對于云安全這個新興概念，從咨詢機構、云平臺到安全廠商，行業內各家機構眾各有解讀。但很少從企業角度出發，清楚指明安全部門對云安全這種全新解決方案的真實需求是如何產生的，以及如何規劃云安全架構，如何和原有安全功能進行協同。

       最近，Gartner的一篇分析報告提出了一種全新的安全解決方案——云工作負載安全平臺(Cloud Workload Protection Platforms，簡稱為CWPP)，該方案非常適合當前業務快速增長，采用混合云，并在實施統一安全策略時遇到困惑的企業安全參考。

       下面通過CWPP的必要性、核心能力和架構注意項三個部分分析這個云安全體系。

       一、當前不同架構的云采用給企業安全帶來的挑戰：

       1、服務器工作負載對安全保護需求有本質上的區別

       相對于終端產品來說，服務器有不同的生命周期，終端用戶會定期接觸未知的執行代碼，服務工作負載通常只限于一套專門的運行功能。在虛擬機環境下，一般是一個應用對應一臺虛擬機。在container環境下，會到一個進程或者一個應用服務的維度上。因此，使用默認否認的應用控制模型比用在終端用戶面對的終端更有效。

       云計算類型的應用應該更加靈活，保護需求會根據需求授權模型擴大或者縮小范圍。例如，靜態加密數據應是公有云服務器的最佳強制實踐，而這個功能很少用于本地的數據中心。最后，大多數公司除了私有云架構以外，還要為兩個IaaS供應商制定兩套標準，提出支持混合和異構云環境的安全方案需求。

       2、不斷改變的威脅環境

          另一個趨勢是人們越來越關注服務器負載保護，主要指高級的定向攻擊，即繞過傳統的、本地基于簽名的保護。一般來說這些攻擊都是利益驅使的，從目標服務器和應用負載中得到敏感數據和事務記錄，高級的攻擊會導致服務器工作負載保護出現一些變化：如保護模型不再依靠簽名(初期保護策略主要依靠應用程序控制，攔截其他所有惡意或非惡意代碼)；要求隔離網絡流量和可視化(關鍵是要求更加精細地劃分數據中心流量，幫助企業了解應用程序流程并實現可視化)。

       3、變化的業務和IT需求

       隨著云計算平臺的快速傳播，(其中最著名的就是AWS和Azure)，在共有云IaaS上保護服務器工作負載的需求蓬勃發展起來。

圖1 大部分企業都將具備本地和云端的工作負載

       如圖1所示，未來五年間，大部分企業都將具備本地和云端的工作負載，因此，保護每個控制臺的本地物理、虛擬服務器、公有云IaaS的服務器保護方案十分有必要，這些保護方案要具備一致的安全策略。

       4、對部署速度的要求

       在很多情況下，模板和腳本實例化了云服務器工作負載，這需要安全保護廠商開放他們的保護能力，通過API自動配置。為自動化和自適應的安全監控創造一種需求——隨著工作負載的創建或者銷毀而相應增加或減少，通過API實施全面可編程的保護架構。

       5、合法和合規性環境

       很多服務器的保護需求都受到法律法規框架的影響，有的法律法規會直接提出這方面要求。舉個例子，保護PCI相關的工作負載有很多要求——特別是要求文件完整性監控，主機入侵檢測，補丁管理和網絡隔離等。

       二、CWPP五大核心能力

       云計算工作負載對安全有著不同的要求，混合私有云和公有云的云計算模型使這些不同之處更加復雜化，CISO們應該為保護混合云計算負載部署專門的安全產品。Gartner推薦公司使用以風險為基礎的分層安全策略。

       下圖展示了用于服務器負載保護的安全控制優先級，塔基包括了關鍵的基本能力，越往上功能越不重要。我們需要注意的是，其中一些功能可能會由OS供應商、云IaaS供應商提供，或者通過IT運營工具來實現。另外，服務器托管的虛擬桌面架構是一種不同的用例，要使用更加傳統的用戶終端保護策略。

圖2 用于服務器負載保護的安全控制優先級

       圖2底部方框里列出了一些基本的運維能力，真正實現服務器安全一定要以良好的運維規范為開端，如：

       (1)限制訪問服務器，服務器工作負載要限制物理或虛擬訪問。

       (2)限制在服務器運行任意代碼的能力，移除或禁用本地瀏覽器和email客戶端。

       (3)嚴格控制管理員訪問服務器工作負載。多元認證或者其他形式的強認證要取代簡單的用戶名/密碼機制；管理認證應該使用PAM系統。

       (4)變更管理。通過與PAM結合，服務器鏡像變化應遵守一個明確的、與工單系統相連的變更管理控制流程。

       (5)日志管理。把服務器工作負載OS和應用日志集中在一個日志管理系統或SIEM系統中，同時管理PAM日志。在虛擬化和云端環境，還要管理管理員行為日志。

       在此基礎上，我們列出了CWPP服務器保護策略的五個核心能力：

       1、配置和漏洞管理。移除非必要的組件，如Telnet，FTP和其他服務。我們要在初期就根據行業標準指南加固鏡像，可以由IT運營部門管理這一層面，但信息安全要根據公司標準方針確保加固、配置系統。再根據公司的補丁政策，完成系統補丁，定期持續更新系統。一些服務器保護解決方案可以徹底評估系統配置和漏洞，由各自的agent提供可視性。利用腳本和模板的自動化云工作負載提出了新的打補丁方式，但線上系統不能打補丁。

       2、工作負載分割和網絡流量可視化。嚴格的工作負載安全的基礎是隔離和分化與外部資源溝通的能力。一些工作負載的保護方案自身具備防火墻能力，而其他保護方案會管理windows和linux系統內置的防火墻。解決方案應該支持數據中心東西流量的微型分割需求。另外，一些解決方案提供可視化和監控通信流量，可視化工具讓運維和安全管理員可以了解流量類型、設置策略、監控偏差。最后，一些廠商提供工作負載之間的網絡流量加密選擇來保護動態數據，并在工作負載之間提供加密隔離。

       3、系統完整性監控和管理。這項功能包括兩個領域：第一個是在BIOS，管理程序和虛擬機系統鏡像加載前進行評估，一般會通過物理系統中硬件層面的可信任措施實現評估。第二個是在工作負載自啟后，實時的監控核心系統文件完整性。高級解決方案還會監控windows注冊表、啟動目錄、驅動和引導加載程序，文件完整性監控是高級EDR方案的前身。

       4、應用程序控制(白名單)。之前討論過，虛擬機和公有云IaaS中大多數工作負載只能運行一個應用。使用白名單以控制在服務器運行什么文件，這是一個強大的安全保護策略，默認阻止所有顯示為文件的惡意軟件。許多CWPP解決方案或專門的單點解決方案會提供內置的應用控制功能。還有一種方案，使用內置的OS應用控制功能，如Windows， SELinux系統的軟件限制策略和應用程序控制策略(Applocker)或Linux系統的AppArmor。

       5、滲透阻止和內存保護。應用控制解決方案不會一直可靠，應該跟預防漏洞利用和內存保護功能相結合，這些功能可以是OS，應用控制方案或第三方的保護措施，預防這些情況：白名單應用被攻擊而產生漏洞，輸入的代碼在內存中直接運行，且本身不是單獨的執行(或可控)文件。另外，保護和內存保護方案不用傳統的、基于簽名的殺毒方案就能防御攻擊，在沒有補丁的情況下，還能減少管控。

       除了上述5個核心能力，我們還有進一步保護服務器工作負載的其他方法，額外的保護需要很多基礎因素，包括合規性要求，被保護的工作負載敏感性，服務器是否能定期打補丁，企業對風險的容忍度等。

       三、規劃和實施架構注意項

       無論是自己研發還是和第三方云安全廠商合作，企業在評估各種解決方案時，需要重點考慮架構的幾點要求：

       1、支持混合云環境，這是最重要的一點，大量云服務廠商提出的安全方案都可以運行在混合云環境中。對那些仍然使用物理服務器的公司，要求他們提供支持混合云環境的服務。

       2、支持服務器操作系統，大多數廠商都支持windows和Linux系統，如果廠商支持Linux系統，為你的企業布局尋求特定支持及32/64位支持，判斷產品是否同時具備windows功能。如果廠商支持Windows系統，要弄清支持哪個版本，還是32/64位都支持；很少有供應商支持HP-UX，IBM AIX或Oracle Solaris系統；有一些供應商專門支持那些不再受支持的服務器系統，如Windows2000和2003服務器。

       3、支持容器，基于主機的agent要分辨單獨的Linux容器，包括網絡分段，再根據實際情況實施相應策略。這對那些使用容器支持微服務架構和快速發展DevSecOps工作流的公司來說，這個新要求非常重要。

       4、全面支持API，安全保護要越來越能自動適應DevSecOps工作流的工作負載，通過API，利用高自動化開發環境中的腳本、方法和模板，使控制臺自動配置安全策略，不再像以前那樣通過”人為介入“執行昂貴的、緩慢的手動配置。

       5、對系統空間和性能的影響，CWPP的整套功能可能會對系統空間和功能產生較大影響，例如，以數據包深度檢測為基礎的HIPS可能會占用大量資源，如果可以的話，數據加密應該使用硬件加速能力，如因特爾的AES-NI。以簽名為基礎的反惡意軟件掃描在爬取、掃描文件系統時，也會對安全系統的性能產生影響。

       6、“無agent”保護，在虛擬系統環境中，很多供應商都會連接其vSphere管理程序API，進行無agent反惡意軟件掃描。作為無agent集成管理程序的另一種模式，Bracket Computing使用的是創新性的”外包裝“方式，可以在無agent的情況下，保護每個工作負載。

       7、虛擬化和云服務提供商的原生集成和支持，在云基礎環境中，為了實現有效保護，CWPP應該充分理解并能整合平臺的原生附加能力，這樣才能在這些標記的基礎上執行安全策略。在創建新的工作負載時，集成云廠商的API可能無需設置安全保護，就可以聯絡控制臺。最后，充分理解本地云供應商的不同分類有助于我們界定細分策略。

       8、控制臺管理能力，在所有服務器工作負載中，要強制實施對不同職責管理員的全面訪問控制，一些供應商會提供”云控制臺“，因此無需本地管理服務器。

       9、合規性報告，對于有明確法規要求的企業來說，當審計人員要求出示合規證據時，提供詳細的合規報告能力就可以減少工作量(比如要求提供PCI 和HIPAA合規報告)。

       10、安全自啟能力，內置安全agent的系統配置速度很快，但可能無法在運行時執行安全策略。Agent應該準備使用模板和upon boot，這樣才能根據工作負載的環境(例如工作負載的位置或者在標記的基礎上)，安全地獲取、下載和應用合適的策略。

       11、靈活的價格模型，理想的解決方案可以讓企業混合幾種授權模型，以發揮最大的作用。大多數廠商是根據每年每臺虛擬機的訂閱模式來收費，還有一些根據每臺中央處理器插槽收費，對于高度靈活的工作負載來說，定價模式有一個更好的選擇，那就是根據虛擬機的實際使用時長或其他基于使用情況的標準來制定。

       12、審計和日志記錄，要記錄控制臺上所有管理行為和事件，并將這些日志傳輸到主要的SIEM系統中。

       13、威脅情報/社區情報，廠商的研究實驗室要提供全面的威脅情報，將攻擊模型和趨勢的變化告知安全運營官，理想情況下，廠商要直接提供保護方案。廠商的客戶群體要允許參與人分享這種可視性和情報信息，以更好地防御威脅。

       統計顯示，到2019年，60%的服務器工作負載將會以應用控制來替代殺毒軟件，而在2016年，這一比例還只有20%。隨著云計算采用的不斷深化，企業IT系統會更加復雜，企業將更深刻地認識到云安全體系化升級勢在必行。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：一篇文章讀懂企業如何升級到云安全體系

本文網址：http://www.guhuozai8.cn/html/consultation/10839519271.html