網(wǎng)絡(luò)和應(yīng)用形成聯(lián)動；而“無代理”模式具有安裝部署快、侵入性低等優(yōu)點。適應(yīng)更復(fù)雜的業(yè)務(wù)場景，賦予用?更完備的選擇。在國外，已有大量的廠商逐步踐?CWPP理念。對于CWPP面向的工作負(fù)載范圍不同廠商有著不同的闡釋。Aqua和Wiz作為云原生的代表廠商其CWPP更多的專注于云原生環(huán)境即虛擬機(jī)、容器、容器編排和無服務(wù)器；Cloudnosys作為公有云的合作伙伴將重心放在了公有云主機(jī)的保護(hù)上，對公有云AWS、Azure、GCP進(jìn)?很好的兼容；PaloAltoNetworks將工作負(fù)載解隅對于主機(jī)、容器、無服務(wù)器進(jìn)?產(chǎn)品拆分，并將這些產(chǎn)品聚合作為自己的CWPP解決方案。在國內(nèi)，大多數(shù)廠商將工作負(fù)載類型解隅，面對云主機(jī)、虛擬機(jī)、容器及無服務(wù)提供差異化的安全防護(hù)。國內(nèi)CWPP面向工作負(fù)載范圍大多局限于云主機(jī)、虛擬機(jī)層面，而對于容器、容器編排平臺、無服務(wù)的防護(hù)通常需要額外的安全產(chǎn)品。國內(nèi)近年來出現(xiàn)了一些充分實踐CWPP理念的云安全解決方案。亞信安全信艙是其中的典型代表。信艙結(jié)合了“有代理+無代理”的技術(shù)路線，是一款專為用?虛擬環(huán)境和云環(huán)境打造的一站式云主機(jī)安全防護(hù)方案。信艙基于CWPP模型設(shè)計，滿足了用?對云主機(jī)安全防護(hù)上的需求，如病毒防護(hù)、威脅檢測、入侵防護(hù)、補丁管理、微隔離、Web防護(hù)及網(wǎng)?防篡改等。同時也滿足用?對云主機(jī)運維上的需求，如針對云主機(jī)的完整性監(jiān)控、資產(chǎn)管理、漏洞?險管理、基線檢查、主機(jī)資源監(jiān)控等。信艙實現(xiàn)了云主機(jī)系統(tǒng)的全面防護(hù)，幫助用?滿足等保合規(guī)性的安全要求，構(gòu)建虛擬化平臺基礎(chǔ)架構(gòu)的縱深安全防護(hù)體系。隨著IT產(chǎn)業(yè)和云服務(wù)市場的迅速升級和擴(kuò)張，主機(jī)面臨的潛在威脅仍將不斷增加。盡管AI算法的廣泛應(yīng)用顯著提高了安全產(chǎn)品的抵抗能?，但依然存在對抗變種攻擊和未知威脅的無法預(yù)測等問題，這依然是難以解決的挑戰(zhàn)。網(wǎng)絡(luò)安全市場整體呈現(xiàn)較強的碎片化特征，云主機(jī)安全細(xì)分市場或成為網(wǎng)絡(luò)安全領(lǐng)域第二個防火墻賽道。因此亞信安全認(rèn)為，多元化的檢測手段、多產(chǎn)品聯(lián)動響應(yīng)和告警信息去噪將成為主機(jī)安全技術(shù)發(fā)展的關(guān)鍵趨勢。多元化的檢測手段：未來的主機(jī)安全技術(shù)將不再依賴于單一的檢測方法，而會整合多種手段。它將利用主機(jī)的進(jìn)程、網(wǎng)絡(luò)和文件?為信息，結(jié)合實時威脅情報，從多個?度分析主機(jī)?為，以檢測未知的攻擊?為。這將有助于識別零日漏洞和高級持續(xù)性威脅，提高對新型攻擊的抵抗能?；多產(chǎn)品聯(lián)動響應(yīng)：未來的主機(jī)安全技術(shù)將強調(diào)多個安全產(chǎn)品之間的協(xié)同工作，以提供更強大的威脅響應(yīng)和緩解措施。各種安全工具，如入侵檢測系統(tǒng)（IDS）、終端檢測與響應(yīng)（EDR）、殺毒軟件、云原生產(chǎn)品、網(wǎng)絡(luò)流量產(chǎn)品等，將共同工作，以識別和應(yīng)對多層次的威脅；告警信息去噪：未來的主機(jī)安全技術(shù)將更加注重降低告警信息的噪?，以減少誤報。這將通過使用高級機(jī)器學(xué)習(xí)算法、?為分析和上下文感知技術(shù)來實現(xiàn)。告警信息的去噪將使安全團(tuán)隊能夠更專注于真正的威脅，從而提高響應(yīng)效率；往云原生應(yīng)用程序保護(hù)平臺（CNAPP）的形態(tài)演化：工作負(fù)載的載體也在快速變化，從物理機(jī)、虛擬機(jī)、容器到serverless，負(fù)載的生命周期越來愈短，CWPP的部署形態(tài)也要隨之變化，尤其是在容器和serverless的業(yè)務(wù)架構(gòu)下，CWPP將左移與CSPM融合，變成新的產(chǎn)品形態(tài)：云原生應(yīng)用程序保護(hù)平臺（CNAPP）。2.2虛擬化層和宿主機(jī)安全虛擬化層和宿主機(jī)安全主要是指保護(hù)虛擬化平臺自身及其管理功能免受惡意攻擊的安全措施。虛擬化層的核心是hypervisor（虛擬機(jī)管理程序它位于物理宿主機(jī)操作系統(tǒng)之下，負(fù)責(zé)創(chuàng)建和管理多個虛擬機(jī)實例。虛擬化層的安全工作重點在于：漏洞管理、隔離性保證、管理接口安全、訪問控制及勒索防護(hù)等。在虛擬化環(huán)境中，宿主機(jī)和虛擬化層的安全保護(hù)對象并不是用?通常理解的物理服務(wù)器，而是虛擬化基礎(chǔ)設(shè)施的關(guān)鍵組成部分。下面對宿主機(jī)與虛擬化層的安全保護(hù)對象及措施進(jìn)?介紹。(1)安全保護(hù)對象：宿主機(jī)是虛擬化環(huán)境中的物理服務(wù)器，負(fù)責(zé)承載和管理多個虛擬機(jī)實例的運?。其安全保護(hù)對象包括主機(jī)操作系統(tǒng)、虛擬化軟件（如VMwareESXi、KVM等）以及宿主機(jī)上的關(guān)鍵資源和服務(wù)。(2)安全保護(hù)措施：針對宿主機(jī)的安全保護(hù)，需要實施包括但不限于以下措施：強化主機(jī)操作系統(tǒng)的安全配置，包括及時打補丁、關(guān)閉不必要的服務(wù)等；實施訪問控制策略，限制對宿主機(jī)的物理和遠(yuǎn)程訪問權(quán)限；安裝和配置防火墻、入侵檢測系統(tǒng)（IDS）等安全軟件，監(jiān)控和防范潛在的安全威脅；實施數(shù)據(jù)加密、身份認(rèn)證、安全審計等安全機(jī)制，保護(hù)宿主機(jī)上的敏感數(shù)據(jù)和關(guān)鍵操作。(1)安全保護(hù)對象：虛擬化層是虛擬化環(huán)境中的關(guān)鍵組件，負(fù)責(zé)虛擬機(jī)的創(chuàng)建、管理和調(diào)度，以及物理資源的分配和監(jiān)控。其安全保護(hù)對象包括虛擬機(jī)管理程序（VMM/Hypervisor）、虛擬機(jī)配置信息、虛擬機(jī)間的隔離等。(2)安全保護(hù)措施：為了保護(hù)虛擬化層的安全，需要實施以下措施：加固和保護(hù)虛擬機(jī)管理程序，防止未經(jīng)授權(quán)的訪問和惡意篡改；實施虛擬機(jī)間的隔離機(jī)制，防止惡意虛擬機(jī)之間的相互影響和攻擊；加強對虛擬機(jī)配置信息的保護(hù)，包括加密存儲、訪問控制等措施；配置安全監(jiān)控和審計機(jī)制，實時監(jiān)測虛擬化層的運?狀態(tài)和安全事件，及時發(fā)現(xiàn)和應(yīng)對潛在威脅。目前，一些個別廠商將針對虛擬機(jī)防護(hù)的解決方案直接應(yīng)用于宿主機(jī)層面，以用來防護(hù)宿主機(jī)和虛擬化層。然而，這種做法是不正確的。宿主機(jī)與虛擬機(jī)之間存在顯著差異，包括允許的程序和服務(wù)、運?的服務(wù)和組件等方面。例如，在使用VMwareESXi或KVM的環(huán)境中，宿主機(jī)上運?的服務(wù)和組件與虛擬機(jī)上運?的程序存在明顯的差異，因此，直接將針對虛擬機(jī)的解決方案應(yīng)用于宿主機(jī)可能會導(dǎo)致對宿主機(jī)及其虛擬化層的不完整或不準(zhǔn)確的防護(hù)。特定于虛擬化層的安全需求和特征需要被充分考慮，以確保宿主機(jī)和虛擬化層得到有效的安全保護(hù)。另外，這些方案只能防護(hù)KVM類別的宿主機(jī)，針對VMwareESXi無法防護(hù)，也無法防護(hù)云安全環(huán)境的其他組件，比如管理平臺，VMwareNSX等等組件，如圖7所示，針對ESXi、VMwareNSX組件、vCenter，共享存儲設(shè)備等都應(yīng)該具備惡意病毒查殺、勒索防護(hù)、虛擬補丁防護(hù)、配置檢查等能?。在虛擬化環(huán)境中，宿主機(jī)和虛擬化層的安全至關(guān)重要，一旦被攻擊，那么運?在此環(huán)境中的所有應(yīng)用數(shù)據(jù)都面臨著篡改泄露的?險，從而使云上的業(yè)務(wù)變得不再可信，對用?造成巨大的損失。目前，宿主機(jī)與虛擬層的安全防護(hù)有著多項的難點與挑戰(zhàn)。下面依次對宿主機(jī)安全與虛擬化層安全的防護(hù)難點進(jìn)?介紹。1．宿主機(jī)安全防護(hù)難點宿主機(jī)的安全防護(hù)面臨諸多挑戰(zhàn)，包括以下方面：(1)安全升級難度大：宿主機(jī)通常承載著多個虛擬機(jī)實例，因此在進(jìn)?安全升級時需要考慮到整個虛擬化環(huán)境的穩(wěn)定性和連續(xù)性。由于可能存在對虛擬機(jī)實例的影響，安全升級的難度較大，所以客?會怕影響業(yè)務(wù)而拒絕升級云平臺，導(dǎo)致相關(guān)的漏洞和?險一直存在；(2)虛擬化和宿主機(jī)安全防護(hù)技術(shù)?檻高：宿主機(jī)安全需要綜合考慮物理服務(wù)器、虛擬化軟件和虛擬機(jī)間的隔離等多個方面的安全問題，技術(shù)?檻較高。有效保護(hù)宿主機(jī)安全需要涉及到底層操作系統(tǒng)的安全配置、虛擬化軟件的安全設(shè)置以及與虛擬機(jī)之間的隔離等方面。2．虛擬化層安全防護(hù)難點虛擬化層作為虛擬化環(huán)境的核心組件，其安全防護(hù)同樣面臨一些挑戰(zhàn)：(1)多租?環(huán)境的安全隔離：虛擬化層需要確保在多租?環(huán)境下，不同虛擬機(jī)實例之間能夠得到有效的安全隔離，防止惡意虛擬機(jī)對其他虛擬機(jī)或宿主機(jī)的攻擊。實現(xiàn)有效的安全隔離需要考慮到虛擬機(jī)之間的資源共享、網(wǎng)絡(luò)通信等方面的安全問題；(2)虛擬化技術(shù)的復(fù)雜性：虛擬化技術(shù)本身具有一定的復(fù)雜性，包括虛擬機(jī)管理程序（VMM/Hypervisor）的安全性、虛擬機(jī)配置信息的保護(hù)、虛擬化軟件的漏洞管理等方面。針對虛擬化層的安全防護(hù)需要充分理解虛擬化技術(shù)的工作原理和安全特性，才能有效應(yīng)對潛在的安全威脅。因此，保護(hù)宿主機(jī)和虛擬化層的安全需要綜合考慮到安全升級難度大、虛擬化和宿主機(jī)安全防護(hù)技術(shù)?檻高等因素，采取針對性的安全策略和措施，以確保虛擬化環(huán)境的安全穩(wěn)定運?。國內(nèi)外在虛擬化層和宿主機(jī)安全方面的研究和實踐日益深入。在國外，一些先進(jìn)的安全公司和研究機(jī)構(gòu)在虛擬化安全領(lǐng)域取得了一定的成果，提出了一些創(chuàng)新性的安全解決方案。業(yè)界巨頭如VMware、Microsoft、Citrix等虛擬化方案提供企業(yè)在虛擬化安全方面積累了豐富的經(jīng)驗和技術(shù)優(yōu)勢，不斷推出內(nèi)置高級安全特性的虛擬化產(chǎn)品和服務(wù)。同時，國際標(biāo)準(zhǔn)化組織和研究團(tuán)體也積極制定和完善針對虛擬化安全的標(biāo)準(zhǔn)規(guī)范，促進(jìn)全球范圍內(nèi)虛擬化安全水平的整體提升。在國內(nèi)，隨著云計算和大數(shù)據(jù)技術(shù)的發(fā)展，虛擬化安全已成為網(wǎng)絡(luò)安全的重要組成部分。國內(nèi)企業(yè)和研究機(jī)構(gòu)投入大量精?研發(fā)適應(yīng)虛擬化環(huán)境的安全技術(shù)和解決方案，如強化虛擬機(jī)逃逸漏洞的研究與防御、開發(fā)面向虛擬化環(huán)境的態(tài)勢感知和安全管理系統(tǒng)、推動虛擬化平臺國產(chǎn)化進(jìn)程以降低對外部依賴的?險。例如，亞信安全致?于研發(fā)針對虛擬化環(huán)境的安全產(chǎn)品和服務(wù)，逐步填補了國內(nèi)虛擬化安全領(lǐng)域的空白。但盡管如此，這幾年針對虛擬化層或者宿主機(jī)的攻擊越來越頻繁，特別是針對VMwareESXi和KVM宿主機(jī)的勒索攻擊頻發(fā)，但目前國內(nèi)外都還沒有一套完整的方案能夠?qū)MwareESXi和KVM宿主機(jī)進(jìn)?全方位防護(hù)的方案。隨著虛擬化技術(shù)的進(jìn)一步深化和普及，未來虛擬化層和宿主機(jī)安全的發(fā)展趨勢預(yù)計將呈現(xiàn)以下幾個方向：1．智能化與自動化：安全防護(hù)將進(jìn)一步智能化和自動化，利用AI和機(jī)器學(xué)習(xí)技術(shù)提高威脅檢測和響應(yīng)能?，減少人工干預(yù)的需求；2．內(nèi)生安全：虛擬化技術(shù)將與安全技術(shù)更加深度融合，形成內(nèi)生安全體系結(jié)構(gòu)，即從設(shè)計之初就融入安全特性，實現(xiàn)虛擬化環(huán)境的原生安全，同時由于虛擬化層或者宿主機(jī)承擔(dān)了客?眾多的業(yè)務(wù)，所以需要安全和業(yè)務(wù)并重，任何情況下不能影響運?在宿主機(jī)上的虛擬機(jī)的運?，所以對安全解決方案的輕量、資源占用、穩(wěn)定性等提出了極其嚴(yán)格的要求；3．跨虛擬化平臺統(tǒng)一安全管理：隨著混合云和多云環(huán)境的普及，跨不同虛擬化平臺的安全管理和政策一致性將成為關(guān)鍵點，比如能夠同時針對VMware、KVM等宿主機(jī)環(huán)境進(jìn)?統(tǒng)一管理；4．合規(guī)性與隱私保護(hù)：隨著數(shù)據(jù)安全法規(guī)的日益嚴(yán)格，虛擬化環(huán)境的數(shù)據(jù)安全與隱私保護(hù)技術(shù)也將得到顯著提升，包括數(shù)據(jù)加密、密鑰管理以及滿足GDPR、CCPA等國際標(biāo)準(zhǔn)的要求。在面對云環(huán)境下的安全防護(hù)需求時，傳統(tǒng)防火墻、WAF、IPS等端點安全和網(wǎng)絡(luò)安全手段已經(jīng)無法滿足需求。IP地址不再具備資源的標(biāo)識信息價值，而是作為一個通信用的臨時性變量而存在。以邏輯標(biāo)識為基本元語的微隔離則開始流?，它通過在主機(jī)上安裝代理程序的方式進(jìn)?網(wǎng)絡(luò)隔離，有效地隔離了安全?險，保護(hù)了業(yè)務(wù)的安全性和隔離性，即使在某一工作負(fù)載被黑客入侵，造成應(yīng)用、數(shù)據(jù)不可靠時，也能保證其他工作負(fù)載中的業(yè)務(wù)安全運?與數(shù)據(jù)的可信、可靠。微隔離技術(shù)可以有效地防止攻擊者進(jìn)入數(shù)據(jù)中心網(wǎng)絡(luò)內(nèi)部后的橫向平移、收斂攻擊面，爭取到更充分的安全漏洞及安全事件的處置時間。這好比潛艇在水下航?時，不僅艙內(nèi)的空氣與外界完全隔絕，艙與艙之間也都有水密?相通、相隔，這是防備一旦有某一艙進(jìn)了海水，其他艙室還是安全的，如圖8所示。圖8-微隔離工作場景類比在2015年，國際專業(yè)咨詢機(jī)構(gòu)Gartner首次提出了“微隔離”相關(guān)的概念，并將其定義為“軟件定義的隔離”（software-definedsegmentation）。這一時期的微隔離主要側(cè)重于在數(shù)據(jù)中心和云環(huán)境中創(chuàng)建相互隔離的區(qū)域，將工作負(fù)載彼此隔離并單獨保護(hù)。2016年，Gartner進(jìn)一步提出“微隔離”（Micro-Segmentation）的概念，也就是我們現(xiàn)在所熟知的微隔離（微分段）。他們倡導(dǎo)，微隔離應(yīng)當(dāng)為企業(yè)提供流量的可?性和監(jiān)控。微隔離產(chǎn)品可以通過可視化工具幫助安全運維與管理人員了解內(nèi)部網(wǎng)絡(luò)信息流動的情況，以便更好地設(shè)置策略并協(xié)助糾偏。在2020年，美國NIST在其發(fā)布的零信任標(biāo)準(zhǔn)中提出，企業(yè)可以選擇使用軟件代理即Agent來實現(xiàn)基于主機(jī)的微隔離。這種基于主機(jī)的微隔離成為了零信任架構(gòu)的基礎(chǔ)組件，主要負(fù)責(zé)實現(xiàn)內(nèi)部防護(hù)信任。它可以在所有資產(chǎn)進(jìn)?身份驗證和授權(quán)后，對任意兩個點之間的業(yè)務(wù)關(guān)系與訪問控制問題進(jìn)?細(xì)粒度的控制，從而縮減網(wǎng)絡(luò)攻擊面。出現(xiàn)微隔離技術(shù)的原因有以下4點：1．云化場景和混合云架構(gòu)下的安全防護(hù)需求：隨著云計算的廣泛應(yīng)用，越來越多的應(yīng)用程序和業(yè)務(wù)在云端運?，同時企業(yè)也常常使用混合云架構(gòu)來滿足不同的業(yè)務(wù)需求。這種環(huán)境下，傳統(tǒng)的粗粒度網(wǎng)絡(luò)隔離方式（如VLAN、VPC等）無法滿足細(xì)粒度的網(wǎng)絡(luò)隔離需求，因此需要更精細(xì)的網(wǎng)絡(luò)隔離技術(shù)，即微隔離技術(shù)；2．基于數(shù)據(jù)中心網(wǎng)絡(luò)隔離的安全防護(hù)需求：數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)架構(gòu)從傳統(tǒng)的IT架構(gòu)向虛擬化、混合云和容器化升級變遷，內(nèi)部隔離變得迫切困難。數(shù)據(jù)中心承載的業(yè)務(wù)多種多樣，而且隨著云計算的興起，業(yè)務(wù)上云成為趨勢。早期數(shù)據(jù)中心的流量，80%為南北向流量，而云計算時代已經(jīng)轉(zhuǎn)變成80%為東西向流量。云環(huán)境中南北向的網(wǎng)絡(luò)數(shù)據(jù)通過防火墻的策略規(guī)則可以做到網(wǎng)絡(luò)隔離，但東西向的數(shù)據(jù)，就會繞開防火墻，無法做到業(yè)務(wù)精細(xì)化隔離控制。云上虛擬機(jī)、容器技術(shù)的使用使得對內(nèi)部流量訪問控制的安全策略總數(shù)呈指數(shù)增?。同時，云環(huán)境中虛擬機(jī)隨時漂移、復(fù)制、克隆、擴(kuò)展，以靜態(tài)參數(shù)編寫的安全策略無法跟上動態(tài)的云；3．零信任安全架構(gòu)的推動：零信任安全架構(gòu)主張所有資產(chǎn)都必須先經(jīng)過身份驗證和授權(quán)，然后才能與另一資產(chǎn)通信。微隔離技術(shù)作為零信任安全架構(gòu)的重要組成部分，實現(xiàn)了最細(xì)粒度的訪問控制，面向業(yè)務(wù)應(yīng)用而非單一IP地址的方式實現(xiàn)數(shù)據(jù)中心資產(chǎn)東西向之間的身份驗證和授權(quán)訪問；4．對東西向、南北向流量有效防護(hù)的需求：業(yè)務(wù)網(wǎng)絡(luò)通常會被劃分為南北向流量和東西向流量，南北向流量通常指的是客?端和數(shù)據(jù)中心服務(wù)器的流量；東西向流量指的是數(shù)據(jù)中心內(nèi)負(fù)載均衡、服務(wù)器、容器、業(yè)務(wù)系統(tǒng)之間的流量。如何針對南北向和東西向流量進(jìn)?訪問控制和安全防護(hù)對于企業(yè)來說是一大難點。表2對比了云防火墻、安全組以及微隔離等技術(shù)方案，通過對比可知，微隔離對于東西向及南北向的網(wǎng)絡(luò)流量防護(hù)具有較好的綜合表現(xiàn)。表2云防火墻、安全組及微隔離的技術(shù)方案對比技術(shù)方案名稱含義簡介核心價值云防火墻云防火墻屬于OSI模型第七層應(yīng)用層防御策略，它能夠過濾和防護(hù)應(yīng)用程序和網(wǎng)絡(luò)的HTTP流量，通常使用黑白名單、安全策略、機(jī)器學(xué)習(xí)等技術(shù)實現(xiàn)。云防火墻提供網(wǎng)絡(luò)間訪問控制能?安全組安全組可以說是一種虛擬防火墻，安全組重點關(guān)注單節(jié)點訪問控制它實現(xiàn)了云實例間的訪問控制。通過在云實例上配置安全組，針對入方向規(guī)則指定來源、端口和協(xié)議，針對出方向規(guī)則指定目的地、端口和協(xié)議，安全組能夠?qū)崿F(xiàn)對云實例出入方向流量進(jìn)?限制。微隔離微隔離技術(shù)的提出就是為了實現(xiàn)內(nèi)部網(wǎng)絡(luò)流量可視化，通過訪問控制降低內(nèi)部網(wǎng)絡(luò)中攻擊?為的“爆炸半徑”。內(nèi)部網(wǎng)絡(luò)流量具體指的是云數(shù)據(jù)中心的業(yè)務(wù)服務(wù)器以及容器之間的流量。微隔離提供內(nèi)網(wǎng)中不同業(yè)務(wù)間的網(wǎng)絡(luò)隔離能?目前微隔離有三種主流技術(shù)選擇：云原生微隔離、基于虛擬化層（Hypervisor）微隔離和主機(jī)代理微隔離。針對這些技術(shù)選擇的對比分析如表3所示。表3微隔離技術(shù)路線比較技術(shù)路線支持架構(gòu)優(yōu)點缺點云原生微隔離僅支持虛擬化平臺原生技術(shù)，購買增值模塊后在平臺可進(jìn)?配置環(huán)境，無法適用；用?一旦更換云服務(wù)商，很難簡單快速遷移微隔離策略（Hypervisor）微隔離支持虛擬化與服務(wù)器虛擬化技術(shù)（如Vmware）的大規(guī)模部署保持一致不支持移動或臨時工作負(fù)載、不支持異構(gòu)混合云部署主機(jī)代理微隔離統(tǒng)服務(wù)器、任意虛擬化平臺、容器無需依賴底層架構(gòu)，只支持PC、混合云環(huán)境的微隔離方案，且主機(jī)遷移時安全策略能隨之遷移在初次實施時需要通過批量工具進(jìn)?部署在國際范圍內(nèi)，微隔離作為一種先進(jìn)的網(wǎng)絡(luò)安全實踐受到了廣泛關(guān)注和采用。大型企業(yè)積極將微隔離、SASE和零信任納入其網(wǎng)絡(luò)安全戰(zhàn)略，以限制橫向傳播的攻擊。微隔離在SASE中扮演了重要?色，通過在網(wǎng)絡(luò)內(nèi)劃分小的隔離區(qū)域，實現(xiàn)了對應(yīng)用和資源的微觀級別的訪問控制。此外，云服務(wù)提供商也在其服務(wù)中融入微隔離的理念，為云上工作負(fù)載提供更強大的安全保障。安全?業(yè)對微隔離的有效性普遍表示認(rèn)同，一些廠商和解決方案提供商提供了專?支持微隔離的工具，為企業(yè)提供更加靈活和強大的網(wǎng)絡(luò)安全防護(hù)。在國內(nèi)，隨著網(wǎng)絡(luò)攻擊的不斷升級，企業(yè)對網(wǎng)絡(luò)安全的關(guān)注度逐漸提升。一些大中型企業(yè)開始認(rèn)識到保護(hù)網(wǎng)絡(luò)邊界不足以滿足日益增?的安全挑戰(zhàn)，因此對微隔離等內(nèi)部網(wǎng)絡(luò)安全策略的采用逐漸增多。政府發(fā)布的網(wǎng)絡(luò)安全法和相關(guān)政策也對企業(yè)提升網(wǎng)絡(luò)安全水平起到推動作用。然而，采用程度仍因企業(yè)規(guī)模、?業(yè)差異以及技術(shù)基礎(chǔ)設(shè)施等因素而有所不同。金融、電信和科技領(lǐng)域的企業(yè)可能更早關(guān)注和采用微隔離等先進(jìn)的網(wǎng)絡(luò)安全實踐。不過，微隔離技術(shù)在實施過程中面臨一系列的困難和挑戰(zhàn)，這些因素可能導(dǎo)致使用起來的?檻較高、周期較?。首先，微隔離要求深入理解網(wǎng)絡(luò)架構(gòu)、安全策略和應(yīng)用程序，對復(fù)雜的網(wǎng)絡(luò)環(huán)境增加了技術(shù)難度。其次，考慮到業(yè)務(wù)連續(xù)性的重要性，需要在實施微隔離時制定周密的計劃，以確保業(yè)務(wù)不受到過多的干擾。調(diào)整既有基礎(chǔ)設(shè)施以適應(yīng)微隔離可能是一個顯著的挑戰(zhàn)，尤其對于歷史悠久或基礎(chǔ)設(shè)施相對穩(wěn)定的企業(yè)而言。此外，人員培訓(xùn)和安全意識提升也是一項必要的任務(wù)，引入新技術(shù)需要相關(guān)人員具備新的技能和知識。成本和投資也是實施微隔離時需要考慮的重要因素，包括硬件、軟件、培訓(xùn)以及可能的系統(tǒng)升級。最后，確保微隔離符合合規(guī)性和法規(guī)要求是必要的，這可能需要額外的工作和文件。未來，隨著國內(nèi)企業(yè)對網(wǎng)絡(luò)安全認(rèn)知的不斷提高，微隔離有望在更廣泛的范圍內(nèi)落地并取得進(jìn)一步的推廣。目前國內(nèi)外微隔離的廠商主要采用基于主機(jī)代理的微隔離技術(shù)，核心功能主要包含了：工作負(fù)載管理、可視化展示、安全策略管理、異常流量監(jiān)控、外部協(xié)同防護(hù)、安全審計與分析、安全告警等。信艙-自適應(yīng)微隔離產(chǎn)品基于CWPP技術(shù)方案及主流三種技術(shù)路線（基礎(chǔ)設(shè)施隔離、虛擬化層隔離、工作節(jié)點Agent隔離主要采用通過在公有云、私有云、混合云模式下的工作負(fù)載安裝Agent，采集工作負(fù)載之間的網(wǎng)絡(luò)流量，以可視化展示網(wǎng)絡(luò)訪問關(guān)系，實現(xiàn)根據(jù)業(yè)務(wù)需求設(shè)置訪問控制策略，工作負(fù)載支持主機(jī)服務(wù)器、虛擬主機(jī)及容器等節(jié)點模式。當(dāng)然微隔離的發(fā)展也面臨著一些挑戰(zhàn)。首先，微隔離技術(shù)的普及程度還有待提高，很多企業(yè)和組織對于微隔離技術(shù)的認(rèn)知度和接受度還相對較低。其次微隔離技術(shù)的實施和維護(hù)也需要專業(yè)的知識和技能，這也限制了微隔離技術(shù)的普及和應(yīng)用。隨著市場的推動和技術(shù)的發(fā)展，微隔離的技術(shù)也將趨于完善。未來微隔離技術(shù)的發(fā)展趨勢預(yù)計將呈現(xiàn)以下幾個方向：1．技術(shù)成熟度提升：隨著微隔離技術(shù)的不斷發(fā)展，預(yù)計未來幾年微隔離技術(shù)將逐漸成熟，并成為網(wǎng)絡(luò)安全領(lǐng)域的重要基礎(chǔ)設(shè)施之一。廠商和用?對微隔離的認(rèn)知也將得到提高；2．融合多種技術(shù)：目前，微隔離技術(shù)是基于軟件定義的技術(shù)路線。隨著人工智能、機(jī)器學(xué)習(xí)等技術(shù)的不斷發(fā)展，微隔離技術(shù)可能會引入更多新技術(shù)，以提高其智能化程度和自動化水平；3．一體化覆蓋主機(jī)和容器的訪問控制：隨著云原生技術(shù)架構(gòu)加速落地，云原生場景下主機(jī)和容器微隔離利用eBPF技術(shù)從底層技術(shù)創(chuàng)新實現(xiàn)一體化同時覆蓋主機(jī)和容器的訪問控制，避免一個packet重復(fù)檢測等影響性能問題；4．微隔離的數(shù)據(jù)面實現(xiàn)技術(shù)創(chuàng)新發(fā)展：當(dāng)前使用傳統(tǒng)?舊網(wǎng)絡(luò)防火墻技術(shù)（比如：nffilter、iptables等）存在較大局限性，將催生新一代云原生防火墻，比如從發(fā)送側(cè)進(jìn)?訪問控制策略檢查，達(dá)到非法訪問無需封包、路由經(jīng)過虛擬網(wǎng)絡(luò)設(shè)備等，極大緩解云原生場下的微隔離對網(wǎng)絡(luò)吞吐、延遲和資源占用的影響；總之，微隔離技術(shù)的未來發(fā)展前景廣闊，將不斷融合多種技術(shù)、增強可視化能?、云原生化和容器化、擴(kuò)展應(yīng)用領(lǐng)域等。同時，也需要不斷克服市場需求、技術(shù)進(jìn)步、法規(guī)政策等方面的影響和挑戰(zhàn)，以實現(xiàn)更加成熟和完善的應(yīng)用和發(fā)展。2.4云安全態(tài)勢管理研究機(jī)構(gòu)Gartner在2015年左右開始提出“云安全態(tài)勢管理”（CloudSecurityPostureManagement，CSPM）理念，旨在幫助企業(yè)更好地維護(hù)云環(huán)境的正確配置，保障其云上業(yè)務(wù)的合規(guī)開展。根據(jù)Gartner報告的分析結(jié)論：“95%的云上安全?險是由于錯誤配置導(dǎo)致”，因此，CSPM的核心定位就是通過云提供商的API連接所有的云平臺，一是自動發(fā)現(xiàn)、識別、管理云上資產(chǎn)，解決用?多云環(huán)境下難以統(tǒng)一管理資產(chǎn)的難題；二是通過自動化監(jiān)視和檢測各種云環(huán)境/基礎(chǔ)結(jié)構(gòu)中的配置錯誤，解決當(dāng)前大多數(shù)錯誤仍是由云配置錯誤和人為錯誤導(dǎo)致的問題。CSPM技術(shù)經(jīng)歷了多個階段的演進(jìn)，旨在應(yīng)對不斷變化的云安全挑戰(zhàn)。最初，CSPM主要關(guān)注配置審計和合規(guī)性檢查，確保云資源符合安全最佳實踐和合規(guī)標(biāo)準(zhǔn)。隨著云環(huán)境復(fù)雜性的增加，漏洞掃描和?險評估成為CSPM的關(guān)鍵功能，使其能夠識別潛在漏洞和安全?險。隨著技術(shù)的不斷發(fā)展，CSPM逐步引入了自動化響應(yīng)和修復(fù)功能，使系統(tǒng)能夠自動糾正檢測到的安全問題，降低潛在威脅的?險。多云支持和整合成為另一個關(guān)鍵方向，使CSPM能夠跨多個云平臺進(jìn)?管理和監(jiān)控，并提供統(tǒng)一的安全視圖。現(xiàn)代CSPM工具還整合了威脅情報，從外部數(shù)據(jù)源獲取實時的威脅信息，幫助及時識別并應(yīng)對新型威脅。一些解決方案還引入了人工智能和機(jī)器學(xué)習(xí)技術(shù)，以提高數(shù)據(jù)分析的準(zhǔn)確性。持續(xù)合規(guī)性監(jiān)控也成為CSPM的重要特性，確保云資源在其生命周期中持續(xù)符合安全和合規(guī)標(biāo)準(zhǔn)。CSPM技術(shù)通過這些演進(jìn)階段，為組織提供了全面的云安全管理和保護(hù)，使其能夠適應(yīng)不斷變化的威脅和安全要求。CSPM在國外市場已經(jīng)屬于?業(yè)熱點且發(fā)展成熟。從2014到2018年，正是北美企業(yè)大量上云（到2018年美國企業(yè)的上云率在85%以上且云上安全處于逐漸完善階段，安全?險層出不窮，其中最受重視的安全?險之一就是“云資源配置”，直至2019年Gartner的分析報告中，依然強調(diào)：“幾乎所有對云服務(wù)的成功攻擊，都利用到了用?的云資源錯誤配置和錯誤管理”。Gartner連續(xù)多年都將CSPM與CWPP、CASB一起作為Gartner所重點推崇的云安全解決方案推出。另外，從資本層面看，國外CSPM廠商在過去幾年經(jīng)歷大規(guī)模的并購事件包括：lCheckPoint在2018年收購了Dome9后，最終推出了自己的CloudGuard；l趨勢科技在2019年收購了CloudConformity的CloudOne；lAquaSecurity在2019年收購了CloudSploit；lSophos在2019年收購了AvidSecure；lZscaler在2020年收購了Cloudneeti的CSPM工具。目前國外提供成熟的云安全解決方案的企業(yè)中均可?CSPM產(chǎn)品的身影，例如CrowdStrike、PaloAlto、Zscaler、WIZ等。CSPM產(chǎn)品在國內(nèi)還處于剛起步階段，相對海外并購以快速布局，國內(nèi)以自研為主，產(chǎn)品演進(jìn)路徑包括從資產(chǎn)管理出發(fā)、從CWPP出發(fā)以及從DevSecOps出發(fā)這三大?類。從國內(nèi)外CSPM落地產(chǎn)品來看，它們呈現(xiàn)的主要特點有：1．主流云服務(wù)商提供解決方案：騰訊云、阿?云等主流云服務(wù)商已經(jīng)推出了包括CSPM在內(nèi)的云安全解決方案。這些解決方案為用?提供了對云資源配置的審計、監(jiān)控和管理功能，以確保其云環(huán)境的安全性；2．服務(wù)功能逐步豐富：CSPM服務(wù)的功能逐步豐富，不僅限于配置審計和合規(guī)性檢查，還包括漏洞掃描、?險評估、自動化響應(yīng)和修復(fù)等高級功能。這些功能提升了用?對云安全的整體控制；3．多云管理需求增加：隨著企業(yè)在多個云平臺上部署應(yīng)用，對于能夠跨多云環(huán)境進(jìn)?管理的CSPM解決方案的需求也在增加。服務(wù)提供商致?于提供整合多云支持和一體化管理的解決方案；4．?業(yè)合規(guī)性要求推動市場：部分?業(yè)對合規(guī)性有著嚴(yán)格的要求，推動了CSPM技術(shù)的需求。服務(wù)商逐漸整合合規(guī)性檢查功能，以滿足不同?業(yè)和地區(qū)的法規(guī)要求。亞信安全CSPM產(chǎn)品的演進(jìn)是從CWPP出發(fā)的。產(chǎn)品致?于構(gòu)建多云安全管理平臺，為“混合云、多云”客?提供云環(huán)境的配置安全、國內(nèi)外云上業(yè)務(wù)合規(guī)，以及多云運營分析的一體化安全管理平臺，通過云提供商的API或SDK連接所有的云平臺，持續(xù)檢測并修復(fù)從構(gòu)建時到運?時的錯誤配置。產(chǎn)品部署靈活，同時提供私有化產(chǎn)品部署和CSPMSaaS安全服務(wù)。為“混合云、多云”客?提供云環(huán)境的配置安全、國內(nèi)外云上業(yè)務(wù)合規(guī)，以及多云運營分析的一體化安全管理平臺，通過云提供商的API或SDK連接所有的云平臺，持續(xù)檢測并修復(fù)從構(gòu)建時到運?時的錯誤配置。產(chǎn)品部署靈活，同時提供私有化產(chǎn)品部署和CSPMSaaS安全服務(wù)。云計算已經(jīng)成為國內(nèi)企業(yè)數(shù)字化轉(zhuǎn)型發(fā)展的基礎(chǔ)。而云安全態(tài)勢管理（CSPM）則被認(rèn)為是確保云計算基礎(chǔ)設(shè)施安全的最有效工具之一，它不僅能夠持續(xù)監(jiān)測云環(huán)境中的系統(tǒng)配置和完整的云上資產(chǎn)底數(shù)，及時顯示任何可能導(dǎo)致資產(chǎn)失陷、數(shù)據(jù)泄露的錯誤配置，還可以通過自動化手段幫助企業(yè)優(yōu)化云中的應(yīng)用服務(wù)和資源配置，并有效阻止攻擊者侵入系統(tǒng)。為了應(yīng)對不斷發(fā)展的云安全威脅和挑戰(zhàn)，未來CSPM技術(shù)發(fā)展趨勢主要包括下述兩個方面：1．云原生化和安全左移：隨著國內(nèi)企業(yè)轉(zhuǎn)向基礎(chǔ)設(shè)施即代碼（IaC）、云原生、DevSecOps等方向的落地加速，下一代CSPM解決方案必須支持“安全左移”，適配云上的DevOps環(huán)境配置安全、容器環(huán)境配置安全、K8S編排平臺配置安全，以及兼容適配“異構(gòu)多芯、混合調(diào)度”信創(chuàng)環(huán)境等，并且按照“環(huán)境安全一體化”的理念精確識別針對這些技術(shù)的特定威脅。下一代CSPM方案需要充分利用云原生技術(shù)，更好適應(yīng)云環(huán)境的特征，例如虛擬化、容器化和無服務(wù)器計算，以可擴(kuò)展、更有效和更便捷的方式來解決現(xiàn)代云部署的獨特挑戰(zhàn)，從而與現(xiàn)有基礎(chǔ)設(shè)施無縫協(xié)同工作；2．基于?險的漏洞管理技術(shù)創(chuàng)新：實際落地中客?普遍遇到“漏洞數(shù)量過載”的困境。隨著檢測的工具越豐富、手段越多，漏洞數(shù)量就越巨大，因此導(dǎo)致DevSecOps遇到的第一個問題就是“大多數(shù)安全人員和開發(fā)人員都感到被迫要在安全性上妥協(xié)，以滿足最后交付期限的要求”。開發(fā)人員無法突破產(chǎn)品的Deadline，所以需確定漏洞優(yōu)先級，并處理最需要解決的問題就勢在必?。采用基于?險排序的管理理念，結(jié)合運?時的上下文信息創(chuàng)新真實?險評估算法，分析攻擊路徑和排序漏洞處理優(yōu)先級，幫助安全團(tuán)隊專注于數(shù)量少得多的優(yōu)先攻擊路徑或警報組合、危及公司最重要的資產(chǎn)的漏洞、配置缺陷等是影響CSPM產(chǎn)品實際應(yīng)用效益發(fā)揮的關(guān)鍵。2.5云訪問安全代理CASB（CloudAccessSecurityBroker，云訪問安全代理）最早是2012年由Gartner提出的概念，CASB主要針對的問題是公有云帶來的數(shù)據(jù)管控問題，以及其衍生出的影子IT（ShadowIT）和BYOD（Bringyourowndevice，自帶設(shè)備辦公）問題。Gartner因此詳細(xì)指出了CASB需要滿足的特性：1．可?性：CASB提供影子和認(rèn)可的IT發(fā)現(xiàn)，以及組織的云服務(wù)使用情況和從任何設(shè)備或位置訪問數(shù)據(jù)的用?的綜合視圖。領(lǐng)先的CASB通過云服務(wù)安全態(tài)勢評估數(shù)據(jù)庫進(jìn)一步實現(xiàn)這一目標(biāo)，以提供對云服務(wù)提供商的“可信度”的可?性；2．合規(guī)性：CASB協(xié)助數(shù)據(jù)駐留并遵守法規(guī)和標(biāo)準(zhǔn)，并識別云使用情況和特定云服務(wù)的?險。組織仍然需要證明他們能夠滿