“云”原生安全白皮书.pdf

前 言DDoS Web目 录 一、云 计算 安全 态势 严峻 ，云原 生安 全理 念兴 起 . 1 . 1 1. . 1 2. . 3 3. . 5 . 5 二、云 原生 安全 推动 安全 与云深 度融 合， 促进 安全 普惠 . 8 . 8 . 9 . 11 . 13 1. . 14 2. . 15 三、云 原生 安全 助力 企业 安全体 系建 设 . 19 . 19 1. . 19 2. . 21 3. . 24 . 25 1. . 25 2. . 28 3. . 31 4. . 33 5. . 36 . 39 1. DDoS . 39 2. . 41 3. Web . 43 . 46 1. . 46 . 50 1. . 50 四、云 原生 安全 趋势 与展 望 . 51图 目 录 1 Gartner . 6 2 . 8 3 . 10 4 . 14 5 . 19 6 . 22 7 . 24 8 . 26 9 . 28 10 . 31 11 . 34 12 . 37 13 DDoS . 39 14 . 42 15 WAF . 44 16 . 46 表 目 录 1 Forrester . 6 2 . 20 3 . 22 4 . 25 5 . 26 6 . 29 7 . 32 8 . 35 9 . 38 10 DDoS . 40 11 . 43 12 Web . 44 13 . 47云” 原生安全白皮书 1 一、云计 算安全 态势严峻 ， 云原 生安全理 念兴起 1. 云 计算 成为 底层 基础 设施 ，帮 助企 业实 现数 字化 转型 。 5G云” 原生安全白皮书 2 国家高度 重视“新基建” ， 云 计算成 为新 基建重要 内容 。 2018 10 2020 “ ” 5G “ 新基 建” 概 念范 畴广泛 。2020 4 20 “ ” “ ” 信息 基 础设施 5G 融 合 基 础 设施云” 原生安全白皮书 3 创 新基础 设 施 云计算是 实现产 业 互联网落 地的必 要 途径。 + IT IT 2. 安全性仍 是云计 算 所面临的 最大挑 战 。 DDoS云” 原生安全白皮书 4 2019 DDoS 74.0% 86.3% 87.9% 重视云计 算安全 已 逐步成为 企业共 识 35.4% IT 10%- 20% 7.6% IT 20% 42.4% 的企业 在选择云服务商时会考虑服务安全性 普惠化 将是云计 算 安全未来 发展的 必 然趋势云” 原生安全白皮书 5 3. 云上安 全原生 化 有助于实 现普惠 安 全 Gartner 提倡 以云原 生思维建 设云安 全 体系 Gartner云” 原生安全白皮书 6 1 PaaS API 1 Gartner Forrester 以37 项 指标评估 公有云 平 台原生安 全能力 Forrester Public cloud platform native security, PCPNS 37 1 1 Forrester /云” 原生安全白皮书 7 PCPNS IAM PCPNS Hypervisor PCPNS Guest OS Hypervisor PCPNS RFP PoC VMWare 通 过三大 特 征 阐述原 生安全 理念 VMWare 深信服提出 云原 生 安全体系 应具备 的 三大基本 能力 。 API API云” 原生安全白皮书 8 二、云原 生安全 推动安全 与云深 度融合， 促进安 全普惠 指云 平台安 全 原生化和 云 安全产品 原生化 。 安全原生 化的云 平 台 ， 一方 面 通过 云 计算特性 帮助 用户 规避 部分安 全 风险， 另一方 面 能够 将安全融 入从设 计 到运营的 整 个过程中 ， 向用 户 交付更安 全的云 服 务； 原生 化的云 安 全产品能 够内 嵌 融合 于云 平台，解 决用 户云 计算环境 和 传统 安 全架构割 裂的 痛点 。 2云” 原生安全白皮书 9 云 计算成为 更安全 可 信的新型 基础设 施 云计算特 性规避 部 分安全风 险。 IT 1 2 3 从研发阶 段关注 云 计算安全 问题， 前 置安全管 理。 3 1 ） 管理架 构 2 ） 安全培 训 3 ） 明 确安全要 求 4 ）安 全需 求分 析与 设计云” 原生安全白皮书 10 5 ）安 全研 发测 试 6 ） 安全发 布 7 ） 运营安全 8 ） 服 务 停用下线， 3云” 原生安全白皮书 11 Gartner CI/CD 静态 应用程 序 安全测试 、 动 态应用 程序安全 测 试 、交 互式 应用程序 安全 测试 、软件组 成分 析、 运行时应 用自 保护 。 采用内嵌 的方式 而 无需外挂 部署 一 是无需安 装 二是运 行 更加稳定 和安全云” 原生安全白皮书 12 IT 充分利用 云平台 原 生的资源 和数据 优 势 与客户云 资源 、 安 全产品 有 效联动 一是 能够自 动识 别云 资源 二是 对风 险资源 进 行主动处 置 解决云计 算 面临 的 特有安全 问题 IT IT云” 原生安全白皮书 13 IT 一 是 由云 服务 商 完 全承 担的 责任 API 二是 云服 务安全 属 性与配置 相 关的责任 ， 三 是 云客户完 全承 担的责任 ， 一 是 云服务商 在研发运 营中安 全 介入相对 滞后， 无 法有力保 障云平 台 安全性。云” 原生安全白皮书 14 二是 云服 务原生安 全属性 有 差异。 API 三 是云客 户 自身安全 能力不 足 。 4 1.云” 原生安全白皮书 15 云平台 安 全性是客 户云上 安 全的基石 IT 云 服务原生 安全属 性的发 展 将满足 客 户的基 本 安全需 求 。 2.云” 原生安全白皮书 16 云原生计 算环境 安全 适应云 上 计算 环 境 新安全 需求 1 黑客 攻击 日益频繁 ， 传统 防 护机制 作 用有限 2 新 漏洞层 出 不穷， 安全 漏洞应 急响应 难 。 3 业 务资产组 件多， 亟需 有效清 点和 管理 云 原生 安全 发掘 云上 数据 潜在 风险 IT云” 原生安全白皮书 17 1 数据系统 分散， 缺 乏集中审 计监控 2 内 部防 范措 施不 到位 ，内网人 员有 机可 乘 。 3 泄密 事件 追溯 难。 4 数据 安全 管理 需求迫切 。 云原生安 全 有效 应 对 云上网 络威胁 。 1 ）DDoS 攻 击 泛滥， 影响各 行 各业 业务 正常运 营 。 DDoS DDoS DDoS 2 ） 大 量公网 端 口暴露在 互联网 中 ， 内外流量 管云” 原生安全白皮书 18 控难 。 IP IP IP 3 ） VPC 间 流量控制 成 关键 。 VPC VPC 4 BOT 访 问流量 突增 Web APP BOT BOT BOT 云原生安 全 应对 云 上安全管 理 新挑 战 。 1 ） 资产 管理 范围 变化 ，云上 影 子 IT 风险增 加 。 PaaS SaaS 2 ） 云产品 配 置风 险隐患 大 ， 配置 管 理至关重 要 。 3 ） 云 上威胁 概 念扩大， 安全 事件 检测 与 管理 能 待提升 。 Web API API云” 原生安全白皮书 19 Key 三、云原 生安全 助力企业 安全体 系建设 1. Workload 5 轻量部署 ， 便捷 稳 定 。 Agent Agent云” 原生安全白皮书 20 Agent 以工作负 载 为核 心 。 自动化获 取信息 ， 智能化主 动防御 海量数据 关联分 析 。 DNS AI 2 Web Linux Windows Apache Mysql Web-CMS云” 原生安全白皮书 21 Nginx Webshell IP 业务资产 组件清 点 。 安全漏洞 应急响 应 。 互联网业 务入侵 行 为检测。 IP 2.云” 原生安全白皮书 22 6 轻量Agent ， 快捷 部 署。 用户根据 业务 的需要选 择需要 防 护的集 群节点， 一键开 通， Agent Agent 统一策略 管理。 丰富的漏 洞库和 规 则库 3云” 原生安全白皮书 23 OS Nginx Redis Docker daemon Audit rule NIST-SP800- 190 GDPR HIPAA PCI CIS / API Dirtcow /etc/passwd mount / 7 kata/gvisor CI/CD 。 DevSecOps CI/CD 部署。 Docker Hub 运行。云” 原生安全白皮书 24 3. 7 易于 部署 。 易于扩展 与云平台 紧密结 合 。 自动化响 应与取 证 。 数据安全 可靠。云” 原生安全白皮书 25 VPC VPC 4 查找入侵 原因， 完成 电子取 证 。 Web 降低应急 时长 ， 快 速恢复业 务 。 1.云” 原生安全白皮书 26 8 云数据资 产对接 。 全 面数 据风 险监 控。 API API - - API 5 API URL云” 原生安全白皮书 27 敏感数据 发现与 分 类 。 (PII) API 接 口安全 监控 。 API API API API - - API API API API API 泄露监控 。云” 原生安全白皮书 28 2. SQL 9 一键开通 ， 快速 部 署 Agent云” 原生安全白皮书 29 依托云计 算资源 ， 审 计性能弹 性伸缩 QPS 基于人工 智能、 威 胁情报， 进行威 胁 全方面识 别。 支持各类 数据库 ， 实现数据 系统统 一 管理。 Agent 6 CVE SQL SQL DBA SQL SQL云” 原生安全白皮书 30 ssh telnet nfs DBA IP 感知危险 操作 。 监控数据 库压力 。 SQL 安全事件 追责 。 SQL云” 原生安全白皮书 31 统计安全 信息 。 3. 10 快捷开通 配置 VPC 适配云平 台原生 网 络架构 VPC云” 原生安全白皮书 32 敏感数据 处理性 能 支持弹性 扩展。 支持各类 型数据 库 。 解决云平 台共享 数 据安全问 题。 7 内部数据 脱敏 。云” 原生安全白皮书 33 泄密事件 追责 。 动 态脱 敏。 SQL 4.云” 原生安全白皮书 34 11 无缝集成 云平台 。 IAM 无缝集成 云服务 支持云上BYOK 架构 。 BYOK Bring Your Own Key 集群化部 署与冷 热 备份， 实 现高可 用云” 原生安全白皮书 35 8 KMS CMK CMK KMS , CMK CMK CMK Encrypt 4KB RSA Key API SDK 云上数据 透明加 密 。 金融/ 政府 敏感 数据保 护 。云” 原生安全白皮书 36 后台服务 开发配 置 信息保护 。 企业核心 数据保 护 。 网站或应 用开发 安 全 。 HTTPS 5. API云” 原生安全白皮书 37 SDK 12 云平台无 缝集成 。 IAM 服务安全 可靠。 CMK 凭据全生 命周期 统一 管理。云” 原生安全白皮书 38 9 API KMS CMK IP API API KMS KMS HSM API php C+ python java SDK 凭据集中 管控 。 Tokens SSH API 敏感凭据 检索管 理。 Secrets Manager API云” 原生安全白皮书 39 应用层凭 据轮换 。 管理多类 型敏感 数 据。 IP 1. DDoS DDoS / DDoS 13 DDoS云” 原生安全白皮书 40 便捷接入 DDoS IP DDoS IP IP IP IP 与安全产 品 有效 联动 Web 防御能力 弹性扩 展 MB TB 海量情报 数据， 算法 持续迭 代 AI 运行稳定 ， 低延 迟 。 DDoS BGP 10 DDoS UDP Flood SYN Flood TCP Flood ACK Flood FIN Flood云” 原生安全白皮书 41 CC HTTPS Flood HTTP Wordpress IP DDoS DDoS DDoS 游戏行业 。 DDoS DDoS 政务民生 行业。 DDoS DDoS 金融行业 。 DDoS 互联网行 业。 DDoS , , 2.云” 原生安全白皮书 42 VPC 14 免部署与 配置 。 集群化高 可靠， 性能 弹性扩 展 。 自动化响 应 与处 置 。 IP 云内流量 精细化 管 控。 VPC云” 原生安全白皮书 43 11 VPC 0-day 主动外联 管控 。 互联网业 务防护 。 精细化隔 离管控 。 VPC DMZ 等保合规 。 2.0 3. Web Web WAF Web云” 原生安全白皮书 44 Web 15 WAF 便捷接入 WAF 原生集成云网络设施 CDN WAF Web 集群化高 可靠， 性 能弹性扩 展。 形态向 Web 安全与API 保 护 （WAAP ） 聚合 转变 。 WAF Web API BOT Web 12 Web Web SQL XSS云” 原生安全白皮书 45 HTTP Web CC Web CC 0-day Web IP URL POST Web Web Web Web 电商/OTA/ 文 创网 站防 护 。 IP / SEO 政务网站 防护。 Web 泛互联网 安全 防 护。 Web SQL XSS Webshell Web云” 原生安全白皮书 46 1. 16 免部署与 配置。云” 原生安全白皮书 47 云上资产 自动发 现 ， 统一管 理。 安全编排 与自动 化 响应。 云内流量 威胁感 知， 安全事件 统一运 营。 13云” 原生安全白皮书 48 统一安全 管理 。 统一威胁 检测与 响 应 。 API云” 原生安全白皮书 49 等保合规 建设 。 2.0 UBA 资产安全 管理中 心 。 云上安全 托管 。云” 原生安全白皮书 50 1. 利用托管 安全服务商 丰富 的API 接 口 及安全 数据优势 ， 依托 托 管安全 服 务商专 业 人员的安 全能力 和 实践经验 安全评估 服务 。 风险检测 服务 。 漏洞感知 及风险 监 测服务 。 安全监控 服务 。 API云” 原生安全白皮书 51 风险处置 服务 。 应急响应 服务 。 知识情报 管理 。 IP 四、云原 生安全 趋势与展 望 云服务商 与安全 厂 商 联合建 设云原 生 安全生态云” 原生安全白皮书 52 产品趋于 整合， 形 成综合的 云原生 安 全解决方 案 DDoS 深耕行业 ， 助力 传统 行业 云上 安全体 系 建设