對于云安全這個新興概念，從咨詢機構(gòu)、云平臺到安全廠商，行業(yè)內(nèi)各家機構(gòu)眾各有解讀。但很少從企業(yè)角度出發(fā)，清楚指明安全部門對云安全這種全新解決方案的真實需求是如何產(chǎn)生的，以及如何規(guī)劃云安全架構(gòu)，如何和原有安全功能進行協(xié)同。

       最近，Gartner的一篇分析報告提出了一種全新的安全解決方案——云工作負載安全平臺(Cloud Workload Protection Platforms，簡稱為CWPP)，該方案非常適合當前業(yè)務(wù)快速增長，采用混合云，并在實施統(tǒng)一安全策略時遇到困惑的企業(yè)安全參考。

       下面通過CWPP的必要性、核心能力和架構(gòu)注意項三個部分分析這個云安全體系。

       一、當前不同架構(gòu)的云采用給企業(yè)安全帶來的挑戰(zhàn)：

       1、服務(wù)器工作負載對安全保護需求有本質(zhì)上的區(qū)別

       相對于終端產(chǎn)品來說，服務(wù)器有不同的生命周期，終端用戶會定期接觸未知的執(zhí)行代碼，服務(wù)工作負載通常只限于一套專門的運行功能。在虛擬機環(huán)境下，一般是一個應(yīng)用對應(yīng)一臺虛擬機。在container環(huán)境下，會到一個進程或者一個應(yīng)用服務(wù)的維度上。因此，使用默認否認的應(yīng)用控制模型比用在終端用戶面對的終端更有效。

       云計算類型的應(yīng)用應(yīng)該更加靈活，保護需求會根據(jù)需求授權(quán)模型擴大或者縮小范圍。例如，靜態(tài)加密數(shù)據(jù)應(yīng)是公有云服務(wù)器的最佳強制實踐，而這個功能很少用于本地的數(shù)據(jù)中心。最后，大多數(shù)公司除了私有云架構(gòu)以外，還要為兩個IaaS供應(yīng)商制定兩套標準，提出支持混合和異構(gòu)云環(huán)境的安全方案需求。

       2、不斷改變的威脅環(huán)境

          另一個趨勢是人們越來越關(guān)注服務(wù)器負載保護，主要指高級的定向攻擊，即繞過傳統(tǒng)的、本地基于簽名的保護。一般來說這些攻擊都是利益驅(qū)使的，從目標服務(wù)器和應(yīng)用負載中得到敏感數(shù)據(jù)和事務(wù)記錄，高級的攻擊會導(dǎo)致服務(wù)器工作負載保護出現(xiàn)一些變化：如保護模型不再依靠簽名(初期保護策略主要依靠應(yīng)用程序控制，攔截其他所有惡意或非惡意代碼)；要求隔離網(wǎng)絡(luò)流量和可視化(關(guān)鍵是要求更加精細地劃分數(shù)據(jù)中心流量，幫助企業(yè)了解應(yīng)用程序流程并實現(xiàn)可視化)。

       3、變化的業(yè)務(wù)和IT需求

       隨著云計算平臺的快速傳播，(其中最著名的就是AWS和Azure)，在共有云IaaS上保護服務(wù)器工作負載的需求蓬勃發(fā)展起來。

圖1 大部分企業(yè)都將具備本地和云端的工作負載

       如圖1所示，未來五年間，大部分企業(yè)都將具備本地和云端的工作負載，因此，保護每個控制臺的本地物理、虛擬服務(wù)器、公有云IaaS的服務(wù)器保護方案十分有必要，這些保護方案要具備一致的安全策略。

       4、對部署速度的要求

       在很多情況下，模板和腳本實例化了云服務(wù)器工作負載，這需要安全保護廠商開放他們的保護能力，通過API自動配置。為自動化和自適應(yīng)的安全監(jiān)控創(chuàng)造一種需求——隨著工作負載的創(chuàng)建或者銷毀而相應(yīng)增加或減少，通過API實施全面可編程的保護架構(gòu)。

       5、合法和合規(guī)性環(huán)境

       很多服務(wù)器的保護需求都受到法律法規(guī)框架的影響，有的法律法規(guī)會直接提出這方面要求。舉個例子，保護PCI相關(guān)的工作負載有很多要求——特別是要求文件完整性監(jiān)控，主機入侵檢測，補丁管理和網(wǎng)絡(luò)隔離等。

       二、CWPP五大核心能力

       云計算工作負載對安全有著不同的要求，混合私有云和公有云的云計算模型使這些不同之處更加復(fù)雜化，CISO們應(yīng)該為保護混合云計算負載部署專門的安全產(chǎn)品。Gartner推薦公司使用以風(fēng)險為基礎(chǔ)的分層安全策略。

       下圖展示了用于服務(wù)器負載保護的安全控制優(yōu)先級，塔基包括了關(guān)鍵的基本能力，越往上功能越不重要。我們需要注意的是，其中一些功能可能會由OS供應(yīng)商、云IaaS供應(yīng)商提供，或者通過IT運營工具來實現(xiàn)。另外，服務(wù)器托管的虛擬桌面架構(gòu)是一種不同的用例，要使用更加傳統(tǒng)的用戶終端保護策略。

圖2 用于服務(wù)器負載保護的安全控制優(yōu)先級

       圖2底部方框里列出了一些基本的運維能力，真正實現(xiàn)服務(wù)器安全一定要以良好的運維規(guī)范為開端，如：

       (1)限制訪問服務(wù)器，服務(wù)器工作負載要限制物理或虛擬訪問。

       (2)限制在服務(wù)器運行任意代碼的能力，移除或禁用本地瀏覽器和email客戶端。

       (3)嚴格控制管理員訪問服務(wù)器工作負載。多元認證或者其他形式的強認證要取代簡單的用戶名/密碼機制；管理認證應(yīng)該使用PAM系統(tǒng)。

       (4)變更管理。通過與PAM結(jié)合，服務(wù)器鏡像變化應(yīng)遵守一個明確的、與工單系統(tǒng)相連的變更管理控制流程。

       (5)日志管理。把服務(wù)器工作負載OS和應(yīng)用日志集中在一個日志管理系統(tǒng)或SIEM系統(tǒng)中，同時管理PAM日志。在虛擬化和云端環(huán)境，還要管理管理員行為日志。

       在此基礎(chǔ)上，我們列出了CWPP服務(wù)器保護策略的五個核心能力：

       1、配置和漏洞管理。移除非必要的組件，如Telnet，F(xiàn)TP和其他服務(wù)。我們要在初期就根據(jù)行業(yè)標準指南加固鏡像，可以由IT運營部門管理這一層面，但信息安全要根據(jù)公司標準方針確保加固、配置系統(tǒng)。再根據(jù)公司的補丁政策，完成系統(tǒng)補丁，定期持續(xù)更新系統(tǒng)。一些服務(wù)器保護解決方案可以徹底評估系統(tǒng)配置和漏洞，由各自的agent提供可視性。利用腳本和模板的自動化云工作負載提出了新的打補丁方式，但線上系統(tǒng)不能打補丁。

       2、工作負載分割和網(wǎng)絡(luò)流量可視化。嚴格的工作負載安全的基礎(chǔ)是隔離和分化與外部資源溝通的能力。一些工作負載的保護方案自身具備防火墻能力，而其他保護方案會管理windows和linux系統(tǒng)內(nèi)置的防火墻。解決方案應(yīng)該支持數(shù)據(jù)中心東西流量的微型分割需求。另外，一些解決方案提供可視化和監(jiān)控通信流量，可視化工具讓運維和安全管理員可以了解流量類型、設(shè)置策略、監(jiān)控偏差。最后，一些廠商提供工作負載之間的網(wǎng)絡(luò)流量加密選擇來保護動態(tài)數(shù)據(jù)，并在工作負載之間提供加密隔離。

       3、系統(tǒng)完整性監(jiān)控和管理。這項功能包括兩個領(lǐng)域：第一個是在BIOS，管理程序和虛擬機系統(tǒng)鏡像加載前進行評估，一般會通過物理系統(tǒng)中硬件層面的可信任措施實現(xiàn)評估。第二個是在工作負載自啟后，實時的監(jiān)控核心系統(tǒng)文件完整性。高級解決方案還會監(jiān)控windows注冊表、啟動目錄、驅(qū)動和引導(dǎo)加載程序，文件完整性監(jiān)控是高級EDR方案的前身。

       4、應(yīng)用程序控制(白名單)。之前討論過，虛擬機和公有云IaaS中大多數(shù)工作負載只能運行一個應(yīng)用。使用白名單以控制在服務(wù)器運行什么文件，這是一個強大的安全保護策略，默認阻止所有顯示為文件的惡意軟件。許多CWPP解決方案或?qū)ｉT的單點解決方案會提供內(nèi)置的應(yīng)用控制功能。還有一種方案，使用內(nèi)置的OS應(yīng)用控制功能，如Windows， SELinux系統(tǒng)的軟件限制策略和應(yīng)用程序控制策略(Applocker)或Linux系統(tǒng)的AppArmor。

       5、滲透阻止和內(nèi)存保護。應(yīng)用控制解決方案不會一直可靠，應(yīng)該跟預(yù)防漏洞利用和內(nèi)存保護功能相結(jié)合，這些功能可以是OS，應(yīng)用控制方案或第三方的保護措施，預(yù)防這些情況：白名單應(yīng)用被攻擊而產(chǎn)生漏洞，輸入的代碼在內(nèi)存中直接運行，且本身不是單獨的執(zhí)行(或可控)文件。另外，保護和內(nèi)存保護方案不用傳統(tǒng)的、基于簽名的殺毒方案就能防御攻擊，在沒有補丁的情況下，還能減少管控。

       除了上述5個核心能力，我們還有進一步保護服務(wù)器工作負載的其他方法，額外的保護需要很多基礎(chǔ)因素，包括合規(guī)性要求，被保護的工作負載敏感性，服務(wù)器是否能定期打補丁，企業(yè)對風(fēng)險的容忍度等。

       三、規(guī)劃和實施架構(gòu)注意項

       無論是自己研發(fā)還是和第三方云安全廠商合作，企業(yè)在評估各種解決方案時，需要重點考慮架構(gòu)的幾點要求：

       1、支持混合云環(huán)境，這是最重要的一點，大量云服務(wù)廠商提出的安全方案都可以運行在混合云環(huán)境中。對那些仍然使用物理服務(wù)器的公司，要求他們提供支持混合云環(huán)境的服務(wù)。

       2、支持服務(wù)器操作系統(tǒng)，大多數(shù)廠商都支持windows和Linux系統(tǒng)，如果廠商支持Linux系統(tǒng)，為你的企業(yè)布局尋求特定支持及32/64位支持，判斷產(chǎn)品是否同時具備windows功能。如果廠商支持Windows系統(tǒng)，要弄清支持哪個版本，還是32/64位都支持；很少有供應(yīng)商支持HP-UX，IBM AIX或Oracle Solaris系統(tǒng)；有一些供應(yīng)商專門支持那些不再受支持的服務(wù)器系統(tǒng)，如Windows2000和2003服務(wù)器。

       3、支持容器，基于主機的agent要分辨單獨的Linux容器，包括網(wǎng)絡(luò)分段，再根據(jù)實際情況實施相應(yīng)策略。這對那些使用容器支持微服務(wù)架構(gòu)和快速發(fā)展DevSecOps工作流的公司來說，這個新要求非常重要。

       4、全面支持API，安全保護要越來越能自動適應(yīng)DevSecOps工作流的工作負載，通過API，利用高自動化開發(fā)環(huán)境中的腳本、方法和模板，使控制臺自動配置安全策略，不再像以前那樣通過”人為介入“執(zhí)行昂貴的、緩慢的手動配置。

       5、對系統(tǒng)空間和性能的影響，CWPP的整套功能可能會對系統(tǒng)空間和功能產(chǎn)生較大影響，例如，以數(shù)據(jù)包深度檢測為基礎(chǔ)的HIPS可能會占用大量資源，如果可以的話，數(shù)據(jù)加密應(yīng)該使用硬件加速能力，如因特爾的AES-NI。以簽名為基礎(chǔ)的反惡意軟件掃描在爬取、掃描文件系統(tǒng)時，也會對安全系統(tǒng)的性能產(chǎn)生影響。

       6、“無agent”保護，在虛擬系統(tǒng)環(huán)境中，很多供應(yīng)商都會連接其vSphere管理程序API，進行無agent反惡意軟件掃描。作為無agent集成管理程序的另一種模式，Bracket Computing使用的是創(chuàng)新性的”外包裝“方式，可以在無agent的情況下，保護每個工作負載。

       7、虛擬化和云服務(wù)提供商的原生集成和支持，在云基礎(chǔ)環(huán)境中，為了實現(xiàn)有效保護，CWPP應(yīng)該充分理解并能整合平臺的原生附加能力，這樣才能在這些標記的基礎(chǔ)上執(zhí)行安全策略。在創(chuàng)建新的工作負載時，集成云廠商的API可能無需設(shè)置安全保護，就可以聯(lián)絡(luò)控制臺。最后，充分理解本地云供應(yīng)商的不同分類有助于我們界定細分策略。

       8、控制臺管理能力，在所有服務(wù)器工作負載中，要強制實施對不同職責(zé)管理員的全面訪問控制，一些供應(yīng)商會提供”云控制臺“，因此無需本地管理服務(wù)器。

       9、合規(guī)性報告，對于有明確法規(guī)要求的企業(yè)來說，當審計人員要求出示合規(guī)證據(jù)時，提供詳細的合規(guī)報告能力就可以減少工作量(比如要求提供PCI 和HIPAA合規(guī)報告)。

       10、安全自啟能力，內(nèi)置安全agent的系統(tǒng)配置速度很快，但可能無法在運行時執(zhí)行安全策略。Agent應(yīng)該準備使用模板和upon boot，這樣才能根據(jù)工作負載的環(huán)境(例如工作負載的位置或者在標記的基礎(chǔ)上)，安全地獲取、下載和應(yīng)用合適的策略。

       11、靈活的價格模型，理想的解決方案可以讓企業(yè)混合幾種授權(quán)模型，以發(fā)揮最大的作用。大多數(shù)廠商是根據(jù)每年每臺虛擬機的訂閱模式來收費，還有一些根據(jù)每臺中央處理器插槽收費，對于高度靈活的工作負載來說，定價模式有一個更好的選擇，那就是根據(jù)虛擬機的實際使用時長或其他基于使用情況的標準來制定。

       12、審計和日志記錄，要記錄控制臺上所有管理行為和事件，并將這些日志傳輸?shù)街饕�的SIEM系統(tǒng)中。

       13、威脅情報/社區(qū)情報，廠商的研究實驗室要提供全面的威脅情報，將攻擊模型和趨勢的變化告知安全運營官，理想情況下，廠商要直接提供保護方案。廠商的客戶群體要允許參與人分享這種可視性和情報信息，以更好地防御威脅。

       統(tǒng)計顯示，到2019年，60%的服務(wù)器工作負載將會以應(yīng)用控制來替代殺毒軟件，而在2016年，這一比例還只有20%。隨著云計算采用的不斷深化，企業(yè)IT系統(tǒng)會更加復(fù)雜，企業(yè)將更深刻地認識到云安全體系化升級勢在必行。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標題：一篇文章讀懂企業(yè)如何升級到云安全體系

本文網(wǎng)址：http://www.oesoe.com/html/consultation/10839519271.html