云安全将成为影响国家安全、社会稳定、行业安全等方方面面的关键因素之一

“十四五”规划提出，要加快数字化发展、建设数字中国。作为数字经济重点产业之一的云计算，将作为数字经济的基础设施，推动数字化转型、推动各行各业的数字化和互联互通。人工智能、大数据、区块链、边缘计算、5G、物联网等新兴技术也将在云计算的支撑下打破技术边界，合力支撑产业变革、赋能社会需求。当越来越多的价值和使命由云计算来承载和支撑时，云安全将会成为影响国家安全、社会稳定、行业安全、企业安全，以及个人的人身安全、财产安全、隐私保护等方方面面的关键因素之一，亟需在政策、管理和技术创新上加强投入。

一、云计算与云安全的发展

2006 年，亚马逊 AWS 推出首批云计算产品，包括在线存储服务 S3 和弹性计算云 EC2 等云服务，拉开了现代云计算产业发展的大幕。时至今日，全球云计算市场规模已达每年数千亿美元，涌现出了微软、谷歌、阿里巴巴、腾讯、华为等大批云厂商，涵盖公有云、私有云、混合云等基础设施，包括平台、应用等云服务。新冠疫情和数字化转型加速了广大企业上云，在海外云计算已经成为大多数企业默认的 IT 基础设施，国内的云计算市场份额预计到“十四五”末也将突破万亿。随着基础设施即服务（IaaS）云市场的逐渐成熟稳健，软件即服务（SaaS）的发展也如火如荼，各行各业的传统软件都纷纷向SaaS 在线订阅模式转型。据本翼资本预测，2025 年仅中国企业级 SaaS 服务的规模就将达到 370 亿美元。

在云计算发展早期阶段，云安全相对滞后。例如，云厂商不能很好地提供日志，合规很难解决，云安全风险成为云厂商、用户企业、监管机构等方面的最大担忧，因此难以在客户方建立信任。这在很大程度上迟滞了云计算产业发展的速度。2009 年，国际云安全联盟 CSA（Cloud Security Alliance）正式成立，发布了云计算领域的多项云安全标准和指南，与云厂商、网络安全厂商、用户企业、政府事业单位、研究机构等各领域的会员单位持续落地云安全最佳实践，为云安全的标准化和产业化发展发挥了重要推动作用。现今，各大云厂商的安全能力及合规能力都越来越成熟，安全已能够为云服务保驾护航，也不再是制约产业向云转型或企业上云的主要障碍。同时，随着容器、无服务器（Serverless）等技术的快速发展，云原生安全逐渐成为各大云厂商在云安全领域的战略重心。

二、云安全风险和态势现状

CSA 于 2020 年发布了云计算的 11 大顶级威胁：数据泄露、配置错误和变更控制不足、云安全架构和策略缺失、身份/凭据/访问和密钥管理不足、账号劫持、恶意内部人员、敲诈软件、不安全的接口和应用程序编程接口（API）、受限的云使用可见性、滥用和恶意使用云服务、元结构和应用程序结构故障等。此外高级持续威胁（APT）、尽职调查不足、拒绝服务、供应链/共享技术安全风险也是云安全的主要风险。

根据 Cybersecurity Insiders《2022 云安全报告》对上千家云客户样本企业的调查显示，2022 年云安全呈现出以下最新特征。

（一） 云客户遭遇安全事件的比例有所下降

2021 年，27% 的云客户遭遇了公有云安全事件，比 2020 年的 36% 有所下降。这表面看起来是个好现象，但是随着云计算市场的快速发展，云客户的基数也在飞速增长，再加上样本数量有限，因此比例不能代表云安全事件的绝对数量。不管是对于云厂商还是云客户，防范云安全事件都将任重道远。

（二） 云安全事件的责任绝大部分在云客户

在全部安全事件中，错误配置已经从去年的13% 上升到今年的 23%，超过用户因误泄露数据（15%）和账号遭入侵劫持（15%）成为云安全事件的主要原因，这些云安全事件约有 95% 的责任都在云客户。云客户作为云安全的第一责任人要充分理解云安全责任共担模型。要充分理解云厂商的安全能力和不足，理解各云厂商的安全最佳实践，合理设计云架构，安全上云并做好持续的安全加固和防护。在监督云厂商履行安全职责的同时，也要切实履行云客户侧的安全职责，不能都依赖云厂商。

（三） 多云占比快速提升

采用多云（两家或两家以上云厂商）的云客户从 2020 年的 62% 上升到 76%。因为不同云厂商的安全实现方式和管控粒度的差异，使得多云厂商的管理更加复杂。云客户需要对每个云厂商开展尽职调查，确保各云厂商的安全能力都能满足需求。

（四） 云原生安全关注度提升

6% 的云客户已经落地了开发安全运营一体化（DevSecOps），37% 的云客户将计划采用DevSecOps。此外使用了基础设施即代码、Serverless和持续集成持续部署（CI/CD）的云客户占比分别为44%、48% 和 44%。此外，和 Serverless 相比，容器的占比虽然只有 4%，但据《Sysdig 2022 云原生安全和使用报告》显示，超过 75% 的运行容器存在高危或严重漏洞、62% 的容器被检测出包含 shell 命令、76% 的容器使用 root 权限运行。

（五） 勒索软件成为最大威胁

勒索软件在云侧、端侧、传统网络环境中到肆意蔓延。更令人担忧的是很多企业生产系统和备份系统都用同样的管理员登录凭证（如密码），攻击者可同时加密生产系统并摧毁备份数据。云厂商在做好勒索病毒防范工作的同时需要完善数据备份策略，例如离线备份。

三、云安全的新兴技术

云安全技术随着云计算的发展不断迭代，逐步从早期基于静态规则的防御（边界防御、纵深防御等）向动态防御的思路（零信任、AI、安全智能编排等）发展。在云安全演进过程中，除了常规的资源测虚拟化安全与租户隔离技术，身份侧身份管理与访问控制（IAM）技术，数据侧加密技术、访问控制技术、数据防泄露（DLP）技术，其他云安全防御技术以外，云安全还涉及很多新技术、新理念或新方案。

（一） 云原生安全

云原生计算基金会（CNCF）认为，云原生技术有利于各组织在公有云、私有云和混合云等新型动态环境中，构建和运行可弹性扩展的应用。云原生主要包括容器、不可变基础设施（基础设施即代码）、弹性服务编排、微服务、开发运营一体化（DevOps）、CI/CD、Serverless 等技术。云原生安全作为一种新兴的安全理念，强调以原生的思维构建云上的安全建设、部署与应用，即云客户不需要进行额外的安全部署或配置就天然具备安全能力。云原生安全主要包括容器安全、微服务安全、DevSecOps、Serverless安全等。其中容器安全又包括容器本身的安全、镜像安全、编排（如 K8s）安全、注册安全、宿主操作系统风险等。Serverless 安全的本质是应用程序安全，因此首先要关注函数本身的安全，比如函数代码漏洞、依赖库的漏洞、认证授权及访问控制等。当然 Serverless 厂商视角除了保证 Serverless 运行时及以下各层的安全以外，还需要具备识别和阻止通过 Serverless 发起攻击的恶意使用行为的能力。微服务因为其松耦合的特点，使其跟单体应用程序相比具备更多的攻击面、访问控制策略也更加复杂、同时不同微服务之间的请求追踪难度也更大。这些特点都会导致其安全成本的增加。

（二） 零信任

零信任的理念是“从不信任、始终验证”，主要包括现代 IAM、微隔离、软件定义边界（SDP）三大核心技术。其中现代 IAM 以身份为中心、对资源实现动态验证和授权，通常采用基于属性的访问控制进行细粒度的动态权限控制，例如通过访问终端的类型、位置、时间等多个维度进行授权。微隔离可以实现不同工作负载之间东西向流量的细粒度访问控制，可以实现工作负载之间点到点的策略管控。SDP 打破了传统物理网络的安全控制边界，通过单包授权认证（SPA）技术实现网络资源的隐身，只有通过认证的终端才能与后端资源建立动态连接，当访问结束时及时断开连接，从而实现南北向流量的保护。SDP 适合远程办公等场景，尤其是新冠疫情暴发以后，SDP 在远程办公方面的优势进一步提升。

（三） DevSecOps

DevSecOps 是 Development、Security 和 Operations的缩写，是 DevOps 的安全延伸。DevSecOps 在开发运维中融入安全管理的实践，实现在云计算平台中快速、安全地进行软件持续交付。DevSecOps 跨越整个 IT 堆栈，包括网络、服务器、容器、云和应用程序安全性。所有这些层都越来越多地转变为软件，这使得应用程序安全性成为 DevSecOps 的焦点。DevSecOps 是完整的安全开发生命周期：涵盖整个软件生命周期，包括开发和运营。在开发过程中，重点是识别和预防漏洞，而在运营中，监控和防御应用程序是目标。

（四） 安全访问服务边缘（SASE）

SASE 概念由 Gartner 在 2019 年首次提出，是指将软件定义广域网（SD-WAN）与网络安全功能相结合，由单一服务商以云的形式交付。SASE 将安全 Web 网关（SWG）、云访问安全代理（CASB）、防火墙即服务（FWaaS）、零信任网络访问（ZTNA）结合，综合基于实体的身份、实时上下文、企业安全/合规策略，以一种持续评估风险/信任的服务形式来交付，其中实体的身份可与人员、人员组（分支办公室）、设备、应用、服务、物联网系统或边缘计算场地相关联。

（五） 云访问安全代理（CASB）

CASB 由 Gartner 在 2012 年提出，目前在国外被广泛使用。美国国家标准技术研究院（NIST）和安全机构 SANS 在标准和指南中把 CASB 作为云安全的必须解决方案。CASB 位于云服务使用者和云厂商之间，在各种云服务界面结合和插入企业安全策略。CASB 解决方案整合了多种类型的安全策略 . 例如身份验证、单点登录、权限控制、身份属性和权限映射、设备指纹、数据加密、令牌、日志记录、恶意软件检测/预防等。CASB 跨多个云服务同时提供策略和治理，并提供对用户活动的精细可见性和对用户活动的控制。

（六） 云工作负载安全防护平台（CWPP）

CWPP 概念是保护云上工作负载（如云主机和容器）的安全产品和解决方案，包含主机入侵防御（HIPS）、终端防护中心（EDR）、杀毒等 10 多个细分技术领域。

（七） 云安全态势管理（CSPM）

CSPM 被 Gartner 定义为一个可以降低攻击成功率的持续的云安全改进和适应过程。CSPM 通常用于保护 IaaS 多云或混合云，侧重于身份/安全/合规、安全监测与分析、多云资源管理、成本控制、配置风险发现等领域。

四、云安全的新趋势预测

伴随着云计算的越来越广泛的应用场景和技术发展，云安全也呈现出新的发展变化。

（一） 云安全的下半场是云原生安全和云应用安全

随着云原生市场如火如荼地发展，云原生安全也水涨船高。各大云厂商尤其是 IaaS 厂商已经将云原生安全作为云安全的战略重点。此外 SaaS 市场也达到了爆发的拐点，各垂直领域软件厂商都纷纷向 SaaS 转型，因此 SaaS 安全也会成为云安全下半场的焦点。

（二） 基于 Serverless 的分布式攻击增加

因为 Serverless 弹性、轻量级和冷启动的特点，如果利用 Serverless 发动分布式网络攻击，溯源将会变得很困难。另外通过 Serverless 发起攻击的门槛很低，开发人员都可以操作。因此 Serverless 将受到越来越多攻击者的青睐。

（三） 机器身份的安全威胁持续增长

机器身份是指分配给非人类网络实体（例如设备，应用程序，进程等）的拥有特权的唯一标识，例如数字证书。随着机器身份的爆炸式增长，越来越多的攻击者将利用机器身份的合法性获得系统的高权限，并进行相关的攻击或破坏活动。

（四） AI 技术提升攻击的隐蔽性

利用 AI 技术发起的攻击通常自动化程度高，经过模型训练可以使攻击行为无限接近真实访问行为，具备很强的隐蔽性，给攻击检测带来巨大挑战。

（五） 利用区块链匿名性发起的攻击溯源困难

区块链的匿名性如果被用来发起网络攻击或者开展非法交易，将很难进行攻击溯源。

五、云安全相关的法律、政策、标准及认证

云安全的发展离不开相关标准引领，CSA、ISO 等国际组织在云安全发展过程中发挥了重要作用，一些国家和地区也制定了云安全相关的标准。从云安全评价的角度，也出现针对云厂商组织或产品视角的云安全体系认证或产品认证。

（一）CSA

2009 年，CSA 发布了首个云计算安全的最佳实践《针对云计算重点领域的安全指南》，从管理和技术等方面告知从业人员应该如何保障云安全，成为云安全建设与云安全管理领域的最佳实践。2010年，CSA 发布云控制矩阵（CCM），这一个针对云安全的控制框架，映射了大量法律法规和国际标准的要求，涵盖了云技术的所有关键领域。它可以作为对云计算安全实施系统评估的工具，并为实施云计算安全控制提供指导。2013 年，CSA 正式发布了基于云端安全控制矩阵的云安全、信任、保障和风险（STAR）认证，成为全球云安全领域的通用安全评估认证。2016 年，CSA 大中华区发布了产品级云安全标准（CSTR）。2018 年，CSA 提出了《CSAGDPR 合规行为准则》，为欧盟 GDPR 合规提供了一致和全面的框架，帮助云厂商实现 GDPR 合规。2021 年，CSA 发布云计算可信厂商（TCP）标识，已有华为、亚马逊、微软等数十家云厂商获此认证。2022 年，CSA 大中华区发布了云安全技术标准 2.0、云应用安全技术规范（CAST）和云原生安全技术规范（CNST），同时联合我国公安部第三研究所发布了针对云原生和云应用的安全可信认证。

（二）ISO

国际标准化组织 ISO/IEC 以 ISO27001 为核心，形成 ISO 27000 系列标准，覆盖信息安全主题的不同领域，包括云计算安全标准 ISO27017 和云隐私安全标准 ISO27018。

ISO 27017 是专门针对云服务信息安全的实用标准，为云厂商和云服务客户提供特定的信息安全控制及实施指南。ISO 27018 是首个专注于云中个人信息保护的国际行为准则，提出适用于公有云的个人可识别信息（PII）控制体系，旨在补充 ISO 27002中的满足公有云 PII 保护要求的安全控制措施。

（三）中国

2014 年，GB/T 31167《信息安全技术 云计算服务安全指南》与 GB/T 31168《信息安全技术 云计算服务安全能力要求》两项云安全标准正式发布，适用于对政府部门使用的云服务进行安全管理，还适用于指导云厂商建设安全的云平台和提供安全的云服务。2017 年，正式施行的《网络安全法》第二十一条，明确“国家实行网络安全等级保护制度”。网络安全等级保护标准 GB/T 22239《信息安全技术网络安全等级保护基本要求》，以信息系统为评估对象，包括基础信息网络、云计算、移动互联、物联网、大数据和工业控制系统等各个领域。2019 年，国家网信办等四部门发布了《云计算服务安全评估办法》，对采用和提供云服务提出了严格的安全要求。2021 年，《数据安全法》《个人信息保护法》正式实施，共同构建了国家数据安全防线，也适用于云安全的相关安全保护。

（四）美国

2011 年，在 RSA 大会的 CSA 峰会上，白宫首席信息官代表美国联邦政府发布首个美国国家云计算战略，之后美国要求为联邦政府提供的云计算服务必须通过安全审查。为此美国启动了联邦风险及授权管理（FedRAMP）项目，其审查标准是《云计算安全基线》。目前，美国已有数十项云计算服务通过了安全审查。2011 年，CSA 还将云计算参考架构交接给 NIST 发布并维护。2014 年，NIST 又发布了网络安全框架（CSF）, 以便企业和云厂商根据自身需求加强网络安全防御。

（五）欧盟

2012 年，欧盟在 CSA 的协助下，提出了欧洲云计算战略，之后欧盟网络与信息安全局（ENISA）发布了《政府云安全框架》的指导性报告。

2016 年，德国发布云安全国家标准 C5（CloudComputing Compliance Controls Catalog）云计算合规性标准目录，它由德国联邦信息安全局 （BSI） 制定，旨在基于标准化的检查和报告证明云厂商的安全性，并于 2020 年根据 GDPR 等新要求进行了更新。

（本文刊登于《中国信息安全》杂志2022年第5期）