近年来，随着云服务市场的发展，不少企业都开始选择业务上云。特别是新冠疫情在全球蔓延加快了这一趋势。许多企业不只采用一种云服务，而是采用多种云相互结合的方式，例如，公有云、私有云、混合云等等。企业采用多云方式已发展成当今的主流趋势。

然而，业务上云之后也并非高枕无忧。由于云安全策略的制定总是滞后于云服务的使用，存储在云中的客户数据所面临的泄露风险也相应增加。此外，云服务还面临多账号权限管理、可视化问题以及一系列合规问题。如何在复杂的云环境中守护云安全成为一个棘手的问题。

如何在复杂的云环境中守护云安全

图片来源：韩国安全新闻网站

一、由于新冠疫情的蔓延，加速以云服务为中心的数字化转型

由于新型冠状病毒的全球蔓延，非接触的数字化服务已经在我们的生活中生根发芽。远程办公已成为一种普遍的工作环境，在线服务也成为企业和消费者之间具有代表性的服务方式之一。企业也顺应这一趋势，为保持业务连续性，正在使用云服务来灵活应对快速变化的业务环境。通过云服务，企业可以即时使用自己所需要的基础设施、平台、软件等，并根据需要扩展各种功能和性能等，以满足快速变化的业务需求。只要有可以使用互联网的场所和设备，企业员工就可以随时通过云服务进行业务工作。

现如今云服务的形式和类型多种多样。例如，存储文件的云存储（谷歌驱动器、N驱动器等）、定制型办公软件或企业集团软件服务（谷歌G Suite、微软365、Gabia Hiworks等）都是一种SaaS（软件即服务）。无论是租赁服务器或存储设备等基础设施来构筑网站或企业用服务器基础设施，还是企业为业务工作向职员提供的桌面虚拟化（VM软件、Citrix等），都是以云服务为基础，远程向用户个人提供一定桌面环境的“IaaS（基础设施即服务）”方式之一。例如，当前对我们来说必不可少的疫苗接种预约系统就是通过云服务来减少系统负荷、有效提高工作效率的典型案例。像这样，今天我们在不知不觉中正在使用多种云服务。

选择使用云的企业的一个共同的目标是最大限度地提高效率。企业试图通过基础设施阶段的灵活处置，努力寻找优化自身服务和提高工作效率的方法。服务环境不是基于本地原有的应用程序，而是基于云服务的应用方式，开发最适合云服务的“云原生”应用程序，最大限度地发挥容器和无服务器等云环境的特点。

二、针对云服务的安全威胁正在迅速增加

随着企业数据中心向云环境的正式转换，对云基础设施提出了各样复杂的安全要求。那么，云端发生的安全事故应该由谁来承担责任呢？根据云运营商的责任共担模式（Shared Responsibility），计算、存储、数据库和互联网等硬件及基础设施的安全由云运营商负责，数据、应用程序、操作系统、网络及防火墙设置等的安全由客户负责。换句话说，在组织成员缺乏安全意识的情况下，仓促引进云服务，很容易受到信息泄露或勒索软件攻击等各种安全事故的影响。云端发生的大多数安全事故不是来自云服务提供商，而是来自使用云服务的企业本身管理不善。如果访问云服务的凭据没有得到妥善管理，网络攻击者不仅可以访问和泄露企业的重要数据，还可以通过窃取管理者权限向整个系统移动，并展开勒索软件攻击。

实际上，凭据窃取引发的安全事件是针对云服务的代表性威胁，攻击者为此使用网络钓鱼（Phishing）、凭据填充（Credential Stuffing）、暴力破解（Brute Force）、字典攻击（Dictionary Atttack）等多种手段窃取凭据。此外，安全设置不足也是常见的云安全事件。有通过云计算运营的企业数据库在公开的路径上发布后暴露给外部的事例，也有未应用MFA（多要素认证）等访问控制策略，从而导致来自内部和外部的未授权擅自访问的情况。说得简单点，如果把门锁密码设定为1234，就很容易被盗。

据韩国《安全新闻》和《安全世界》近期进行问卷调查结果显示，在受访企业中，79.51% 的韩国企业已经使用了云服务（46.46%）或计划在未来使用云服务（33.07%）。但同时他们也表明了对数据泄露、管理疏漏、运营能力不足等安全方面的担忧。

如何在复杂的云环境中守护云安全

图片来源：韩国安全新闻网站

三、加强云环境安全的首选——CWPP（云工作负载保护平台）

由于“云安全”的概念所涉范围非常广，目前比较流行的是Gartner公司提出三类云安全产品——CASB（Cloud Access Security Brocker，云访问安全代理）、CSPM（Cloud Security Posture Management，云安全态势管理）和CWPP（Cloud Workload Protection Platform，云工作负载保护平台）。

CASB是Gartner公司在2012年提出的概念，是一种部署在云端和用户之间以监视所有活动并应用安全策略的解决方案。确保云和应用程序的可视性，实现数据保护及支配结构来控制用户访问，同时保护企业数据资产。

CSPM是一种评估及管理云服务配置风险因素的解决方案，能够自动识别错误的安全配置或合规性问题并进行警告。Gartner将CSPM描述为一种自动化安全并确保合规性的安全产品。通过这些可以减少数据泄露的可能性，保护云环境。

CWPP是一种以服务器工作负载为中心的安全解决方案，其主要目的是确保对工作负载的可视性并防止攻击。根据Gartner的说法，CWPP应对物理计算机、虚拟机器、容器、无服务器工作负载等提供统一的控制和可视化服务。此外，它还应该能够通过保护系统完整性、细化访问区域的网络分段、保护内存、监控用户行为、防止基于主机入侵和阻止恶意软件等，保护工作负载免受在程序运行区域发生的攻击。

一般来说，传统环境下使用的技术很难完全应用于云环境中。在传统和封闭的企业环境下开发的应用程序及基础设施无法完全转移到云端。此外，大部分人不仅使用私人云，还使用多云或混合云环境，该环境使用来自多个供应商的云服务。在这种多云环境下，安全负责人确认和管理组织应用程序和数据所在的位置将会变得更加复杂。尤其是最近，越来越多的公司开始采用DevOps文化，通过开发和运营组织之间的有机协作来快速解决问题。在这种企业文化中，软件和服务的开发和部署速度比过去更快，安全人员需要管理的点也更多。

为了在这样的环境中使用企业服务，必须确保对工作负载保持统一的可视化。为此，应将应用软件和服务放在安全计划中心。CWPP支持在日益复杂的云环境下，在单一控制台中确保对多个云服务的可视化，并可进行安全控制管理。这完全符合企业对云环境安全的需要。

全面的 CWPP 解决方案使安全人员能够发现部署在私有云和公有云环境中的工作负载，并对工作负载进行漏洞评估。根据漏洞评估结果，不仅可以进行完整性保护、白名单、内存保护以及防止基于主机的入侵等安全措施，还可以根据需要进行勒索软件检测。随着环境的变化，越来越多的企业从CWPP入手，它已成为云环境安全的基础。

四、Gartner定义的CWPP解决方案的8大主要功能：

1、加固、配置和漏洞管理（Hardening, Configuration and Vulnerability Management）：主要以工作负载环境的系统配置和漏洞分析功能的形式提供，检查并管理当前工作负载正在使用的应用、操作系统环境的漏洞。

2、网络防火墙、确保可视化及微分段（Network Firewalling, Visibility and Micro segmentation）：提供基于工作负载的防火墙功能，以保护每个工作负载免受外部侵害。

3、保障系统完整性（System Integrity Assurance）：检查工作负载中每个指定环境设置的完整性或实时监控系统文件、配置和权限的完整性。

4、应用控制/白名单（Application Control/Whitelisting）：通过控制应用程序运行来增强安全性，通常基于白名单来控制应用程序的运行。

5、预防漏洞利用/内存保护（Exploit Prevention/Memory Protection）：防范操作系统及可执行应用漏洞，保护服务器工作负载免受恶意代码驱动内存等文件攻击等。

6、服务器工作负载端点检测与响应（EDR）、行为监控和威胁检测与响应（Server Workload EDR, Behavioral Monitoring and Threat Detection/Response）：通过监控网络通信、进程启动等检测并应对可疑行为。通过基于主机的代理方式检测或以云服务运营商提供的网络数据等信息为基础进行检测和应对。

7、基于主机的入侵检测系统（Host-Based IPS With Vulnerability Shielding）：通过分析流入工作负载环境的网络流量来检测并阻止攻击，并通过运行基于主机的操作来保护服务器免受虚拟环境和容器环境下发生的网络攻击及各种漏洞攻击。

8、反恶意软件扫描（Anti-malware Scanning）：基于签名，检测和阻止恶意软件并满足相关合规要求。

如何在复杂的云环境中守护云安全

图片来源于互联网

五、Gartner公司简介

Gartner（高德纳，又称为顾能公司，NYSE: IT and ITB）公司是全球最具权威的IT研究与顾问咨询公司，成立于1979年，总部设在美国康涅狄克州斯坦福。其研究范围覆盖全部IT产业，就IT的研究、发展、评估、应用、市场等领域，为客户提供客观、公正的论证报告及市场调研报告，协助客户进行市场分析、技术选择、项目论证、投资决策。为决策者在投资风险和管理、营销策略、发展方向等重大问题上提供重要咨询建议，帮助决策者做出正确抉择。

在全球的IT产业中，Gartner公司以其公认的权威性和拥有包括供应商、生产厂商、系统集成商、咨询公司、银行、金融机构、能源交通、政府部门及其它领域等超过11,000个客户机构而独占鳌头。其公司客户几乎囊括了绝大部分世界级大公司。