云計算環(huán)境下網絡安全現狀與應對策略

何 承

（深圳信息職業(yè)技術學院，廣東 深圳 518172）

1 云計算

云計算是一種基于互聯網的計算模式，它將計算資源（如網絡、服務器、存儲、應用等）作為一種服務，按需提供給用戶，實現了資源的彈性伸縮和按量付費。云計算的概念最初由美國國家標準化技術研究所（NIST）提出，它是分布式計算、效用計算、虛擬化等技術的綜合應用和發(fā)展[1]。

云計算可以快速大規(guī)模部署計算資源，滿足不同的業(yè)務需求和負載變化。還能夠降低用戶的初始投入和運維成本，實現資源的最優(yōu)利用，節(jié)約能源。在應對市場變化上，用戶可以提高業(yè)務創(chuàng)新能力和靈活性，促進信息共享和協(xié)同工作，提高工作效率和質量。

根據服務的層次不同，云計算通常分為三大類：基礎設施即服務（Infrastructure as a Service，IaaS），向用戶提供虛擬化的硬件資源，如存儲、網絡等；平臺即服務（Platform as a Service，PaaS），向用戶提供軟件開發(fā)和運行的環(huán)境和工具，如編程語言、數據庫等，用戶可以在其上開發(fā)和運行自己的應用程序；軟件即服務（Software as a Service，SaaS），向用戶提供按需使用的應用程序，如辦公軟件、社交軟件等，用戶可以通過網絡訪問這些應用程序。

在近幾年的發(fā)展中，云計算深入到各個方面，無論是商品交易服務、售前售后服務，還是政府企業(yè)的數據存儲服務，對云計算的依賴越來越高，而這也為網絡安全帶來了更大的挑戰(zhàn)[2]。

2 云計算下網絡安全現狀和趨勢

2.1 身份、憑證、訪問和密鑰管理低效率

《云計算的最大威脅：大流行11》中提出了IT專業(yè)人士最關注的云計算問題。其中，身份和訪問問題排在首位。研究者認為，現在的云計算客戶更關注導致信息泄露的根本原因（如數據訪問、錯誤配置、不安全的應用程序）[3]。

身份和訪問管理已經成為用戶關注的重點。攻擊者不再試圖以暴力方式進入企業(yè)基礎設施，而是通過冒充合法用戶來避免被發(fā)現。他們利用多種方法來破壞和竊取企業(yè)憑證。隨著越來越多的企業(yè)將其應用程序遷移到云端，身份管理面臨著更多的挑戰(zhàn)。IT團隊不僅要驗證員工的身份，還要保護與客戶和合作伙伴在云中互動的數據。身份的冒用會帶來嚴重的安全風險[4]。

2.2 不安全的接口和APl

APl和類似的接口是云計算中不可或缺的組件，但也可能存在各種漏洞，如錯誤配置、編碼缺陷或認證和授權不足。這些漏洞可能使它們容易受到惡意活動的影響。一方面，云開發(fā)的速度大大加快了，傳統(tǒng)方法需要幾天或幾周的過程，在云中可以在幾秒鐘或幾分鐘內完成。另一方面，使用多個云供應商也增加了復雜性，因為每個供應商都有獨特的能力，而且不斷地在更新和擴展。這種動態(tài)環(huán)境需要敏捷和主動的方法來控制和修復變化，但許多用戶還沒有掌握這種方法。

2.3 配置錯誤和變更控制不足

配置錯誤是指企業(yè)在配置云計算的網絡時，由于缺乏系統(tǒng)知識或對安全設置和惡意意圖的理解不足而導致的錯誤。

云計算的一個最大優(yōu)勢是它的可擴展性，以及它使用戶能夠創(chuàng)建互連服務以實現更順暢的工作流程。但也意味著，一個錯誤的配置可以在多個系統(tǒng)中產生放大的影響，并傳遞到所有鏡像中的錯誤配置和漏洞會傳遞給所有由這些鏡像創(chuàng)建的容器。據統(tǒng)計，2022年，大約13%的入侵事件源于系統(tǒng)的配置錯誤[5]。

2.4 缺乏云安全架構和戰(zhàn)略

云計算的快速變化和分散、自助式的管理方式，限制了對技術和商業(yè)因素的考慮，以及有意識的設計能力。然而要想使云計算的努力既成功又安全，就不能忽視安全問題和風險。當涉及多個云供應商時，這些問題會更加復雜。例如，現在常常有第三方提供具有特殊功能的插件來輔助工作，甚至提供安全保護功能。用戶必須考慮云供應商的默認控制、相同級別的控制和第三方安全產品的組合，來應對他們特定的風險情況，有時這種情況在應用層面上是不同的。面對新出現的威脅，這增加了很多復雜性。

2.5 不安全的軟件開發(fā)

雖然云計算為開發(fā)者提供了一個強大的環(huán)境，但用戶需要確保開發(fā)者了解共同責任模式如何影響其軟件的安全性。例如，在Kubernetes中的漏洞可能是云服務供應商（Cloud Service Providers，CSP）的責任，而在使用云原生技術的網絡應用程序中的錯誤可能是開發(fā)者的責任，需要修復。

我國建立了相關規(guī)定來規(guī)范涉及云計算軟件的開發(fā)，如2019年公布的《云計算服務安全評估辦法》[6]。但是雖然網絡攻擊和網絡漏洞的迭代，涉及云計算的軟件開發(fā)過程和標準并不一定能夠滿足現在的網絡安全需要，對于軟件開發(fā)是否安全，也是用戶應當注重的問題。

2.6 不安全的第三方資源

CSP為了提供更全面的云服務，往往會開放第三方插件平臺，讓用戶可以自由選擇和使用各種功能。然而，這些第三方資源可能存在安全隱患，給用戶帶來風險。一方面，第三方插件可能本身就含有惡意代碼，或者被攻擊者篡改或替換；另一方面，第三方插件會接觸到用戶的敏感信息，如果被攻擊者利用，就可能導致信息泄露或被濫用。

2.7 系統(tǒng)漏洞

系統(tǒng)漏洞是指CSP中存在的缺陷，它們可能會威脅到數據和服務的保密性、完整性和可用性。這些漏洞的原因有多種，例如未及時修補的零日漏洞，例如，2019年發(fā)現的CVE-2019-19781漏洞，影響了數百萬臺Citrix設備。還包括錯誤配置或默認設置導致的安全風險，以及攻擊者可以輕易獲取或破解的弱密碼或默認密碼等。據統(tǒng)計，2021年62%的系統(tǒng)入侵事件是由供應鏈造成的[5]。

3 云計算下用戶的應對策略

針對前文提到的網絡安全現狀和趨勢，本文介紹當下用戶可采取的應對策略。

3.1 密鑰管理、身份控制、訪問權限和加密保護

密鑰管理、身份管理和數據加密是保證數據安全的三個重要方面。

密鑰管理可以確保只有受信任的各方才能訪問必要的數據，但也會帶來密鑰丟失或被盜用的風險。因此，用戶需要選擇強大而可靠的密鑰管理系統(tǒng)，或者委托專業(yè)的第三方機構來管理密鑰。

身份管理可以控制用戶和系統(tǒng)訪問和權限，避免不必要的權限泄露或濫用。用戶應該合理地分配和管理各種身份和角色，及時刪除或修改過期或不合適的賬號[7]。云基礎設施授權管理是一種自動化的云安全解決方案，該方案通過持續(xù)監(jiān)控實體的權限和活動，減少過度授權的風險。

數據加密可以保護PII和其他敏感數據，用戶應該制定一個明確的政策，規(guī)定哪些敏感數據需要被加密以及如何執(zhí)行加密操作[7]。用戶還應該將用于加密操作的密鑰安全地存儲，并與云實例中存儲的數據分開。

3.2 APl

API是現代應用程序的核心組件，但也是網絡攻擊的主要目標。因此，用戶應該采取一系列措施來保護API的安全性。

第一，用戶應該使用強大的身份驗證和授權解決方案，如OAuth2，來控制對API資源的訪問。第二，用戶應該遵循最小特權原則，只暴露或共享必要的數據，不要提供多余的信息。第三，用戶應該使用TLS加密API流量，防止中間人攻擊和數據泄露。第四，用戶應該更新傳統(tǒng)的控制并變更管理政策和方法，以適應基于云的API增長和變化。第五，用戶應該接受自動化，并采用技術來持續(xù)監(jiān)測異常的API流量，并在近乎實時的情況下補救問題。

3.3 配置和變化控制的加強

為了實時補救漏洞，用戶需要在有能力的情況下，利用現有的技術，對配置錯誤的資源進行持續(xù)掃描。同時，變更管理方法也必須適應持續(xù)的業(yè)務轉型和安全挑戰(zhàn)的不間斷和動態(tài)性質，確保通過實時自動驗證方式來正確執(zhí)行批準的變更。技術迭代更新的速度比一般用戶預想的更快更頻繁，對配置和變化控制的加強，是在根源上提高安全性的方式。

3.4 增強云安全架構和戰(zhàn)略

為了實現業(yè)務目標、降低風險、防范安全威脅和遵守法律合規(guī)性，用戶尤其是企業(yè)用戶，應在服務和基礎設施的設計和決策中考慮這些因素。鑒于變化的速度很快，而且中央控制權有限，制定和堅持基礎設施戰(zhàn)略和設計原則是至關重要的，而不是可有可無的。建議為遵循盡職調查和供應商安全評估的基本做法，并在此基礎上進行安全設計和整合，以避免發(fā)生SolarWinds、Kaseya和Bonobos漏洞中的那種系統(tǒng)性故障。

3.5 軟件開發(fā)、第三方與補丁

及時安全更新應用軟件是保證云環(huán)境安全的必要條件。CSP會為用戶提供安全指導，但用戶需要對自己管理的服務及時安裝和更新補丁，防止數據泄露和損失。事后應對是代價高昂的做法，會影響企業(yè)和個人的聲譽和泄露隱私。因此，用戶應該定期進行漏洞檢測和補丁部署，并結合嚴格的身份和訪問管理實踐，降低系統(tǒng)漏洞帶來的風險。

用戶還應該選擇有官方支持、有合規(guī)認證、有漏洞賞金計劃、能夠及時報告和修復安全問題的產品。用戶應該識別和跟蹤自己所使用的第三方產品，包括開源軟件、SaaS產品，以及任何可能添加到應用程序中的其他集成產品。最后，用戶還應該嚴格限制或撤銷第三方對代碼庫、基礎設施或應用程序的訪問或權限，避免讓第三方成為最薄弱的環(huán)節(jié)。

3.6 CSP的支持

為了提高應用程序的安全性，用戶可以使用云服務提供商的資源和幫助。用戶可以評估云供應商的安全復原力，例如安全標準的遵守情況，選擇符合自己需求和合規(guī)要求的云服務提供商。CSP可以輔助測試應用程序的安全性，包括靜態(tài)應用安全測試（Static Application Security Testing，SAST）和動態(tài)應用安全測試（Dynamic Application Security Testing，DAST）。SAST在開發(fā)階段可對源代碼或二進制文件進行分析，找出可能的漏洞。DAST在測試和質量保證階段可對運行中的應用程序進行檢查，發(fā)現合規(guī)性和一般性的安全問題。

CSP還能幫助開發(fā)人員如何進行安全編碼，避免引入不安全的庫或框架。用戶還可利用CSP解決云拒絕服務（Denial of Service，DoS）攻擊的風險。很多CSP都采用了有效的防御措施來應對已知的攻擊，并在發(fā)現攻擊時迅速做出反應。

3.7 安全訪問服務邊緣（Secure Access Service Edge，SASE）

信息隔離是指將敏感或重要的數據信息與其他數據信息分開存儲和處理，以防止數據泄露或篡改。信息隔離可以通過多種方式實現，其中較為常見的方式有分布式管理、集群管理等。

分布式云是企業(yè)云計算的下一個發(fā)展方向，它可以降低復雜性和提高一致性。分布式云是指將云服務部署在不同的地理位置，而不是集中在一個數據中心，以減少網絡延遲，提高用戶體驗，同時也增加了可靠性和安全性。安全訪問服務邊緣是一種將網絡和安全功能集成在一起的解決方案。SASE可以在大規(guī)模和復雜環(huán)境中提供統(tǒng)一的訪問控制，保護企業(yè)的云資源和用戶。SASE可以實現對用戶的云環(huán)境的完全可見性，檢測并阻止任何潛在的威脅。投資者看好SASE，預計到2026年，SASE市場預計將從12億美元增長到41億美元，幾乎翻兩番[8]。

3.8 其他

除了上述介紹的策略，作為企業(yè)，可以對員工進行云存儲使用方面的意識培訓，讓他們了解云存儲的優(yōu)勢和風險，以及如何保護自己的數據和賬戶，并且在與云服務提供商簽署協(xié)議時，強調數據的安全性和隱私性。如果可能，使用客戶端加密而不是服務器端加密，以保證自己對密鑰的完全控制。此外，云安全態(tài)勢管理（Certified Security Project Manager，CSPM）、云工作負載安全防護平臺（Cloud Workload Protection Platform，CWPP）等防護平臺也應納入用戶的使用范圍。

4 結束語

云計算時代給網絡安全帶來了新的機遇和挑戰(zhàn)，用戶需要在享受云計算帶來的便利和效益的同時，重視云計算的安全問題和風險。用戶應該建立完善的云安全架構和戰(zhàn)略，加強身份、憑證、訪問和密鑰管理，防止不安全的接口和API，避免配置錯誤和變更控制不足，以及及時應對新出現的威脅。只有這樣，用戶才能在云計算時代保障自己的數據和業(yè)務的安全，實現云計算的可持續(xù)發(fā)展?！?/p>