對于云安全這個新興概念，從咨詢機構、云平臺到安全廠商，行業(yè)內各家機構眾各有解讀。但很少從企業(yè)角度出發(fā)，清楚指明安全部門對云安全這種全新解決方案的真實需求是如何產生的，以及如何規(guī)劃云安全架構，如何和原有安全功能進行協(xié)同。

最近，Gartner的一篇分析報告提出了一種全新的安全解決方案——云工作負載安全平臺(Cloud Workload Protection Platforms，簡稱為CWPP)，該方案非常適合當前業(yè)務快速增長，采用混合云，并在實施統(tǒng)一安全策略時遇到困惑的企業(yè)安全參考。

下面通過CWPP的必要性、核心能力和架構注意項三個部分分析這個云安全體系。

一、當前不同架構的云采用給企業(yè)安全帶來的挑戰(zhàn):

1、服務器工作負載對安全保護需求有本質上的區(qū)別

相對于終端產品來說，服務器有不同的生命周期，終端用戶會定期接觸未知的執(zhí)行代碼，服務工作負載通常只限于一套專門的運行功能。在虛擬機環(huán)境下，一般是一個應用對應一臺虛擬機。在container環(huán)境下，會到一個進程或者一個應用服務的維度上。因此，使用默認否認的應用控制模型比用在終端用戶面對的終端更有效。

云計算類型的應用應該更加靈活，保護需求會根據(jù)需求授權模型擴大或者縮小范圍。例如，靜態(tài)加密數(shù)據(jù)應是公有云服務器的最佳強制實踐，而這個功能很少用于本地的數(shù)據(jù)中心。最后，大多數(shù)公司除了私有云架構以外，還要為兩個IaaS供應商制定兩套標準，提出支持混合和異構云環(huán)境的安全方案需求。

2、不斷改變的威脅環(huán)境

另一個趨勢是人們越來越關注服務器負載保護，主要指高級的定向攻擊，即繞過傳統(tǒng)的、本地基于簽名的保護。一般來說這些攻擊都是利益驅使的，從目標服務器和應用負載中得到敏感數(shù)據(jù)和事務記錄，高級的攻擊會導致服務器工作負載保護出現(xiàn)一些變化：如保護模型不再依靠簽名(初期保護策略主要依靠應用程序控制，攔截其他所有惡意或非惡意代碼);要求隔離網絡流量和可視化(關鍵是要求更加精細地劃分數(shù)據(jù)中心流量，幫助企業(yè)了解應用程序流程并實現(xiàn)可視化)。

3、變化的業(yè)務和IT需求

隨著云計算平臺的快速傳播，(其中最著名的就是AWS和Azure)，在共有云IaaS上保護服務器工作負載的需求蓬勃發(fā)展起來。

如圖1所示，未來五年間，大部分企業(yè)都將具備本地和云端的工作負載，因此，保護每個控制臺的本地物理、虛擬服務器、公有云IaaS的服務器保護方案十分有必要，這些保護方案要具備一致的安全策略。

4、對部署速度的要求

在很多情況下，模板和腳本實例化了云服務器工作負載，這需要安全保護廠商開放他們的保護能力，通過API自動配置。為自動化和自適應的安全監(jiān)控創(chuàng)造一種需求——隨著工作負載的創(chuàng)建或者銷毀而相應增加或減少，通過API實施全面可編程的保護架構。

5、合法和合規(guī)性環(huán)境

很多服務器的保護需求都受到法律法規(guī)框架的影響，有的法律法規(guī)會直接提出這方面要求。舉個例子，保護PCI相關的工作負載有很多要求——特別是要求文件完整性監(jiān)控，主機入侵檢測，補丁管理和網絡隔離等。

二、CWPP五大核心能力

云計算工作負載對安全有著不同的要求，混合私有云和公有云的云計算模型使這些不同之處更加復雜化，CISO們應該為保護混合云計算負載部署專門的安全產品。Gartner推薦公司使用以風險為基礎的分層安全策略。

上圖展示了用于服務器負載保護的安全控制優(yōu)先級，塔基包括了關鍵的基本能力，越往上功能越不重要。我們需要注意的是，其中一些功能可能會由OS供應商、云IaaS供應商提供，或者通過IT運營工具來實現(xiàn)。另外，服務器托管的虛擬桌面架構是一種不同的用例，要使用更加傳統(tǒng)的用戶終端保護策略。

圖2底部方框里列出了一些基本的運維能力，真正實現(xiàn)服務器安全一定要以良好的運維規(guī)范為開端，如：

(1)限制訪問服務器，服務器工作負載要限制物理或虛擬訪問。

(2)限制在服務器運行任意代碼的能力，移除或禁用本地瀏覽器和email客戶端。

(3)嚴格控制管理員訪問服務器工作負載。多元認證或者其他形式的強認證要取代簡單的用戶名/密碼機制;管理認證應該使用PAM系統(tǒng)。

(4)變更管理。通過與PAM結合，服務器鏡像變化應遵守一個明確的、與工單系統(tǒng)相連的變更管理控制流程。

(5)日志管理。把服務器工作負載OS和應用日志集中在一個日志管理系統(tǒng)或SIEM系統(tǒng)中，同時管理PAM日志。在虛擬化和云端環(huán)境，還要管理管理員行為日志。

在此基礎上，我們列出了CWPP服務器保護策略的五個核心能力：

1、配置和漏洞管理。移除非必要的組件，如Telnet，F(xiàn)TP和其他服務。我們要在初期就根據(jù)行業(yè)標準指南加固鏡像，可以由IT運營部門管理這一層面，但信息安全要根據(jù)公司標準方針確保加固、配置系統(tǒng)。再根據(jù)公司的補丁政策，完成系統(tǒng)補丁，定期持續(xù)更新系統(tǒng)。一些服務器保護解決方案可以徹底評估系統(tǒng)配置和漏洞，由各自的agent提供可視性。利用腳本和模板的自動化云工作負載提出了新的打補丁方式，但線上系統(tǒng)不能打補丁。

2、工作負載分割和網絡流量可視化。嚴格的工作負載安全的基礎是隔離和分化與外部資源溝通的能力。一些工作負載的保護方案自身具備防火墻能力，而其他保護方案會管理windows和linux系統(tǒng)內置的防火墻。解決方案應該支持數(shù)據(jù)中心東西流量的微型分割需求。另外，一些解決方案提供可視化和監(jiān)控通信流量，可視化工具讓運維和安全管理員可以了解流量類型、設置策略、監(jiān)控偏差。最后，一些廠商提供工作負載之間的網絡流量加密選擇來保護動態(tài)數(shù)據(jù)，并在工作負載之間提供加密隔離。

3、系統(tǒng)完整性監(jiān)控和管理。這項功能包括兩個領域：第一個是在BIOS，管理程序和虛擬機系統(tǒng)鏡像加載前進行評估，一般會通過物理系統(tǒng)中硬件層面的可信任措施實現(xiàn)評估。第二個是在工作負載自啟后，實時的監(jiān)控核心系統(tǒng)文件完整性。高級解決方案還會監(jiān)控windows注冊表、啟動目錄、驅動和引導加載程序，文件完整性監(jiān)控是高級EDR方案的前身。

4、應用程序控制(白名單)。之前討論過，虛擬機和公有云IaaS中大多數(shù)工作負載只能運行一個應用。使用白名單以控制在服務器運行什么文件，這是一個強大的安全保護策略，默認阻止所有顯示為文件的惡意軟件。許多CWPP解決方案或專門的單點解決方案會提供內置的應用控制功能。還有一種方案，使用內置的OS應用控制功能，如Windows, SELinux系統(tǒng)的軟件限制策略和應用程序控制策略(Applocker)或Linux系統(tǒng)的AppArmor。

5、滲透阻止和內存保護。應用控制解決方案不會一直可靠，應該跟預防漏洞利用和內存保護功能相結合，這些功能可以是OS，應用控制方案或第三方的保護措施，預防這些情況：白名單應用被攻擊而產生漏洞，輸入的代碼在內存中直接運行，且本身不是單獨的執(zhí)行(或可控)文件。另外，保護和內存保護方案不用傳統(tǒng)的、基于簽名的殺毒方案就能防御攻擊，在沒有補丁的情況下，還能減少管控。

除了上述5個核心能力，我們還有進一步保護服務器工作負載的其他方法，額外的保護需要很多基礎因素，包括合規(guī)性要求，被保護的工作負載敏感性，服務器是否能定期打補丁，企業(yè)對風險的容忍度等。

三、規(guī)劃和實施架構注意項

無論是自己研發(fā)還是和第三方云安全廠商合作，企業(yè)在評估各種解決方案時，需要重點考慮架構的幾點要求：

1、支持混合云環(huán)境，這是最重要的一點，大量云服務廠商提出的安全方案都可以運行在混合云環(huán)境中。對那些仍然使用物理服務器的公司，要求他們提供支持混合云環(huán)境的服務。

2、支持服務器操作系統(tǒng)，大多數(shù)廠商都支持windows和Linux系統(tǒng)，如果廠商支持Linux系統(tǒng)，為你的企業(yè)布局尋求特定支持及32/64位支持，判斷產品是否同時具備windows功能。如果廠商支持Windows系統(tǒng)，要弄清支持哪個版本，還是32/64位都支持;很少有供應商支持HP-UX,IBM AIX或Oracle Solaris系統(tǒng);有一些供應商專門支持那些不再受支持的服務器系統(tǒng)，如Windows2000和2003服務器。

3、支持容器，基于主機的agent要分辨單獨的Linux容器，包括網絡分段，再根據(jù)實際情況實施相應策略。這對那些使用容器支持微服務架構和快速發(fā)展DevSecOps工作流的公司來說，這個新要求非常重要。

4、全面支持API，安全保護要越來越能自動適應DevSecOps工作流的工作負載，通過API，利用高自動化開發(fā)環(huán)境中的腳本、方法和模板，使控制臺自動配置安全策略，不再像以前那樣通過”人為介入“執(zhí)行昂貴的、緩慢的手動配置。

5、對系統(tǒng)空間和性能的影響，CWPP的整套功能可能會對系統(tǒng)空間和功能產生較大影響，例如，以數(shù)據(jù)包深度檢測為基礎的HIPS可能會占用大量資源，如果可以的話，數(shù)據(jù)加密應該使用硬件加速能力，如因特爾的AES-NI。以簽名為基礎的反惡意軟件掃描在爬取、掃描文件系統(tǒng)時，也會對安全系統(tǒng)的性能產生影響。

6、“無agent”保護，在虛擬系統(tǒng)環(huán)境中，很多供應商都會連接其vSphere管理程序API，進行無agent反惡意軟件掃描。作為無agent集成管理程序的另一種模式，Bracket Computing使用的是創(chuàng)新性的”外包裝“方式，可以在無agent的情況下，保護每個工作負載。

7、虛擬化和云服務提供商的原生集成和支持，在云基礎環(huán)境中，為了實現(xiàn)有效保護，CWPP應該充分理解并能整合平臺的原生附加能力，這樣才能在這些標記的基礎上執(zhí)行安全策略。在創(chuàng)建新的工作負載時，集成云廠商的API可能無需設置安全保護，就可以聯(lián)絡控制臺。最后，充分理解本地云供應商的不同分類有助于我們界定細分策略。

8、控制臺管理能力，在所有服務器工作負載中，要強制實施對不同職責管理員的全面訪問控制，一些供應商會提供”云控制臺“，因此無需本地管理服務器。

9、合規(guī)性報告，對于有明確法規(guī)要求的企業(yè)來說，當審計人員要求出示合規(guī)證據(jù)時，提供詳細的合規(guī)報告能力就可以減少工作量(比如要求提供PCI 和HIPAA合規(guī)報告)。

10、安全自啟能力，內置安全agent的系統(tǒng)配置速度很快，但可能無法在運行時執(zhí)行安全策略。Agent應該準備使用模板和upon boot，這樣才能根據(jù)工作負載的環(huán)境(例如工作負載的位置或者在標記的基礎上)，安全地獲取、下載和應用合適的策略。

11、靈活的價格模型，理想的解決方案可以讓企業(yè)混合幾種授權模型，以發(fā)揮最大的作用。大多數(shù)廠商是根據(jù)每年每臺虛擬機的訂閱模式來收費，還有一些根據(jù)每臺中央處理器插槽收費，對于高度靈活的工作負載來說，定價模式有一個更好的選擇，那就是根據(jù)虛擬機的實際使用時長或其他基于使用情況的標準來制定。

12、審計和日志記錄，要記錄控制臺上所有管理行為和事件，并將這些日志傳輸?shù)街饕腟IEM系統(tǒng)中。

13、威脅情報/社區(qū)情報，廠商的研究實驗室要提供全面的威脅情報，將攻擊模型和趨勢的變化告知安全運營官，理想情況下，廠商要直接提供保護方案。廠商的客戶群體要允許參與人分享這種可視性和情報信息，以更好地防御威脅。

統(tǒng)計顯示，到2019年，60%的服務器工作負載將會以應用控制來替代殺毒軟件，而在2016年，這一比例還只有20%。隨著云計算采用的不斷深化，企業(yè)IT系統(tǒng)會更加復雜，企業(yè)將更深刻地認識到云安全體系化升級勢在必行。