对于云安全这个新兴概念，从咨询机构、云平台到安全厂商，行业内各家机构众各有解读。但很少从企业角度出发，清楚指明安全部门对云安全这种全新解决方案的真实需求是如何产生的，以及如何规划云安全架构，如何和原有安全功能进行协同。

　　最近，Gartner的一篇分析报告提出了一种全新的安全解决方案——云工作负载安全平台(Cloud Workload Protection Platforms，简称为CWPP)，该方案非常适合当前业务快速增长，采用混合云，并在实施统一安全策略时遇到困惑的企业安全参考。

　　下面通过CWPP的必要性、核心能力和架构注意项三个部分分析这个云安全体系。

　　一、当前不同架构的云采用给企业安全带来的挑战:

　　1、服务器工作负载对安全保护需求有本质上的区别

　　相对于终端产品来说，服务器有不同的生命周期，终端用户会定期接触未知的执行代码，服务工作负载通常只限于一套专门的运行功能。在虚拟机环境下，一般是一个应用对应一台虚拟机。在container环境下，会到一个进程或者一个应用服务的维度上。因此，使用默认否认的应用控制模型比用在终端用户面对的终端更有效。

　　云计算类型的应用应该更加灵活，保护需求会根据需求授权模型扩大或者缩小范围。例如，静态加密数据应是公有云服务器的最佳强制实践，而这个功能很少用于本地的数据中心。最后，大多数公司除了私有云架构以外，还要为两个IaaS供应商制定两套标准，提出支持混合和异构云环境的安全方案需求。

　　2、不断改变的威胁环境

　　另一个趋势是人们越来越关注服务器负载保护，主要指高级的定向攻击，即绕过传统的、本地基于签名的保护。一般来说这些攻击都是利益驱使的，从目标服务器和应用负载中得到敏感数据和事务记录，高级的攻击会导致服务器工作负载保护出现一些变化：如保护模型不再依靠签名(初期保护策略主要依靠应用程序控制，拦截其他所有恶意或非恶意代码);要求隔离网络流量和可视化(关键是要求更加精细地划分数据中心流量，帮助企业了解应用程序流程并实现可视化)。

　　3、变化的业务和IT需求

　　随着云计算平台的快速传播，(其中最著名的就是AWS和Azure)，在共有云IaaS上保护服务器工作负载的需求蓬勃发展起来。

　　如图1所示，未来五年间，大部分企业都将具备本地和云端的工作负载，因此，保护每个控制台的本地物理、虚拟服务器、公有云IaaS的服务器保护方案十分有必要，这些保护方案要具备一致的安全策略。

　　4、对部署速度的要求

　　在很多情况下，模板和脚本实例化了云服务器工作负载，这需要安全保护厂商开放他们的保护能力，通过API自动配置。为自动化和自适应的安全监控创造一种需求——随着工作负载的创建或者销毁而相应增加或减少，通过API实施全面可编程的保护架构。

　　5、合法和合规性环境

　　很多服务器的保护需求都受到法律法规框架的影响，有的法律法规会直接提出这方面要求。举个例子，保护PCI相关的工作负载有很多要求——特别是要求文件完整性监控，主机入侵检测，补丁管理和网络隔离等。

　　二、CWPP五大核心能力

　　云计算工作负载对安全有着不同的要求，混合私有云和公有云的云计算模型使这些不同之处更加复杂化，CISO们应该为保护混合云计算负载部署专门的安全产品。Gartner推荐公司使用以风险为基础的分层安全策略。

　　上图展示了用于服务器负载保护的安全控制优先级，塔基包括了关键的基本能力，越往上功能越不重要。我们需要注意的是，其中一些功能可能会由OS供应商、云IaaS供应商提供，或者通过IT运营工具来实现。另外，服务器托管的虚拟桌面架构是一种不同的用例，要使用更加传统的用户终端保护策略。

　　图2底部方框里列出了一些基本的运维能力，真正实现服务器安全一定要以良好的运维规范为开端，如：

　　(1)限制访问服务器，服务器工作负载要限制物理或虚拟访问。

　　(2)限制在服务器运行任意代码的能力，移除或禁用本地浏览器和email客户端。

　　(3)严格控制管理员访问服务器工作负载。多元认证或者其他形式的强认证要取代简单的用户名/密码机制;管理认证应该使用PAM系统。

　　(4)变更管理。通过与PAM结合，服务器镜像变化应遵守一个明确的、与工单系统相连的变更管理控制流程。

　　(5)日志管理。把服务器工作负载OS和应用日志集中在一个日志管理系统或SIEM系统中，同时管理PAM日志。在虚拟化和云端环境，还要管理管理员行为日志。

　　在此基础上，我们列出了CWPP服务器保护策略的五个核心能力：

　　1、配置和漏洞管理。移除非必要的组件，如Telnet，FTP和其他服务。我们要在初期就根据行业标准指南加固镜像，可以由IT运营部门管理这一层面，但信息安全要根据公司标准方针确保加固、配置系统。再根据公司的补丁政策，完成系统补丁，定期持续更新系统。一些服务器保护解决方案可以彻底评估系统配置和漏洞，由各自的agent提供可视性。利用脚本和模板的自动化云工作负载提出了新的打补丁方式，但线上系统不能打补丁。

　　2、工作负载分割和网络流量可视化。严格的工作负载安全的基础是隔离和分化与外部资源沟通的能力。一些工作负载的保护方案自身具备防火墙能力，而其他保护方案会管理windows和linux系统内置的防火墙。解决方案应该支持数据中心东西流量的微型分割需求。另外，一些解决方案提供可视化和监控通信流量，可视化工具让运维和安全管理员可以了解流量类型、设置策略、监控偏差。最后，一些厂商提供工作负载之间的网络流量加密选择来保护动态数据，并在工作负载之间提供加密隔离。

　　3、系统完整性监控和管理。这项功能包括两个领域：第一个是在BIOS，管理程序和虚拟机系统镜像加载前进行评估，一般会通过物理系统中硬件层面的可信任措施实现评估。第二个是在工作负载自启后，实时的监控核心系统文件完整性。高级解决方案还会监控windows注册表、启动目录、驱动和引导加载程序，文件完整性监控是高级EDR方案的前身。

　　4、应用程序控制(白名单)。之前讨论过，虚拟机和公有云IaaS中大多数工作负载只能运行一个应用。使用白名单以控制在服务器运行什么文件，这是一个强大的安全保护策略，默认阻止所有显示为文件的恶意软件。许多CWPP解决方案或专门的单点解决方案会提供内置的应用控制功能。还有一种方案，使用内置的OS应用控制功能，如Windows, SELinux系统的软件限制策略和应用程序控制策略(Applocker)或Linux系统的AppArmor。

　　5、渗透阻止和内存保护。应用控制解决方案不会一直可靠，应该跟预防漏洞利用和内存保护功能相结合，这些功能可以是OS，应用控制方案或第三方的保护措施，预防这些情况：白名单应用被攻击而产生漏洞，输入的代码在内存中直接运行，且本身不是单独的执行(或可控)文件。另外，保护和内存保护方案不用传统的、基于签名的杀毒方案就能防御攻击，在没有补丁的情况下，还能减少管控。

　　除了上述5个核心能力，我们还有进一步保护服务器工作负载的其他方法，额外的保护需要很多基础因素，包括合规性要求，被保护的工作负载敏感性，服务器是否能定期打补丁，企业对风险的容忍度等。

　　三、规划和实施架构注意项

　　无论是自己研发还是和第三方云安全厂商合作，企业在评估各种解决方案时，需要重点考虑架构的几点要求：

　　1、支持混合云环境，这是最重要的一点，大量云服务厂商提出的安全方案都可以运行在混合云环境中。对那些仍然使用物理服务器的公司，要求他们提供支持混合云环境的服务。

　　2、支持服务器操作系统，大多数厂商都支持windows和Linux系统，如果厂商支持Linux系统，为你的企业布局寻求特定支持及32/64位支持，判断产品是否同时具备windows功能。如果厂商支持Windows系统，要弄清支持哪个版本，还是32/64位都支持;很少有供应商支持HP-UX,IBM AIX或Oracle Solaris系统;有一些供应商专门支持那些不再受支持的服务器系统，如Windows2000和2003服务器。

　　3、支持容器，基于主机的agent要分辨单独的Linux容器，包括网络分段，再根据实际情况实施相应策略。这对那些使用容器支持微服务架构和快速发展DevSecOps工作流的公司来说，这个新要求非常重要。

　　4、全面支持API，安全保护要越来越能自动适应DevSecOps工作流的工作负载，通过API，利用高自动化开发环境中的脚本、方法和模板，使控制台自动配置安全策略，不再像以前那样通过”人为介入“执行昂贵的、缓慢的手动配置。

　　5、对系统空间和性能的影响，CWPP的整套功能可能会对系统空间和功能产生较大影响，例如，以数据包深度检测为基础的HIPS可能会占用大量资源，如果可以的话，数据加密应该使用硬件加速能力，如因特尔的AES-NI。以签名为基础的反恶意软件扫描在爬取、扫描文件系统时，也会对安全系统的性能产生影响。

　　6、“无agent”保护，在虚拟系统环境中，很多供应商都会连接其vSphere管理程序API，进行无agent反恶意软件扫描。作为无agent集成管理程序的另一种模式，Bracket Computing使用的是创新性的”外包装“方式，可以在无agent的情况下，保护每个工作负载。

　　7、虚拟化和云服务提供商的原生集成和支持，在云基础环境中，为了实现有效保护，CWPP应该充分理解并能整合平台的原生附加能力，这样才能在这些标记的基础上执行安全策略。在创建新的工作负载时，集成云厂商的API可能无需设置安全保护，就可以联络控制台。最后，充分理解本地云供应商的不同分类有助于我们界定细分策略。

　　8、控制台管理能力，在所有服务器工作负载中，要强制实施对不同职责管理员的全面访问控制，一些供应商会提供”云控制台“，因此无需本地管理服务器。

　　9、合规性报告，对于有明确法规要求的企业来说，当审计人员要求出示合规证据时，提供详细的合规报告能力就可以减少工作量(比如要求提供PCI 和HIPAA合规报告)。

　　10、安全自启能力，内置安全agent的系统配置速度很快，但可能无法在运行时执行安全策略。Agent应该准备使用模板和upon boot，这样才能根据工作负载的环境(例如工作负载的位置或者在标记的基础上)，安全地获取、下载和应用合适的策略。

　　11、灵活的价格模型，理想的解决方案可以让企业混合几种授权模型，以发挥最大的作用。大多数厂商是根据每年每台虚拟机的订阅模式来收费，还有一些根据每台中央处理器插槽收费，对于高度灵活的工作负载来说，定价模式有一个更好的选择，那就是根据虚拟机的实际使用时长或其他基于使用情况的标准来制定。

　　12、审计和日志记录，要记录控制台上所有管理行为和事件，并将这些日志传输到主要的SIEM系统中。

　　13、威胁情报/社区情报，厂商的研究实验室要提供全面的威胁情报，将攻击模型和趋势的变化告知安全运营官，理想情况下，厂商要直接提供保护方案。厂商的客户群体要允许参与人分享这种可视性和情报信息，以更好地防御威胁。

　　统计显示，到2019年，60%的服务器工作负载将会以应用控制来替代杀毒软件，而在2016年，这一比例还只有20%。随着云计算采用的不断深化，企业IT系统会更加复杂，企业将更深刻地认识到云安全体系化升级势在必行。

　　责任编辑：DJ编辑