云平臺安全指南2022重新思考云應(yīng)用的安全在云平臺上驗證身份、管理訪問重新定義網(wǎng)絡(luò)隔離與保護(hù)通過加密和密鑰管理保護(hù)數(shù)據(jù)9 DevOps安全自動化通過智能監(jiān)控構(gòu)建安全免疫系統(tǒng)有助于實現(xiàn)業(yè)務(wù)成功的安全性要點理想狀態(tài)下，云提供商應(yīng)能將您的身份管理系統(tǒng)集成到他們的平臺中，而1 且在任何情況下，均應(yīng)為您提供一個可信的身份管理解決方案，以供您在需要時使用。2作為建立信任過程的一部分，驗證并確保云平臺能夠提供良好集成的防火23要求云提供商提供BYOK解決方案，使您的組織能夠?qū)ｉT管理所有數(shù)據(jù)存儲和服務(wù)中的密鑰。34 面向容器的最佳安全實踐是在部署之前和運行過程中均進(jìn)行漏洞掃描。5云平臺的安全機制必須要高效控制訪問，在工作負(fù)載級別上運行，跟蹤活52PAGE10PAGE10重新思考云應(yīng)用的安全隨著越來越多的組織轉(zhuǎn)而采用針對應(yīng)用開發(fā)和工作負(fù)載管理的云原生模型，云計算平臺正在快速限制著基于邊界的傳統(tǒng)安全模式的有效性。盡管邊界安全機制依然很有必要，但就其本身而言，并無法完全確保安全。由于云端的數(shù)據(jù)和應(yīng)用都處在舊的企業(yè)邊界之外，因此必須采用新方式對這些數(shù)據(jù)和應(yīng)用加以保護(hù)。對于正在轉(zhuǎn)變到云原生模式或計劃采用混合云應(yīng)用部署的組織而言，必須通過有助于保護(hù)云工作負(fù)載安全性的技術(shù)來補充傳統(tǒng)的基于邊界的網(wǎng)絡(luò)安全機制。企業(yè)必須確保云服務(wù)提供商能夠保證從基礎(chǔ)架構(gòu)起往上的整個堆棧的安全。因此，在選擇提供商時，基本的一點就是要建立對平臺安全性的信任。云安全的驅(qū)動因素數(shù)據(jù)保護(hù)和監(jiān)管合規(guī)性都是云安全的主要驅(qū)動因素，同時它們也是云采用的妨礙因素。這些問題的解決涉及到開發(fā)和運營的各個方面。在云原生應(yīng)用中，數(shù)據(jù)可能分布在各個對象存儲、數(shù)據(jù)服務(wù)和云平臺之中，這就為潛在攻擊提供了多個攻擊面。此外，攻擊并不僅僅來自于技術(shù)純熟的網(wǎng)絡(luò)黑客和外部來源；近期的一項調(diào)研結(jié)果顯示，53%的受訪者表示他們在之前12個月內(nèi)曾遭遇過內(nèi)部人員攻擊。1

云安全的五大基礎(chǔ)要點組織若要解決云平臺使用方面的特定安全需求，就需要確保他們的提供商成為可信賴的技術(shù)合作伙伴。事實上，組織應(yīng)根據(jù)這五個安全方面評估云提供商，因為它們與組織自身特定需求有關(guān)：身份與訪問管理：認(rèn)證、身份和訪問控制網(wǎng)絡(luò)安全：隔離和分段數(shù)據(jù)保護(hù)：管理DevSecOps：包括安全測試和容器安全可視性與智能：監(jiān)控并中發(fā)現(xiàn)模式PAGE4PAGE4在云平臺上驗證身份、管理訪問為何要認(rèn)證服務(wù)調(diào)用？在基于微服務(wù)的架構(gòu)中，API能夠讓應(yīng)用相互之間進(jìn)行通信、共享數(shù)據(jù)。為何要認(rèn)證服務(wù)調(diào)用？在基于微服務(wù)的架構(gòu)中，API能夠讓應(yīng)用相互之間進(jìn)行通信、共享數(shù)據(jù)。當(dāng)某個應(yīng)用在運行時，它會使用API調(diào)用服務(wù)，以完成各種操作。舉例來說，您的應(yīng)用可能會調(diào)用數(shù)據(jù)對象存儲服務(wù)。為了執(zhí)行該請求，該對象存儲服務(wù)本身可能會調(diào)用密鑰管理服務(wù)，以獲得解密數(shù)據(jù)所需的加密密鑰。作為用戶體驗交付的一部分，應(yīng)用可能會使用API訪問用戶身份信息，在應(yīng)用之間傳遞內(nèi)容（比如將內(nèi)容從應(yīng)用傳遞到Twitter）并確定用戶的位置，以便提供位置特定的信息。所有這些集成點都會帶來安全挑戰(zhàn)。云提供商應(yīng)采用統(tǒng)一的方式來認(rèn)證需要訪問某個API或服務(wù)的用戶或服務(wù)的身份。當(dāng)然，作為認(rèn)證流程的一部分，所有的訪問請求會話和事務(wù)處理均應(yīng)予以記錄，以供審計使用。API和服務(wù)很有可能都擁有寶貴的知識產(chǎn)權(quán)；您不會希望任何人都能使用。因此，應(yīng)選擇能夠?qū)PI訪問和服務(wù)調(diào)用提供統(tǒng)一身份認(rèn)證方式的提供商。此外，您還需要一種能夠?qū)υL問云端托管應(yīng)用的最終用戶進(jìn)行識別和認(rèn)證的方式。舉例來說，IBM?Cloud采用了“應(yīng)用ID(AppID)”方式，支持開發(fā)人員將認(rèn)證組件集成到移動和Web應(yīng)用中。強大的認(rèn)證機制有助于防止非授權(quán)用戶訪問云系統(tǒng)。由于平臺身份與訪問管理(IAM)如此重要，因此，擁有現(xiàn)有系統(tǒng)的組織應(yīng)確保云提供商能夠集成企業(yè)的身份管理系統(tǒng)。這一點通常通過身份聯(lián)合技術(shù)來實現(xiàn)，即實現(xiàn)每個用戶的ID與屬性的跨系統(tǒng)關(guān)聯(lián)。PAGE5PAGE5要求潛在的云提供商證明他們的IAM架構(gòu)和系統(tǒng)涵蓋了所有基本要點。舉例來說，的身份和訪問管理基于多個關(guān)鍵功能（圖1）：身份每個用戶都有一個唯一標(biāo)識ID(CRN)用戶和服務(wù)通過他們的身份進(jìn)行認(rèn)證并發(fā)放令牌訪問管理要點理想狀態(tài)下，云提供商應(yīng)能將您的身份管理系統(tǒng)集成到他們的平臺中，而且在任何情況下，均應(yīng)為您提供一個可信的身份管理解決方案，以供您在需要時使用。當(dāng)用戶和服務(wù)嘗試訪問資源時，IAM要點理想狀態(tài)下，云提供商應(yīng)能將您的身份管理系統(tǒng)集成到他們的平臺中，而且在任何情況下，均應(yīng)為您提供一個可信的身份管理解決方案，以供您在需要時使用。由服務(wù)來定義操作、資源和角色由管理員來定義分配用戶角色及各種資源訪問權(quán)限所依據(jù)的策略API、云功能及托管在云端的后臺資源

在您評估云提供商的安全功能時，應(yīng)查看訪問控制表及公共資源名稱，這些內(nèi)容支持您對用戶施加限制，不僅是限制其只能訪問特定資源，還能限制其只能對這些資源執(zhí)行特定操作。這些功能有助于保護(hù)您的數(shù)據(jù)免于遭受來自外部和內(nèi)部的非授權(quán)訪問。在您基于使用企業(yè)身份提供商(EnterpriseIdP)的現(xiàn)有企業(yè)應(yīng)用構(gòu)建云原生應(yīng)用時，將您的EnterpriseIdP擴展到云端尤為有用。您的用戶無需使用多個系統(tǒng)或ID，便可通暢地登錄到云原生應(yīng)用和基礎(chǔ)性應(yīng)用。因此說，降低復(fù)雜性始終都是一個非常重要的目標(biāo)。IAMIAMIBMID使用者應(yīng)用ID應(yīng)用服務(wù)管理員和開發(fā)人員圖1：由提供商管理的集群元素與由客戶管理的集群元素之間的分離。PAGE6PAGE6制到特定獨立網(wǎng)絡(luò)。技術(shù)都是確立云平臺可信賴性的“籌碼”。云提供商會以軟件定義網(wǎng)絡(luò)安全服務(wù)的形式提供各種保護(hù)技術(shù)，包括Web應(yīng)用防火墻、虛擬私有網(wǎng)絡(luò)和服務(wù)拒絕減緩等，并按照使用量收費。在云計算時代，您可以考慮采用以下技術(shù)作為關(guān)鍵網(wǎng)絡(luò)安全組件。安全組和防火墻云客戶通常會采用網(wǎng)絡(luò)防火墻來進(jìn)行邊界保護(hù)（虛擬私有云/子網(wǎng)級網(wǎng)絡(luò)訪問），并針對實例級的訪問構(gòu)建網(wǎng)絡(luò)安全組。安全組是云資源的訪問授權(quán)的“第一道防線”。借助這些安全組，您可以輕松地添加實例級的網(wǎng)絡(luò)安全組件，以管理公有網(wǎng)絡(luò)和私有網(wǎng)絡(luò)上的入站和出站流量。

許多客戶都需要邊界控制組件來確保邊界網(wǎng)絡(luò)和子網(wǎng)的安全，而虛擬防火墻可以滿足這一要求，而且可輕松完成部署。防火墻的作用是防范非預(yù)期的流量進(jìn)入服務(wù)器、減少攻擊面。因此，您需要確保云提供商能夠同時提供虛擬防火墻和硬件防火墻，使您能夠為整個網(wǎng)絡(luò)或子網(wǎng)配置基于授權(quán)的規(guī)則。當(dāng)然，VPN可為您提供從云返回到內(nèi)部資源的安全連接。如果您運行的是混合云環(huán)境，就必須采用VPN。微分段以小型服務(wù)集的形式開發(fā)云原生應(yīng)用能夠?qū)崿F(xiàn)一定的安全優(yōu)勢，這有助于您使用網(wǎng)絡(luò)分段將其隔離開來。因此，您需要一個能夠通過網(wǎng)絡(luò)配置和供應(yīng)自動化來實施微分段的云平臺?；谖⒎?wù)模型而構(gòu)建的容器化應(yīng)用正在快速成為可擴展的工作負(fù)載隔離支持方面的常態(tài)方法。要點要點作為建立信任過程的一部分，驗證并確保云平臺能夠提供良好集成的防火墻和安全組，還可基于工作負(fù)載和可信的計算主機提供微分段選項。PAGE7PAGE7通過加密和密鑰管理保護(hù)數(shù)據(jù)可靠的數(shù)據(jù)保護(hù)是任何數(shù)字企業(yè)的安全基礎(chǔ)，尤其是在金融服務(wù)和醫(yī)療等高度監(jiān)管行業(yè)。與云原生應(yīng)用相關(guān)的數(shù)據(jù)可能分散在多個對象存儲、數(shù)據(jù)服務(wù)和云平臺之中。傳統(tǒng)的應(yīng)用可能擁有它們自己的數(shù)據(jù)庫和VM，并在文件中存儲它們的敏感數(shù)據(jù)。在這些情況下，無論是動態(tài)數(shù)據(jù)還是靜態(tài)數(shù)據(jù)，敏感數(shù)據(jù)的加密都非常關(guān)鍵。

企業(yè)都非常擔(dān)心云運營商或其他非授權(quán)用戶在他們不知情的情況下訪問他們的數(shù)據(jù)，而且也希望實現(xiàn)數(shù)據(jù)訪問的完全可視性。通過加密來控制數(shù)據(jù)訪問并控制對加密密鑰的訪問已成為眾所期望的安全功能。如此一來，自帶密鑰(BYOK)模式已成為當(dāng)前的云安全需求之一。通過該模式，您可以在一個集中位置管理加密密鑰，確保根密鑰不會脫離密鑰管理系統(tǒng)的邊界，使您可以審計密鑰管理生命周期內(nèi)的所有活動（圖2）。塊存儲塊存儲（數(shù)據(jù)卷）客戶2虛擬機虛擬機IAM系統(tǒng)訪問控制策略 WarehouseonCloud） 數(shù)據(jù)服務(wù)（ant?、IBMDb2?對象存儲客戶1數(shù)據(jù)對象BYOK數(shù)據(jù)對象IBMKeyProtect圖2：BYOK解決方案的架構(gòu)。PAGE8PAGE8可信的計算主機我們再來談?wù)動布喝魏纹髽I(yè)都不希望將寶貴的數(shù)據(jù)和應(yīng)用部署在不可信的主機上。云平臺提供商如果在硬件方面采用“測量-驗證-啟動”協(xié)議，就能夠為您提供高度安全的主機，便于您在容器編排系統(tǒng)內(nèi)部署應(yīng)用。舉例來說，Intel的可信執(zhí)行技術(shù)(IntelTXT)和可信平臺模塊(TPM)都屬于可確保云平臺可信賴性的主機級技術(shù)。IntelTXT能夠防范基于軟件的攻擊，這些攻擊的目的是通過破壞系統(tǒng)或BIOS代碼或修改平臺配置的方式盜取敏感信息。IntelTPM是一款基于硬件的安全設(shè)備，可確保在向操作系統(tǒng)發(fā)布系統(tǒng)控件之前，操作系統(tǒng)不會被篡改，以此方式確保系統(tǒng)啟動進(jìn)程的安全。

靜態(tài)數(shù)據(jù)和動態(tài)數(shù)據(jù)保護(hù)借助基于BYOK的內(nèi)置加密機制，無論數(shù)據(jù)是位于內(nèi)部還是位于云端，您都可以維持?jǐn)?shù)據(jù)的可控性。對于云原生應(yīng)用部署環(huán)境中的數(shù)據(jù)而言，這是進(jìn)行數(shù)據(jù)訪問控制的一種絕佳方法。在該方法中，客戶的密鑰管理系統(tǒng)會在內(nèi)部系統(tǒng)中生成一個密鑰，然后將其傳輸?shù)教峁┥痰拿荑€管理服務(wù)中。這種方法在塊存儲、對象存儲和數(shù)據(jù)服務(wù)存儲等各種存儲類型中，都采用的是靜態(tài)數(shù)據(jù)加密。對于動態(tài)數(shù)據(jù)而言，則是通過傳輸層安全性/安全套接字層(TLS/SSL)確保安全的數(shù)據(jù)通信和傳輸。TLS/SSL加密還可幫助您確保實現(xiàn)合規(guī)性、安全性和治理要求，無需對密碼系統(tǒng)或基礎(chǔ)架構(gòu)進(jìn)行管理控制。因此說，若要確保云平臺的可信賴性，SSL證書的管理能力也是必需的要求之一。滿足審計與合規(guī)要求要點要求云提供商提供BYOK解決方案，使您的組織能夠管理所有數(shù)據(jù)存儲和服務(wù)中的密鑰。要點要求云提供商提供BYOK解決方案，使您的組織能夠管理所有數(shù)據(jù)存儲和服務(wù)中的密鑰。PAGE9PAGE9實現(xiàn)DevOps安全自動化在DevOps團(tuán)隊構(gòu)建云原生服務(wù)并采用容器技術(shù)時，他們需要借助一種高效的方式，將安全檢查控件集成到日益自動化的管道之中。由于Docker中心(DockerHub)等站點都鼓勵開放交換，因此開發(fā)人員只需下載他們所需的資源即可，這樣便可節(jié)省映像準(zhǔn)備時間。不過，在確保這種靈活性的情況下，就需要在部署注冊表中的所有容器映像之前，對它們進(jìn)行例行檢查。借助自動化的掃描系統(tǒng)，您可以在運行映像之前搜索它們之中的潛在漏洞。因此，您應(yīng)詢問平臺供應(yīng)商，作為DevOps管道安全的一部分，他們是否允許您的組織創(chuàng)建策略（例如：“不得部署有漏洞的映像”或“在將這些映像部署到生產(chǎn)環(huán)境之前提醒我”）。

要點面向容器的最佳安全實踐是在部署之前和運行過程中均進(jìn)行漏洞掃描。舉例來說，ContainerService提供了一個“漏洞顧問”（VulnerabilityAdvisor，VA）系統(tǒng)，該系統(tǒng)可實現(xiàn)靜態(tài)/動態(tài)容器掃描。在部署映像之前，VA會遺漏一些問題，比如靜態(tài)映像會緩慢移動到已部署的容器之中；為此，VA還會對運行中的容器進(jìn)行掃描，以檢測其中是否存在異常。此外，它還會以分層式要點面向容器的最佳安全實踐是在部署之前和運行過程中均進(jìn)行漏洞掃描。PAGE10PAGE10Kubernetes相關(guān)如果您的DevOps團(tuán)隊采用了Kubernetes相關(guān)如果您的DevOps團(tuán)隊采用了Kubernetes容器統(tǒng)籌安排軟件，則應(yīng)確保它們可以繼續(xù)使用相關(guān)的常用工具。此外，你還需評估平臺在供應(yīng)新的Kubernetes集群及管理現(xiàn)有Kubernetes集群方面的難易程度。詢問云平臺提供商他們的Kubernetes系統(tǒng)是否支持Calico和Istio。Calico和Istio是Kubernetes的兩個重要組件，有助于確保應(yīng)用和工作負(fù)載的安全性。Calico有助于簡化分配到計算節(jié)點中工作負(fù)載的IP地址的管理，而且能夠?qū)γ總€計算節(jié)點中的訪問控制列表進(jìn)行編程，以執(zhí)行安全策略。借助通過配置標(biāo)簽進(jìn)行設(shè)置和執(zhí)行的策略定義，Istio可以采用基于證書的方式控制Kubernetespod務(wù)之間的通信。策略違例設(shè)置：借助VA，管理員可以基于下述三種用戶使用了容易猜到的密碼。最佳實踐：VA目前會按照ISO27000檢查26種規(guī)則，包括密碼最短使用期限、密碼最小長度等設(shè)置。安全誤配置檢測：VA會標(biāo)記每個誤配置問題并提供相關(guān)描述，同時還會推薦相應(yīng)的補救措施。與IBMX-Force?相集成：VA融合了來自5個第三方來源的安全智能，并采用了攻擊向量、已知修復(fù)包的復(fù)雜性和可用性等標(biāo)準(zhǔn)來評定每個漏洞。評級系統(tǒng)（采用“關(guān)鍵”、“高”、“中等”或“低”等級別）有助于管理員快速了解漏洞的嚴(yán)重性并確定補救的優(yōu)先級。在補救方面，VA在修復(fù)時不會中斷正在運行的映像。相反，IBM會恢復(fù)注冊表中的“黃金”映像，并在容器中部署一個新映像。這種方法有助于確保該映像在未來的所有實例化都可以采用同一修復(fù)包。VM仍舊可以使用傳統(tǒng)方法處理：使用終端設(shè)備安全服務(wù)來安裝VM補丁、修復(fù)Linux安全漏洞。PAGE11PAGE11通過智能監(jiān)控構(gòu)建安全免疫系統(tǒng)在遷移到云端時，CISO通常會擔(dān)心可視性較低、可控性損失等問題。如果某個特定密鑰被刪除，或者由于某個無意的配置更改而導(dǎo)致需要重建與內(nèi)部資源或企業(yè)安全運營中心(SOC)的連接，組織的整個云性能就會下降；因為這個原因，運營工程師必須要求云提供商確保對基于云的工作負(fù)載、API、微服務(wù)等的完全可視性。訪問痕跡和審計日志由云提供商或您的組織進(jìn)行的所有用戶訪問和管理訪問均應(yīng)自動予以記錄。通過內(nèi)置的云活動跟蹤程序，可以跟蹤對平臺及服務(wù)的所有訪問痕跡（包括API、Web和移動訪問）。您的組織應(yīng)能使用這些日志并將其集成到企業(yè)SOC之中。企業(yè)安全智能確保您可以選擇性地將所有日志和事件集成到內(nèi)部安全信息與事件管理(SIEM)系統(tǒng)之中（圖3）。一些云服務(wù)提供商還會提供安全監(jiān)控及事件管理與報告功能、安全警報實時分析功能，以及混合部署的集成式視圖。

舉例來說，IBMQRadar?是一款綜合性的SIE