近日,为落实美国第14028号行政命令“改善国家的网络安全”,美国联邦政府责成网络安全和基础设施安全局(CISA)牵头与美国数字服务部(United StatesDigital Service)和FedRAMP共同发布了《云安全技术参考架构》,正在公开征集公众意见。
美联邦政府为跟上现代技术的进步步伐和应对不断变化的网络安全威胁,持续推进信息系统向云上迁移。该文件提供了更详细的云安全架构参考,给各机构采用云技术提供指导,以改善政府及机构的网络安全状况。在美国政府其他相关政策文件中,零信任被认为是一种非常理想的安全模式,因此CISA对自身的网络安全计划、服务和能力基于零信任架构进行改造,以便在云计算环境更好的运行。同时该文件强调了在向零信任架构演进时,使用云服务的优势和潜在风险。
该技术参考架构为采用云服务的机构提供以下指导:
该云安全技术架构分为三个主要部分,协同工作支持云安全现代化的总体目标。
>>共享服务:标准化基线,以评估云服务的安全性。
>>云迁移: 云迁移时采用的策略和注意事项,包括对常见迁移方案的解释。
>>云安全态势管理: 定义云安全态势管理态管理(CSPM),并列举在云环境中进行监测、开发、整合、风险评估和安全事件响应的相关安全工具。
云安全技术参考框架组成和协作关系
本文围绕该文件中对云服务模型的定义、标准化安全和风险评估方法、基于零信任的原则构建集中式云安全服务、云安全态势管理CSPM四大关键点进行解读。
美国国家标准与技术研究所(NIST)定义了云服务模型和云部署类型。
云服务模型分三种,分别是SaaS(软件即服务)、PaaS(平台即服务)、IaaS(基础设施即服务)。但随着云的发展,包括桌面即服务(DaaS)、安全即服务(SECaaS)、人工智能即服务(AIaaS)、容器即服务(CaaS)、灾难恢复即服务(DRaaS)、物联网即服务(IOTaaS),位置即服务(LaaS)、监测即服务(MaaS)、统一通信即服务(UCaaS)和工作空间即服务(WaaS)等概念越来越多,使云上业务的维护和安全问题更加复杂。
云部署类型分四种,分别是私有云、社区云、公有云和混合云。在不同需求的用户、应用场景下,面临的云安全问题各不相同。
因此,在采用云服务时,各机构必须确定如何为每项服务实施身份验证和访问管理等安全服务,以及实施时间和方式,包含多因子认证(MFA)与单点登录等服务。
标准化的安全和风险评估方法
该文件指出,应当为云提供持续的标准化安全和风险评估方法。在对访问进行授权之后,机构也应当通过持续的监测掌握安全状况的变化,并进行必要的安全事件处理。
持续安全监测:访问获得授权后,可能由于云服务产品的硬件或软件发生变化、出现新的漏洞等原因,导致机构的信息系统安全态势动态变化。持续进行安全态势评估和动态授权,以便做出基于风险的决策。应当持续监测云服务产品,以感知系统安全态势的变化,从而实现基于风险的正确决策。
安全事件处理:确保安全事件处理透明化,使所有相关方了解当前安全状态和补救措施。明确报告信息安全事件发生时的应对步骤,包括对发布紧急指令的响应,同时必须报告安全事件的准确数据,以便能够采取全面措施保护重要数据。
基于零信任原则构建集中式云安全服务
按照该行政命令的要求,各机构应当基于零信任原则构建集中式的云安全服务,并进行合理授权。
各机构应部署集成的集中式安全服务,减少被攻击面。团队内部共用安全服务,既可以节省资金和时间,又可以专注于更有价值的业务。机构可以批量采购云基础设施,然后根据需要向不同的团队提供访问权限,从而实现访问控制安全,并帮助新团队快速开始使用这些基础设施。需要说明的是,身份识别与访问管理(IAM)若采用单点登录的方式,是一种理想的服务接入方式。
迁移到云上部署的系统应当采用零信任体系架构,零信任架构采用“以数据为中心”的网络安全策略,始终保护云上数据,以及在云上传输的数据。应重点加强基础网络安全能力,包括身份管理、资产管理、网络安全、数据保护、应用程序安全和可视化等,并集成到本地环境和云中。可采用云安全态势管理工具CSPM支持机构向零信任安全架构过渡。
该文件指出,最重要的一点是机构应该构建一个有效的身份管理解决方案,使得可以跨云和内部部署环境提供全球身份感知,机构在整个身份生命周期中使用CSPM功能提供监测和分析,并确保为部署的服务自动配置访问控制功能。应集成资产和漏洞管理,尽可能采用自动化云部署方法。要求机构确保用于访问服务和数据的设备的完整性,包括云部署中的设备。此外,CSPM工具可用于收集漏洞数据并强制执行法规遵从性。
集中式云安全服务应当授予不同用户最小合理权限。云架构应当提供业务所需的基于角色(RBAC)的访问控制能力,并增强监测和审核访问的能力。访问权限应实时更新以降低安全风险,这也是零信任体系架构的一个重要特性。零信任架构可以提供动态的、细粒度的访问控制能力,也可以进一步综合灵活运用RBAC(基于角色的访问控制)、ABAC(基于属性的访问控制)、PBAC(基于策略的访问控制)等技术实现云上自动化的动态细粒度访问控制。
云安全态势管理CSPM
鉴于云上环境越来越复杂、云服务提供商和相关工具越来越多、系统漏洞风险及影响越来越大,为免受网络安全威胁,各机构应当主动对云环境进行管理和监测,提高其整体安全能力与风险承受能力。随着更多业务迁移上云,需要使用自动化工具全面监测云环境、发现威胁、响应异常事件、实施云安全管理、实现更细粒度的访问控制和保护。
该文件指出,可通过CSPM(Cloud Security Posture Management,云安全态势管理)实现持续跟踪新出现的威胁、防止错误配置、降低安全事件或数据泄露风险,不断优化机构的网络安全态势。
CSPM支持实现以下目标:满足合规性要求、政策和标准要求、权限控制和身份访问管理、数据安全防护、基础设施和应用程序保护、系统健壮性和资源监测、事件响应和恢复等;监测云环境的持续过程、识别告警处置云漏洞、改善云安全等等,主要功能包括:安全和风险评估、持续监测和报警、IAM、基于人工智能和机器学习的安全功能等。
此外,CSPM的扩展功能可让机构根据自身需要选择最适合的功能选项,以便保持对其服务安全性的态势感知,且此部分功能同时支持独立与集成部署两种方式,主要包括:身份和访问管理、边界安全防护、流量及日志采集、安全监测、API安全能力、自动化编排能力等等。
天融信基于零信任架构的云安全解决方案
针对美国联邦机构描述的云安全业务的最新发展趋势,()立足于在云安全和零信任方面的长期积累,构建了先进的“云安全+零信任”解决方案。方案以天融信云安全资源池系统为基础,以控制服务平台为核心,充分发挥安全态势分析与安全运营系统的能力,同时集成天融信终端安全能力、云安全能力和零信任解决方案等,形成云上的零信任安全能力。
该方案以身份为中心,运用大数据分析、知识图谱等关键技术对云安全威胁的预警、防护、检测和响应及对业务访问的全面理解、建模、分析、响应等措施,综合评估云环境安全,建立自动化、层次化合规模型,全面监测安全态势,在业务隐藏、隔离的基础上实现动态访问控制。最终通过资产、行为、合规、威胁及脆弱性综合分析与可视化呈现,实现云安全体系的可视管理与全面运维,同时满足我国“等保2.0”和数据安全等合规性要求,适应客户持续发展的业务需求。
天融信 “云安全 + 零信任”解决方案架构
目前,天融信云安全业务已拥有虚拟化安全网关、容器安全、安全资源池、云工作负载保护平台等面向私有云、公有云、混合云以及分布式云场景的10余款云安全产品,构建了覆盖物理边界层、虚拟网络层、数据中心层和监管层的“云+网+端”纵深主动防御体系,实现针对不同云计算场景下的安全能力通过云安全管理中心实现统一纳管、统一运维,以此实现混合云架构下的安全策略一致性以及安全统一管理。
同时,天融信积极推进产业协作,助力产业标准化、规范化发展。天融信与腾讯共同发起“零信任产品兼容性认证计划”并率先完成产品兼容性互认证,基于在零信任领域持续投入而形成的多场景零信任安全解决方案多角度入选CSA大中华区《2020中国零信任全景图》。此外,在今年7月的可信云大会上,天融信当选为“零信任标准推进和测评实验室”副理事长单位,持续推进零信任生态建设与技术发展。
点击联系发帖人
