鑽石舞台

雲計算平台廣泛應用於金融、交通、醫療、電力、教育等行業，尤其在新冠肺炎疫情影響下，用「雲」量呈幾何級數增長，應用場景廣泛、部署模式多樣化。而資源相對集中、接口標準不統一、數據格式不一致、接口版本迭代快、安全防護要素多等特點，使其成為安全防護的薄弱區域，安全防護設備難以全面兼容，安全防護手段難以深入雲內部，難以實現精細化、全要素安全防護。同時，現有的雲資源模型僅圍繞資源管理調度進行設計，無法滿足雲安全防護的整體需求，亟需針對雲平台安全防護的特點和要素，建立統一的雲安全資源模型。

當前，雲安全現狀包括雲安全標準規範、雲安全研究現狀、雲安全產品現狀，通過對這3 個方面進行分析和總結，發現雲安全防護的問題和不足。

1.1　雲安全標準規範

2017 年 7 月， 雲 安 全 聯 盟（Cloud Security Alliance，CSA）發布《雲計算關鍵領域安全指南 4.0》，該指南從治理和運行兩個角度，描述雲計算安全的關注領域，解決雲計算環境中戰略和戰術安全的「痛點」，從而獲得可應用於各種雲服務和部署模式的組合。CSA 在雲安全指南基礎上推出的「雲安全控制矩陣」（Cloud Control Matrix，CCM），成為雲計算信息安全行業的黃金標準。CCM 提供了評估雲提供商整體安全風險的基本安全準則，通過對其他行業標準和監管要求的定製，CCM 在 16 個安全域內構建統一的控制框架，通過減少雲中的安全威脅和弱點來加強現有的信息安全控制環境，提供標準化的安全和運營風險管理，並尋求將安全期望、雲分類和術語體系，以及雲中實施的安全措施等標準化。

2013 年 5 月，美國國家標準與技術研究院（National Institute of Standards and Technology，NIST）發布 SP 500-299《NIST 雲計算安全參考框架（NCC-SRA）》，提出了雲計算安全參考架構，描述雲中不同角色的安全分工，對聯邦政府機構構建安全的雲環境提供指導。

2017 年 12 月， 我 國 發 布 國 家 標 准 GB/T35279—2017《信息安全技術 雲計算安全參考架構》，規範了各個角色的安全職責、安全功能組件及其關係，指導雲計算系統建設規劃時對安全的考量和設計。2019 年 5 月，我國發布國家標準 GB/T 22239—2019《信息安全技術 網絡安全等級保護基本要求》，根據不同安全等級，對雲計算安全提出了對安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心、安全建設管理、安全運維管理等方面的要求。

1.2　雲安全研究現狀

目前，針對雲安全的研究主要聚焦於雲安全標準研究、雲安全風險研究和雲安全防護體系架構研究，從標準要求、安全風險及其防護思路出發，設計雲安全防護系統，但是欠缺對雲安全手段夠不夠、雲安全防護能力足不足的感知和評估。

1.3　雲安全產品現狀

當前，業界的雲安全產品眾多，名稱相差極大。從功能上劃分，主要包括雲資產發現、雲風險監測、雲漏洞掃描、雲合規基線、雲安全防護、雲風險評估、雲安全管控等安全產品。各安全廠商根據企業的技術特點和不同的用戶場景，基於上述產品功能推出了融合或超融合的雲安全產品。

各類雲安全產品受限於雲平台廠商類型、版本迭代等情況，因其適應性各不相同，體系性也各有側重，致使雲安全防護能力建設呈現局部化、片面化、形式化等問題，缺乏雲安全能力體系化設計、指導和評判。

多雲安全監管模型從雲安全監測、評估和管控角度，可劃分為雲安全狀態監測層、雲安全融合評估層和雲安全綜合管控層，如圖 1 所示。

圖 1　多雲安全監管模型

2.1　雲安全狀態監測層

雲安全狀態監測層從雲外部網絡、雲計算節點、雲平台接口、雲資源對象 4 個維度，分別劃分為雲接入安全監測、雲節點安全監測、雲接口安全監測和雲資源安全監測，採集雲外部安全數據、雲節點安全數據、雲安全管控數據、雲安全資產數據和雲資源安全數據。

2.2　雲安全融合評估層

雲安全融合評估層主要是基於多種雲安全評估引擎，將採集到的安全數據進行迭代分析，形成雲資產運行狀態矩陣、雲資產操作行為矩陣、雲資產網絡行為矩陣和雲資產安全事件矩陣，進而關聯分析，形成雲安全風險矩陣，快速定位存在安全問題的雲資產。

2.3　雲安全綜合管控層

雲安全綜合管控層通過構建雲安全專家知識庫，並基於雲安全風險矩陣關聯分析，深度發現雲內安全問題，生成雲安全防護策略並推送至第三方安全策略配置系統，推薦雲安全防護建議給雲安全管理員，生成雲安全防護預案推送至第三方雲安全載荷投遞系統和第三方安全策略驗證評估系統。

雲資源安全監測機制從雲資源安全監測、雲接口安全監測、雲節點安全監測和雲接入安全監測 4 個維度，採集雲安全狀態數據。

3.1　雲資源安全監測

雲資源安全監測採用輕量化代理設計，降低終端 CPU、內存、磁盤資源占用率。將輕量化代理放置於虛擬機操作系統內部，通過容器Sidecar 機制，將容器輕量化代理放置於容器實例旁路，輕量化代理程序在用戶空間運行，捕獲虛擬機、容器實例的狀態信息，包括系統資源狀態、進程運行狀態、網絡通信流量、網絡通信關係等。通過資源使用狀態、資源占用情況、資源變化規律等分析監測雲資源的安全異常。

3.2　雲接口安全監測

通過建立雲安全資源模型，設計多層次的接口適配，第一層適配器對接華為雲、阿里雲、騰訊雲、電科雲、華三雲等多種雲平台接口；第二層將不同雲平台的資產信息轉換為雲安全資源模型中的不同要素；第三層將轉換後的雲安全資源數據入庫。該模型將雲內資產分為實體資產（服務器、存儲設備、網絡設備、雲組件等）和虛擬資產（虛擬機、容器、雲服務、雲租戶、雲存儲、雲網絡等），將雲內資產與安全資源（安全域 ID、身份 ID、策略 ID 等）建立映射關係，通過該模型對不同雲平台的資源信息進行轉換，實現雲資源信息的統一採集。該模型持續監測非法資產、非授權訪問、資產異常互訪等安全風險。

3.3　雲節點安全監測

雲節點安全監測以輕代理的方式將監測程序部署在雲平台宿主機操作系統中，用於採集雲平台核心組件、進程的運行狀態、操作行為和網絡行為。

基於虛擬機內省技術，在虛擬機外部對虛擬機內部的運行狀態和系統信息等數據進行採集，包括 CPU 狀態、內存、磁盤、網絡信息等。通過分析系統狀態（軟件狀態和硬件狀態）來探測和檢查虛擬機的內部狀態，實現對虛擬機對象全面徹底的觀察和監控，及時發現虛擬機運行異常、內部資源使用異常、網絡流量異常等安全問題，同時實現對虛擬機內部的透明性，降低終端 CPU、內存、磁盤資源占用率，從而提高自身的安全性和執行效率。

3.4　雲接入安全監測

通過在雲節點外部網絡部署網絡探針的方式，採集外部終端與雲平台、虛擬機、容器的訪問請求、網絡連接和網絡流量信息。監測各類網絡威脅和惡意代碼流量。

雲安全評估機制通過構建雲安全評估框架，集成雲安全策略效能評估、雲安全合規檢測和雲安全風險挖掘等多種雲安全評估引擎。使用者可以按需組合不同雲安全評估引擎，以流水線的方式串接不同雲安全評估引擎，迭代分析雲資產數據和雲安全數據，生成雲安全風險矩陣。

4.1　雲安全策略效能評估引擎

雲安全策略效能包含策略合理性和策略有效性。策略合理性是指在雲平台不同安全防護點，評估雲安全防護策略是否重複配置、是否配置衝突等問題，比如在雲防火牆和雲平台安全組配置的訪問控制策略衝突；策略有效性是指通過探測手段，判斷訪問控制策略是否生效，同時綜合在雲平台不同安全防護點配置的訪問控制策略，若允許訪問，設置為「通道」，若不允許訪問，則設置為「牆壁」，生成類似迷宮的模擬環境，再基於深度強化學習智能體，自動遊走迷宮環境中各個點位，結合已配置的訪問控制策略和實際生效的訪問控制策略，發現大規模、複雜化、人為影響導致的策略配置問題，評估是否達到防止非法訪問的能力，產生雲資產安全事件。

4.2　雲安全合規檢測引擎

雲安全合規檢測引擎基於等級保護標準規範約束的安全合規要求，以及企業基於業務現狀構建的安全基線，制定合規檢測項，再根據檢測項生成檢測任務。由檢測任務從雲外部安全數據、雲節點安全數據、雲安全管控數據、雲安全資產數據和雲資源安全數據中，發現不合規問題，產生雲資產安全事件。

雲安全合規檢測引擎包含雲硬盤加密合規檢測、鏡像運行狀態合規檢測、安全組配置合規檢測、高危端口合規檢測、虛擬機運行時間合規檢測、實例鏡像合規檢測、網絡狀態合規檢測、模板類型合規檢測等，並按需擴展規則解析能力。

4.3　雲安全風險挖掘引擎

雲安全風險挖掘引擎基於層次分析法與模糊綜合評價法，構建雲安全綜合評估模型。通過對雲安全風險綜合分析，將雲資產數據與雲外部安全數據、雲節點安全數據、雲安全管控數據、雲安全資產數據和雲資源安全數據關聯，基於模型評估雲安全功能完備程度和雲安全要求符合程度，生成雲安全風險矩陣和評估報告，給出雲安全風險評分和風險點分布，作為雲安全能力評估的最終結果。雲安全綜合評估模型如圖 2 所示。

圖 2　雲安全綜合評估模型

（1）建立雲安全綜合評估指標層次結構模型。以雲平台的安全性為決策目標，將雲安全評估指標模型的指標要素分解為目標層、判斷層、指標層和方案層，建立如圖 3 的層次結構模型。第一層要素為評估目標，對應雲平台的安全性；第二層要素為評估判斷，對應安全合規檢查中的測評類準則；第三層要素為評估指標，對應安全合規檢查中的測評子類指標；第四層要素為評估方案，對應安全合規檢查中的安全控制點，是決策目標進行安全評估的具體方案指標。用於風險要素權重評估的遞階層次結構共分為 3 層：第一層為目標層 R；第二層為判斷層；第三層為指標層為的第個元素。

圖 3　雲安全綜合評估指標要素分解

（2）確定判斷層對目標層的權重。根據層次模型中的關聯關係，依據 Satty 提出的 9 級標度法，通過在各層元素中進行兩兩比較，構造出雲安全綜合評估指標判斷矩陣。雲安全綜合評估指標判斷矩陣表示本層次因素間針對上一層次因素的相對重要性比較。雲安全綜合評估指標判斷矩陣是層次分析法的基本信息，也是進行相對重要性計算的依據。

以為例，通過雲安全專家進行兩兩比較，評估判斷層各元素對於目標層的重要性，基於三角模糊數方法構造出判斷層對於目標層的模糊判斷矩陣，如表 1 所示。

表 1　雲安全綜合評估指標判斷矩陣

對各模糊判斷矩陣，計算其第 i 個元素相較於其他各元素的重要性程度為：

式中：n 為元素總個數；為通過模糊矩陣得到的綜合重要程度值；為重要性大於的可能性程度值。由此得出判斷層各元素對於目標層的重要度權重向量為歸一化之後的權重向量為。對上述的計算結果為。

（3）確定指標層對於判斷層的權重。指標層對於判斷層的模糊判斷矩陣的構造原理與判斷層對目標層的模糊判斷矩陣的構造原理相同。由之前計算判斷層各元素對於目標層排序權重分別為，若判斷層第i 個元素包含 m 個指標層因素，同樣的方式計算指標層對於判斷層權重為。

（4）確定指標層對於目標層的權重。前文進行的是層次單排序，為了得到最底層次所有元素與最高層間的相對重要性比較，還須在單排序的基礎上進行風險因素的總排序。此時，指標層對於目標層的權重為：

式中：n 為判斷層元素個數；m 為第i 個目標層元素下的指標層元素個數。

根據云安全綜合評估模型確定的評判矩陣計算出每個雲安全風險點的評分權重 A，採用計數減分方法進行雲安全風險評分，根據云安全綜合掃描結果判斷雲安全風險點是否計分，對雲安全風險點對應的掃描結果進行「&&」操作，若雲安全風險點對應的檢測規則全部通過，則判斷該風險點為安全；反之，則判斷為風險點存在風險。具體判斷規則如圖 4 所示。

圖 4　雲安全風險點風險判斷規則

對通過檢測的雲安全風險點進行計分，單個雲安全風險點計分的基準為 5 分，結合上述模型計算的每個雲安全風險點的評分權重 A ，得出單個雲安全風險點計分為5A 。在不同的雲平台安全防護等級中，相同的風險點造成的危害不盡相同，防護等級越高危害越大，因此，雲安全風險點計分增加防護等級調整因子I ，具體調整因子如表 2 所示。

表 2　雲安全風險點計分調整因子

定義 P 為雲安全風險評估得分，n 為未通過安全風險評估的風險點數量。上文計算 A 取值在 0.011~0.057 之間，雲安全風險評估的百分制計分規則為：

雲安全風險評估得分 P 採用百分制計分，計分結果表示雲平台安全程度，具體雲平台安全程度對應關係如表 3 所示。

表 3　雲平台安全程度對應關係

雲安全管控機制通過搜集業界雲安全產品和方案，形成雲安全產品目錄和雲安全專家知識圖譜，並從雲安全風險出發，基於智能算法決策和推薦雲安全防護策略、雲安全防護建議和雲安全防護預案，對雲安全運營提供智能輔助。雲安全綜合管控機制如圖 5 所示。

圖 5　雲安全綜合管控機制

5.1　雲安全防護策略

雲安全防護策略包括雲防火牆、雲網站應用防火牆、雲入侵檢測、雲漏洞掃描、雲主機綜合防護等雲安全軟件的防護策略。基於雲資產運行狀態和雲安全綜合評估，進而關聯分析，生成應對具體雲安全風險的雲安全防護策略。

5.2　雲安全防護建議

雲安全防護建議基於向量空間模型（Vector Space Model，VSM）、逆文檔頻率（Term Frequency- Inverse Document Frequency，TF-IDF）算法等，雲安全資源庫中的雲安全產品和雲安全知識圖譜的信息內容特徵化，基於雲安全風險矩陣中的關鍵信息，進而關聯分析、推薦雲安全產品、雲安全建設方案和雲安全防護規則。

5.3　雲安全防護預案

雲安全防護預案基於雲安全風險、雲安全產品目錄和雲安全知識圖譜，生成雲安全載荷投遞預案和雲安全策略強化預案。雲安全載荷投遞預案輸出雲安全防護服務部署配置清單，由雲安全管理員確認後，投遞至安全服務平台完成部署；雲安全策略強化預案輸出雲安全防護策略配置清單，由雲安全管理員確認後，提交至第三方安全策略驗證評估系統完成防禦效能驗證。

基於多雲風險評估的安全監管模型，實現雲資產數據和雲安全數據採集和融合，通過層次化分析方法和模糊綜合評估法挖掘雲平台的安全風險，進而結合雲安全專家知識庫，推薦適用的雲安全防護策略、建議和方案，有效應對當前雲平台呈現的「黑盒」情況，輔助雲安全管理員快速定位分析問題和獲取解決方案，提升雲安全運營過程中安全防護的效率和質量。