一种基于多云风险评估的安全监管模型
云计算平台广泛应用于金融、交通、医疗、电力、教育等行业,尤其在新冠肺炎疫情影响下,用“云”量呈几何级数增长,应用场景广泛、部署模式多样化。而资源相对集中、接口标准不统一、数据格式不一致、接口版本迭代快、安全防护要素多等特点,使其成为安全防护的薄弱区域,安全防护设备难以全面兼容,安全防护手段难以深入云内部,难以实现精细化、全要素安全防护。同时,现有的云资源模型仅围绕资源管理调度进行设计,无法满足云安全防护的整体需求,亟需针对云平台安全防护的特点和要素,建立统一的云安全资源模型。
1、云安全现状概述
当前,云安全现状包括云安全标准规范、云安全研究现状、云安全产品现状,通过对这3 个方面进行分析和总结,发现云安全防护的问题和不足。
1.1 云安全标准规范
2017 年 7 月, 云 安 全 联 盟(Cloud Security Alliance,CSA)发布《云计算关键领域安全指南 4.0》,该指南从治理和运行两个角度,描述云计算安全的关注领域,解决云计算环境中战略和战术安全的“痛点”,从而获得可应用于各种云服务和部署模式的组合。CSA 在云安全指南基础上推出的“云安全控制矩阵”(Cloud Control Matrix,CCM),成为云计算信息安全行业的黄金标准。CCM 提供了评估云提供商整体安全风险的基本安全准则,通过对其他行业标准和监管要求的定制,CCM 在 16 个安全域内构建统一的控制框架,通过减少云中的安全威胁和弱点来加强现有的信息安全控制环境,提供标准化的安全和运营风险管理,并寻求将安全期望、云分类和术语体系,以及云中实施的安全措施等标准化。
2013 年 5 月,美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)发布 SP 500-299《NIST 云计算安全参考框架(NCC-SRA)》,提出了云计算安全参考架构,描述云中不同角色的安全分工,对联邦政府机构构建安全的云环境提供指导。
2017 年 12 月, 我 国 发 布 国 家 标 准 GB/T35279—2017《信息安全技术 云计算安全参考架构》,规范了各个角色的安全职责、安全功能组件及其关系,指导云计算系统建设规划时对安全的考量和设计。2019 年 5 月,我国发布国家标准 GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》,根据不同安全等级,对云计算安全提出了对安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全建设管理、安全运维管理等方面的要求。
1.2 云安全研究现状
目前,针对云安全的研究主要聚焦于云安全标准研究、云安全风险研究和云安全防护体系架构研究,从标准要求、安全风险及其防护思路出发,设计云安全防护系统,但是欠缺对云安全手段够不够、云安全防护能力足不足的感知和评估。
1.3 云安全产品现状
当前,业界的云安全产品众多,名称相差极大。从功能上划分,主要包括云资产发现、云风险监测、云漏洞扫描、云合规基线、云安全防护、云风险评估、云安全管控等安全产品。各安全厂商根据企业的技术特点和不同的用户场景,基于上述产品功能推出了融合或超融合的云安全产品。
各类云安全产品受限于云平台厂商类型、版本迭代等情况,因其适应性各不相同,体系性也各有侧重,致使云安全防护能力建设呈现局部化、片面化、形式化等问题,缺乏云安全能力体系化设计、指导和评判。
2、多云安全监管模型设计
多云安全监管模型从云安全监测、评估和管控角度,可划分为云安全状态监测层、云安全融合评估层和云安全综合管控层,如图 1 所示。
图 1 多云安全监管模型
2.1 云安全状态监测层
云安全状态监测层从云外部网络、云计算节点、云平台接口、云资源对象 4 个维度,分别划分为云接入安全监测、云节点安全监测、云接口安全监测和云资源安全监测,采集云外部安全数据、云节点安全数据、云安全管控数据、云安全资产数据和云资源安全数据。
2.2 云安全融合评估层
云安全融合评估层主要是基于多种云安全评估引擎,将采集到的安全数据进行迭代分析,形成云资产运行状态矩阵、云资产操作行为矩阵、云资产网络行为矩阵和云资产安全事件矩阵,进而关联分析,形成云安全风险矩阵,快速定位存在安全问题的云资产。
2.3 云安全综合管控层
云安全综合管控层通过构建云安全专家知识库,并基于云安全风险矩阵关联分析,深度发现云内安全问题,生成云安全防护策略并推送至第三方安全策略配置系统,推荐云安全防护建议给云安全管理员,生成云安全防护预案推送至第三方云安全载荷投递系统和第三方安全策略验证评估系统。
3、云安全监测机制
云资源安全监测机制从云资源安全监测、云接口安全监测、云节点安全监测和云接入安全监测 4 个维度,采集云安全状态数据。
3.1 云资源安全监测
云资源安全监测采用轻量化代理设计,降低终端 CPU、内存、磁盘资源占用率。将轻量化代理放置于虚拟机操作系统内部,通过容器Sidecar 机制,将容器轻量化代理放置于容器实例旁路,轻量化代理程序在用户空间运行,捕获虚拟机、容器实例的状态信息,包括系统资源状态、进程运行状态、网络通信流量、网络通信关系等。通过资源使用状态、资源占用情况、资源变化规律等分析监测云资源的安全异常。
3.2 云接口安全监测
通过建立云安全资源模型,设计多层次的接口适配,第一层适配器对接华为云、阿里云、腾讯云、电科云、华三云等多种云平台接口;第二层将不同云平台的资产信息转换为云安全资源模型中的不同要素;第三层将转换后的云安全资源数据入库。该模型将云内资产分为实体资产(服务器、存储设备、网络设备、云组件等)和虚拟资产(虚拟机、容器、云服务、云租户、云存储、云网络等),将云内资产与安全资源(安全域 ID、身份 ID、策略 ID 等)建立映射关系,通过该模型对不同云平台的资源信息进行转换,实现云资源信息的统一采集。该模型持续监测非法资产、非授权访问、资产异常互访等安全风险。
3.3 云节点安全监测
云节点安全监测以轻代理的方式将监测程序部署在云平台宿主机操作系统中,用于采集云平台核心组件、进程的运行状态、操作行为和网络行为。
基于虚拟机内省技术,在虚拟机外部对虚拟机内部的运行状态和系统信息等数据进行采集,包括 CPU 状态、内存、磁盘、网络信息等。通过分析系统状态(软件状态和硬件状态)来探测和检查虚拟机的内部状态,实现对虚拟机对象全面彻底的观察和监控,及时发现虚拟机运行异常、内部资源使用异常、网络流量异常等安全问题,同时实现对虚拟机内部的透明性,降低终端 CPU、内存、磁盘资源占用率,从而提高自身的安全性和执行效率。
3.4 云接入安全监测
通过在云节点外部网络部署网络探针的方式,采集外部终端与云平台、虚拟机、容器的访问请求、网络连接和网络流量信息。监测各类网络威胁和恶意代码流量。
4、云安全评估机制
云安全评估机制通过构建云安全评估框架,集成云安全策略效能评估、云安全合规检测和云安全风险挖掘等多种云安全评估引擎。使用者可以按需组合不同云安全评估引擎,以流水线的方式串接不同云安全评估引擎,迭代分析云资产数据和云安全数据,生成云安全风险矩阵。
4.1 云安全策略效能评估引擎
云安全策略效能包含策略合理性和策略有效性。策略合理性是指在云平台不同安全防护点,评估云安全防护策略是否重复配置、是否配置冲突等问题,比如在云防火墙和云平台安全组配置的访问控制策略冲突;策略有效性是指通过探测手段,判断访问控制策略是否生效,同时综合在云平台不同安全防护点配置的访问控制策略,若允许访问,设置为“通道”,若不允许访问,则设置为“墙壁”,生成类似迷宫的模拟环境,再基于深度强化学习智能体,自动游走迷宫环境中各个点位,结合已配置的访问控制策略和实际生效的访问控制策略,发现大规模、复杂化、人为影响导致的策略配置问题,评估是否达到防止非法访问的能力,产生云资产安全事件。
4.2 云安全合规检测引擎
云安全合规检测引擎基于等级保护标准规范约束的安全合规要求,以及企业基于业务现状构建的安全基线,制定合规检测项,再根据检测项生成检测任务。由检测任务从云外部安全数据、云节点安全数据、云安全管控数据、云安全资产数据和云资源安全数据中,发现不合规问题,产生云资产安全事件。
云安全合规检测引擎包含云硬盘加密合规检测、镜像运行状态合规检测、安全组配置合规检测、高危端口合规检测、虚拟机运行时间合规检测、实例镜像合规检测、网络状态合规检测、模板类型合规检测等,并按需扩展规则解析能力。
4.3 云安全风险挖掘引擎
云安全风险挖掘引擎基于层次分析法与模糊综合评价法,构建云安全综合评估模型。通过对云安全风险综合分析,将云资产数据与云外部安全数据、云节点安全数据、云安全管控数据、云安全资产数据和云资源安全数据关联,基于模型评估云安全功能完备程度和云安全要求符合程度,生成云安全风险矩阵和评估报告,给出云安全风险评分和风险点分布,作为云安全能力评估的最终结果。云安全综合评估模型如图 2 所示。
图 2 云安全综合评估模型
(1)建立云安全综合评估指标层次结构模型。以云平台的安全性为决策目标,将云安全评估指标模型的指标要素分解为目标层、判断层、指标层和方案层,建立如图 3 的层次结构模型。第一层要素为评估目标,对应云平台的安全性;第二层要素为评估判断,对应安全合规检查中的测评类准则;第三层要素为评估指标,对应安全合规检查中的测评子类指标;第四层要素为评估方案,对应安全合规检查中的安全控制点,是决策目标进行安全评估的具体方案指标。用于风险要素权重评估的递阶层次结构共分为 3 层:第一层为目标层 R;第二层为判断层
;第三层为指标层
为
的第
个元素。
图 3 云安全综合评估指标要素分解
(2)确定判断层对目标层的权重。根据层次模型中的关联关系,依据 Satty 提出的 9 级标度法,通过在各层元素中进行两两比较,构造出云安全综合评估指标判断矩阵。云安全综合评估指标判断矩阵表示本层次因素间针对上一层次因素的相对重要性比较。云安全综合评估指标判断矩阵是层次分析法的基本信息,也是进行相对重要性计算的依据。
以
为例,通过云安全专家进行两两比较,评估判断层各元素对于目标层的重要性,基于三角模糊数方法构造出判断层对于目标层的模糊判断矩阵,如表 1 所示。
表 1 云安全综合评估指标判断矩阵
对各模糊判断矩阵,计算其第 i 个元素
相较于其他各元素的重要性程度为:
式中:n 为元素总个数;
为通过模糊矩阵得到
的综合重要程度值;
为
重要性大于
的可能性程度值。由此得出判断层各元素对于目标层的重要度权重向量为
归一化之后的权重向量为
。对上述
的计算结果为
。
(3)确定指标层对于判断层的权重。指标层对于判断层的模糊判断矩阵的构造原理与判断层对目标层的模糊判断矩阵的构造原理相同。由之前计算判断层各元素对于目标层排序权重分别为
,若判断层第i 个元素
包含 m 个指标层因素,同样的方式计算指标层对于判断层权重为
。
(4)确定指标层对于目标层的权重。前文进行的是层次单排序,为了得到最底层次所有元素与最高层间的相对重要性比较,还须在单排序的基础上进行风险因素的总排序。此时,指标层对于目标层的权重为:
式中:n 为判断层元素个数;m 为第i 个目标层元素下的指标层元素个数。
根据云安全综合评估模型确定的评判矩阵计算出每个云安全风险点的评分权重 A,采用计数减分方法进行云安全风险评分,根据云安全综合扫描结果判断云安全风险点是否计分,对云安全风险点对应的扫描结果进行“&&”操作,若云安全风险点对应的检测规则全部通过,则判断该风险点为安全;反之,则判断为风险点存在风险。具体判断规则如图 4 所示。
图 4 云安全风险点风险判断规则
对通过检测的云安全风险点进行计分,单个云安全风险点计分的基准为 5 分,结合上述模型计算的每个云安全风险点的评分权重 A ,得出单个云安全风险点计分为5A 。在不同的云平台安全防护等级中,相同的风险点造成的危害不尽相同,防护等级越高危害越大,因此,云安全风险点计分增加防护等级调整因子I ,具体调整因子如表 2 所示。
表 2 云安全风险点计分调整因子
定义 P 为云安全风险评估得分,n 为未通过安全风险评估的风险点数量。上文计算 A 取值在 0.011~0.057 之间,云安全风险评估的百分制计分规则为:
云安全风险评估得分 P 采用百分制计分,计分结果表示云平台安全程度,具体云平台安全程度对应关系如表 3 所示。
表 3 云平台安全程度对应关系
5、云安全管控机制
云安全管控机制通过搜集业界云安全产品和方案,形成云安全产品目录和云安全专家知识图谱,并从云安全风险出发,基于智能算法决策和推荐云安全防护策略、云安全防护建议和云安全防护预案,对云安全运营提供智能辅助。云安全综合管控机制如图 5 所示。
图 5 云安全综合管控机制
5.1 云安全防护策略
云安全防护策略包括云防火墙、云网站应用防火墙、云入侵检测、云漏洞扫描、云主机综合防护等云安全软件的防护策略。基于云资产运行状态和云安全综合评估,进而关联分析,生成应对具体云安全风险的云安全防护策略。
5.2 云安全防护建议
云安全防护建议基于向量空间模型(Vector Space Model,VSM)、逆文档频率(Term Frequency- Inverse Document Frequency,TF-IDF)算法等,云安全资源库中的云安全产品和云安全知识图谱的信息内容特征化,基于云安全风险矩阵中的关键信息,进而关联分析、推荐云安全产品、云安全建设方案和云安全防护规则。
5.3 云安全防护预案
云安全防护预案基于云安全风险、云安全产品目录和云安全知识图谱,生成云安全载荷投递预案和云安全策略强化预案。云安全载荷投递预案输出云安全防护服务部署配置清单,由云安全管理员确认后,投递至安全服务平台完成部署;云安全策略强化预案输出云安全防护策略配置清单,由云安全管理员确认后,提交至第三方安全策略验证评估系统完成防御效能验证。
6、结 语
基于多云风险评估的安全监管模型,实现云资产数据和云安全数据采集和融合,通过层次化分析方法和模糊综合评估法挖掘云平台的安全风险,进而结合云安全专家知识库,推荐适用的云安全防护策略、建议和方案,有效应对当前云平台呈现的“黑盒”情况,辅助云安全管理员快速定位分析问题和获取解决方案,提升云安全运营过程中安全防护的效率和质量。
