聚焦前线|天融信带您洞见RSA大会之云安全纵深防御建设 – 作者:TOPSEC天融信

RSA 2021大会最大看点：云！云！云！

RSA 2021 会议持续四天，分享了网络安全最新的十大趋势：安全管理岗位角色演变，人工智能与机器学习，信息操纵及其影响，勒索软件，共享与如何共享，人员、过程和技术的弹性，供应链安全与软件完整性，零信任，云服务时代（All Hail the Cloud），隐私与信息安全。

纵观大会十大趋势，虽然只有一个讲述云服务，但其他趋势下的议题却大都是以云环境下的部署实施作为假设展开介绍的，就像本次大会分享的弹性Resilience主题一样。我们需要面向未来的、更包容的弹性网络，而云服务则是实现网络弹性最好的环境和技术。这场安全盛会更是全方位展示了云服务最新的安全动态、技术理念和发展方向。

RSA 2021云安全与虚拟化技术新风向云服务时代的到来使得云安全有关的建议和方案激增，安全即服务（由云基础设施支持，基于云、网、边、端、身份、邮件、安全运营中心提供的云安全服务）、云安全威胁、云部署与防护、云应用程序安全等得到了研究和实践，特别是全球疫情环境下的远程管理与交付、远程办公和业务云迁移，这为云安全带来了巨大的机会和挑战。根据Cisco Global Cloud Index预测，在2021年，随着云使用量的增加，94%的工作负载将由云数据中心处理。为此，RSA大会主办方组织了云安全与虚拟化的主题安全沙龙，分享了不同云化场景下的安全弹性实践。云威胁框架与建模：云安全仍然是一个不断发展的格局，大会全面剖析了MITRE ATT&CK云矩阵的10大战术和41项技术，分享了从攻击视角出发，利用各种自动化技术和方法，识别潜在的外部和内部威胁，分析妥协的手段和动机，模拟潜在或可能的攻击途径，优先考虑并减轻风险，系统设计与建模，最终找到攻击类型的威胁建模实践。云安全攻击与防御：安全攻击与防御既是相互对立的，也是相互统一的。未知攻，焉知防。大会从攻防一体的角度介绍了利用现代分布式应用程序和组件的脆弱性，进行供应链攻击的原理及正确防御措施，分享了针对K8s集群的内在连接和安全性弱点的新攻击方法以及可操作的缓解技术。云安全连接与控制：数字化业务转型正在推动网络和安全向云发展，云服务带来了云-云、云-端、端-端的新连接方式，基于云化环境的边缘网络安全成为关注焦点。大会介绍了通过安全访问服务边缘 （SASE） 模型，将网络和安全功能整合为单一集成云交付服务，构建安全驱动的全边缘网络混合能力，实现安全远程访问的实践。云安全过渡与迁移：随着云服务时代到来，企业上云已不可避免，过渡到云和业务迁移必将带来新的威胁和挑战，凭据泄露、存储数据更清晰、南北向成为新的东西向、DevOps/ITOps与Sec的融合，业务连续性、数据与隐私泄露、横向移动和特权升级等。大会分享了一些机构或厂商缓解风险的安全实践案例，如MITRE ATT&CK云矩阵、远程医疗安全监控体系、云&本地中心强制安全加固（Enforcing security hardening in Microsoft Azure and On-premises）等。云安全加密与身份：随着应用上云的发展，如何构建数据加密和访问控制方案，确保云数据加密和访问身份的有效、可信和弹性，保护高度敏感的业务数据泄露成为了云数据保护的实际挑战。大会为我们带来了最低可信、混合云加密和云IAM配置策略的有关实践。多云安全技术与态势感知：数字化浪潮催生了多云战略的蔓延，多云安全面临挑战。大会介绍了多云安全威胁异常检测、多云访问控制的主要威胁和安全操作建议，重点分享了基于CIS基准进行多云安全监测与评估，感知多云环境安全态势的解决方案。云安全的智能与创新：数字化技术为当今不断发展的网络安全格局提供了寻找创新解决方案的机会。自动化和云原生减少了成功执行攻击的复杂性，智能技术提供了更简单的方法处理安全，包容和平等的竞争环境缩小了技术差距，我们应重视云安全的智能和创新，确保现代化技术的安全。

天融信云安全纵深防御体系建设实践

本次RSA 2021大会通过系统、全面的云安全实践分享为我们描述了一个云安全纵深防御的体系框架和建设图景，可以说与天融信的云安全纵深防御建设思路不谋而合。

本次RSA 2021大会通过系统、全面的云安全实践分享为我们描述了一个云安全纵深防御的体系框架和建设图景，可以说与天融信的云安全纵深防御建设思路不谋而合。

物理边界层

在物理边界层，对于互联网主动向云内发起的访问，通过硬件安全设备的网站应用防护、全链路的访问控制、身份认证、安全审计、加密远程连接、病毒过滤等功能，提高云平台边界南向的安全防护能力。对于云内发起的互联网外联，通过安全设备的行为管控、数据加密、入侵防御、流量管控等功能，提高云平台边界北向的安全防护能力。最终在物理边界层为云平台提供完善的南北向流量的安全防护。

虚拟边界层

对于云上多租户之间的安全隔离以及租户云内安全建设需求，采用云安全资源池的丰富安全能力，利用服务编排调度技术，实现安全能力灵活部署、资源弹性伸缩。云安全资源池融入了多款优势安全产品，可以为租户提供访问控制、入侵防御、网络防病毒、Web攻击防护、身份加密、运维管控、安全审计、云主机安全防护、漏洞挖掘、基线合规管理等安全能力。

对云租户的安全进行纵向防护、横向隔离，灵活解决不同租户之间的安全隔离和差异化防护需求。

虚拟网络层

针对云内虚拟机之间的流量隔离和流量可视化，采用无代理微隔离防火墙通过与虚拟化平台深度融合，通过严格的微分段技术，控制虚机之间的安全通信，明确访问的来源、访问对象及访问类型，确保合法访问的正常进行，杜绝非法及越权访问。同时依托高级威胁防护能力，对虚机之间的入侵威胁以及恶意代码进行检测与安全管控，实现虚拟化平台内“东西向”威胁防护。为保证虚拟化平台内业务通信可视化以及威胁传播可视化，系统引入多维可视化模型，深度剖析业务通信关系，快速定位恶意威胁传播途径，为安全策略制定提供有利的参考依据，为客户提供强有力的虚拟化安全保障能力，最终打造基于虚拟网络层的隔离，有效预防安全威胁在虚拟机之间横向传播。

针对容器的镜像文件漏洞、恶意篡改、完整性保障方面，我们采用容器安全对容器运行环境、容器镜像、容器网络、工作负载安全等维度，确保容器环境中业务系统安全可靠运行。

云主机层

随着多云化发展，不同云计算环境下的业务之间又具有紧密联系。云主机作为云租户业务的载体，构建多云环境下的预测、防御、检测和响应一体的自适应安全防护体系尤为关键，自适应安全防御系统通过监测和响应能力以及持续的监控和分析，及时应对新威胁、调整安全策略，将安全能力赋能到云主机，将自适应安全防护理念贯穿到云主机安全中，有效应对云主机内复杂的高级持续威胁。

针对云主机侧的恶意代码攻击、未知威胁攻击及漏洞利用攻击，我们采用轻代理的EDR，对每个文件进行实时监控，采用虚拟沙盒的行为分析技术，精准判断每个病毒的类型及其行为意图，有效阻止恶意代码针对云主机侧的感染，通过主动防御、虚拟补丁、虚拟沙盒等技术为云主机提供更精准、更准确的全生命周期防护。

天融信云安全通过分层设计、分层防护的思想，构建纵深防御体系，抵御来自各个层面的攻击。在此基础上，天融信新一代云安全纵深防御体系还提供了持续的安全监控和运维保障，结合产品加服务方式构建安全能力的闭环，实现了公有云、私有云、混合云从设计、建设到运营生命周期内的全覆盖，进而为云上业务保驾护航，为企业的数字化转型提供富有安全弹性能力的新动能。

来源：freebuf.com 2021-05-27 14:14:21 by: TOPSEC天融信