一種基于多云風(fēng)險評估的安全監(jiān)管模型*

伍 榮，劉曉毅，王 進，崔 陽，溫尚國，郝子龍

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引 言

云計算平臺廣泛應(yīng)用于金融、交通、醫(yī)療、電力、教育等行業(yè)，尤其在新冠肺炎疫情影響下，用“云”量呈幾何級數(shù)增長，應(yīng)用場景廣泛、部署模式多樣化。而資源相對集中、接口標(biāo)準(zhǔn)不統(tǒng)一、數(shù)據(jù)格式不一致、接口版本迭代快、安全防護要素多等特點，使其成為安全防護的薄弱區(qū)域，安全防護設(shè)備難以全面兼容，安全防護手段難以深入云內(nèi)部，難以實現(xiàn)精細(xì)化、全要素安全防護。同時，現(xiàn)有的云資源模型僅圍繞資源管理調(diào)度進行設(shè)計，無法滿足云安全防護的整體需求，亟需針對云平臺安全防護的特點和要素，建立統(tǒng)一的云安全資源模型。

1 云安全現(xiàn)狀概述

當(dāng)前，云安全現(xiàn)狀包括云安全標(biāo)準(zhǔn)規(guī)范、云安全研究現(xiàn)狀、云安全產(chǎn)品現(xiàn)狀，通過對這3 個方面進行分析和總結(jié)，發(fā)現(xiàn)云安全防護的問題和不足。

1.1 云安全標(biāo)準(zhǔn)規(guī)范

2017 年7 月，云安全聯(lián)盟（Cloud Security Alliance，CSA）發(fā)布《云計算關(guān)鍵領(lǐng)域安全指南4.0》[1]，該指南從治理和運行兩個角度，描述云計算安全的關(guān)注領(lǐng)域，解決云計算環(huán)境中戰(zhàn)略和戰(zhàn)術(shù)安全的“痛點”，從而獲得可應(yīng)用于各種云服務(wù)和部署模式的組合。CSA 在云安全指南基礎(chǔ)上推出的“云安全控制矩陣”（Cloud Control Matrix，CCM），成為云計算信息安全行業(yè)的黃金標(biāo)準(zhǔn)。CCM 提供了評估云提供商整體安全風(fēng)險的基本安全準(zhǔn)則，通過對其他行業(yè)標(biāo)準(zhǔn)和監(jiān)管要求的定制，CCM 在16 個安全域內(nèi)構(gòu)建統(tǒng)一的控制框架，通過減少云中的安全威脅和弱點來加強現(xiàn)有的信息安全控制環(huán)境，提供標(biāo)準(zhǔn)化的安全和運營風(fēng)險管理，并尋求將安全期望、云分類和術(shù)語體系，以及云中實施的安全措施等標(biāo)準(zhǔn)化。

2013 年5 月，美國國家標(biāo)準(zhǔn)與技術(shù)研究院（National Institute of Standards and Technology，NIST）發(fā)布SP 500-299《NIST 云計算安全參考框架（NCC-SRA）》[2]，提出了云計算安全參考架構(gòu)，描述云中不同角色的安全分工，對聯(lián)邦政府機構(gòu)構(gòu)建安全的云環(huán)境提供指導(dǎo)。

2017 年12 月，我國發(fā)布國家標(biāo)準(zhǔn)GB/T 35279—2017《信息安全技術(shù) 云計算安全參考架構(gòu)》[3]，規(guī)范了各個角色的安全職責(zé)、安全功能組件及其關(guān)系，指導(dǎo)云計算系統(tǒng)建設(shè)規(guī)劃時對安全的考量和設(shè)計。2019 年5 月，我國發(fā)布國家標(biāo)準(zhǔn)GB/T 22239—2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》[4]，根據(jù)不同安全等級，對云計算安全提出了對安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心、安全建設(shè)管理、安全運維管理等方面的要求。

1.2 云安全研究現(xiàn)狀

目前，針對云安全的研究主要聚焦于云安全標(biāo)準(zhǔn)研究[5]、云安全風(fēng)險研究[6-8]和云安全防護體系架構(gòu)研究[7-10]，從標(biāo)準(zhǔn)要求、安全風(fēng)險及其防護思路出發(fā)，設(shè)計云安全防護系統(tǒng)，但是欠缺對云安全手段夠不夠、云安全防護能力足不足的感知和評估。

1.3 云安全產(chǎn)品現(xiàn)狀

當(dāng)前，業(yè)界的云安全產(chǎn)品眾多，名稱相差極大。從功能上劃分，主要包括云資產(chǎn)發(fā)現(xiàn)、云風(fēng)險監(jiān)測、云漏洞掃描、云合規(guī)基線、云安全防護、云風(fēng)險評估、云安全管控等安全產(chǎn)品。各安全廠商根據(jù)企業(yè)的技術(shù)特點和不同的用戶場景，基于上述產(chǎn)品功能推出了融合或超融合的云安全產(chǎn)品。

各類云安全產(chǎn)品受限于云平臺廠商類型、版本迭代等情況，因其適應(yīng)性各不相同，體系性也各有側(cè)重，致使云安全防護能力建設(shè)呈現(xiàn)局部化、片面化、形式化等問題，缺乏云安全能力體系化設(shè)計、指導(dǎo)和評判。

2 多云安全監(jiān)管模型設(shè)計

多云安全監(jiān)管模型從云安全監(jiān)測、評估和管控角度，可劃分為云安全狀態(tài)監(jiān)測層、云安全融合評估層和云安全綜合管控層，如圖1 所示。

2.1 云安全狀態(tài)監(jiān)測層

云安全狀態(tài)監(jiān)測層從云外部網(wǎng)絡(luò)、云計算節(jié)點、云平臺接口、云資源對象4 個維度，分別劃分為云接入安全監(jiān)測、云節(jié)點安全監(jiān)測、云接口安全監(jiān)測和云資源安全監(jiān)測，采集云外部安全數(shù)據(jù)、云節(jié)點安全數(shù)據(jù)、云安全管控數(shù)據(jù)、云安全資產(chǎn)數(shù)據(jù)和云資源安全數(shù)據(jù)。

2.2 云安全融合評估層

云安全融合評估層主要是基于多種云安全評估引擎，將采集到的安全數(shù)據(jù)進行迭代分析，形成云資產(chǎn)運行狀態(tài)矩陣、云資產(chǎn)操作行為矩陣、云資產(chǎn)網(wǎng)絡(luò)行為矩陣和云資產(chǎn)安全事件矩陣，進而關(guān)聯(lián)分析，形成云安全風(fēng)險矩陣，快速定位存在安全問題的云資產(chǎn)。

2.3 云安全綜合管控層

云安全綜合管控層通過構(gòu)建云安全專家知識庫，并基于云安全風(fēng)險矩陣關(guān)聯(lián)分析，深度發(fā)現(xiàn)云內(nèi)安全問題，生成云安全防護策略并推送至第三方安全策略配置系統(tǒng)，推薦云安全防護建議給云安全管理員，生成云安全防護預(yù)案推送至第三方云安全載荷投遞系統(tǒng)和第三方安全策略驗證評估系統(tǒng)。

3 云安全監(jiān)測機制

云資源安全監(jiān)測機制從云資源安全監(jiān)測、云接口安全監(jiān)測、云節(jié)點安全監(jiān)測和云接入安全監(jiān)測4 個維度，采集云安全狀態(tài)數(shù)據(jù)。

3.1 云資源安全監(jiān)測

云資源安全監(jiān)測采用輕量化代理設(shè)計，降低終端CPU、內(nèi)存、磁盤資源占用率。將輕量化代理放置于虛擬機操作系統(tǒng)內(nèi)部，通過容器Sidecar 機制，將容器輕量化代理放置于容器實例旁路，輕量化代理程序在用戶空間運行，捕獲虛擬機、容器實例的狀態(tài)信息，包括系統(tǒng)資源狀態(tài)、進程運行狀態(tài)、網(wǎng)絡(luò)通信流量、網(wǎng)絡(luò)通信關(guān)系等。通過資源使用狀態(tài)、資源占用情況、資源變化規(guī)律等分析監(jiān)測云資源的安全異常。

3.2 云接口安全監(jiān)測

通過建立云安全資源模型，設(shè)計多層次的接口適配，第一層適配器對接華為云、阿里云、騰訊云、電科云、華三云等多種云平臺接口；第二層將不同云平臺的資產(chǎn)信息轉(zhuǎn)換為云安全資源模型中的不同要素；第三層將轉(zhuǎn)換后的云安全資源數(shù)據(jù)入庫。該模型將云內(nèi)資產(chǎn)分為實體資產(chǎn)（服務(wù)器、存儲設(shè)備、網(wǎng)絡(luò)設(shè)備、云組件等）和虛擬資產(chǎn)（虛擬機、容器、云服務(wù)、云租戶、云存儲、云網(wǎng)絡(luò)等），將云內(nèi)資產(chǎn)與安全資源（安全域ID、身份ID、策略ID 等）建立映射關(guān)系，通過該模型對不同云平臺的資源信息進行轉(zhuǎn)換，實現(xiàn)云資源信息的統(tǒng)一采集。該模型持續(xù)監(jiān)測非法資產(chǎn)、非授權(quán)訪問、資產(chǎn)異?；ピL等安全風(fēng)險。

3.3 云節(jié)點安全監(jiān)測

云節(jié)點安全監(jiān)測以輕代理的方式將監(jiān)測程序部署在云平臺宿主機操作系統(tǒng)中，用于采集云平臺核心組件、進程的運行狀態(tài)、操作行為和網(wǎng)絡(luò)行為。

基于虛擬機內(nèi)省技術(shù)，在虛擬機外部對虛擬機內(nèi)部的運行狀態(tài)和系統(tǒng)信息等數(shù)據(jù)進行采集，包括CPU 狀態(tài)、內(nèi)存、磁盤、網(wǎng)絡(luò)信息等。通過分析系統(tǒng)狀態(tài)（軟件狀態(tài)和硬件狀態(tài)）來探測和檢查虛擬機的內(nèi)部狀態(tài)，實現(xiàn)對虛擬機對象全面徹底的觀察和監(jiān)控，及時發(fā)現(xiàn)虛擬機運行異常、內(nèi)部資源使用異常、網(wǎng)絡(luò)流量異常等安全問題，同時實現(xiàn)對虛擬機內(nèi)部的透明性，降低終端CPU、內(nèi)存、磁盤資源占用率，從而提高自身的安全性和執(zhí)行效率。

3.4 云接入安全監(jiān)測

通過在云節(jié)點外部網(wǎng)絡(luò)部署網(wǎng)絡(luò)探針的方式，采集外部終端與云平臺、虛擬機、容器的訪問請求、網(wǎng)絡(luò)連接和網(wǎng)絡(luò)流量信息。監(jiān)測各類網(wǎng)絡(luò)威脅和惡意代碼流量。

4 云安全評估機制

云安全評估機制通過構(gòu)建云安全評估框架，集成云安全策略效能評估、云安全合規(guī)檢測和云安全風(fēng)險挖掘等多種云安全評估引擎。使用者可以按需組合不同云安全評估引擎，以流水線的方式串接不同云安全評估引擎，迭代分析云資產(chǎn)數(shù)據(jù)和云安全數(shù)據(jù)，生成云安全風(fēng)險矩陣。

4.1 云安全策略效能評估引擎

云安全策略效能包含策略合理性和策略有效性。策略合理性是指在云平臺不同安全防護點，評估云安全防護策略是否重復(fù)配置、是否配置沖突等問題，比如在云防火墻和云平臺安全組配置的訪問控制策略沖突；策略有效性是指通過探測手段，判斷訪問控制策略是否生效，同時綜合在云平臺不同安全防護點配置的訪問控制策略，若允許訪問，設(shè)置為“通道”，若不允許訪問，則設(shè)置為“墻壁”，生成類似迷宮的模擬環(huán)境，再基于深度強化學(xué)習(xí)智能體，自動游走迷宮環(huán)境中各個點位，結(jié)合已配置的訪問控制策略和實際生效的訪問控制策略，發(fā)現(xiàn)大規(guī)模、復(fù)雜化、人為影響導(dǎo)致的策略配置問題，評估是否達到防止非法訪問的能力，產(chǎn)生云資產(chǎn)安全事件。

4.2 云安全合規(guī)檢測引擎

云安全合規(guī)檢測引擎基于等級保護標(biāo)準(zhǔn)規(guī)范約束的安全合規(guī)要求，以及企業(yè)基于業(yè)務(wù)現(xiàn)狀構(gòu)建的安全基線，制定合規(guī)檢測項，再根據(jù)檢測項生成檢測任務(wù)。由檢測任務(wù)從云外部安全數(shù)據(jù)、云節(jié)點安全數(shù)據(jù)、云安全管控數(shù)據(jù)、云安全資產(chǎn)數(shù)據(jù)和云資源安全數(shù)據(jù)中，發(fā)現(xiàn)不合規(guī)問題，產(chǎn)生云資產(chǎn)安全事件。

云安全合規(guī)檢測引擎包含云硬盤加密合規(guī)檢測、鏡像運行狀態(tài)合規(guī)檢測、安全組配置合規(guī)檢測、高危端口合規(guī)檢測、虛擬機運行時間合規(guī)檢測、實例鏡像合規(guī)檢測、網(wǎng)絡(luò)狀態(tài)合規(guī)檢測、模板類型合規(guī)檢測等，并按需擴展規(guī)則解析能力。

4.3 云安全風(fēng)險挖掘引擎

云安全風(fēng)險挖掘引擎基于層次分析法與模糊綜合評價法，構(gòu)建云安全綜合評估模型。通過對云安全風(fēng)險綜合分析，將云資產(chǎn)數(shù)據(jù)與云外部安全數(shù)據(jù)、云節(jié)點安全數(shù)據(jù)、云安全管控數(shù)據(jù)、云安全資產(chǎn)數(shù)據(jù)和云資源安全數(shù)據(jù)關(guān)聯(lián)，基于模型評估云安全功能完備程度和云安全要求符合程度，生成云安全風(fēng)險矩陣和評估報告，給出云安全風(fēng)險評分和風(fēng)險點分布，作為云安全能力評估的最終結(jié)果。云安全綜合評估模型如圖2 所示。

（1）建立云安全綜合評估指標(biāo)層次結(jié)構(gòu)模型。以云平臺的安全性為決策目標(biāo)，將云安全評估指標(biāo)模型的指標(biāo)要素分解為目標(biāo)層、判斷層、指標(biāo)層和方案層，建立如圖3 的層次結(jié)構(gòu)模型。第一層要素為評估目標(biāo)，對應(yīng)云平臺的安全性；第二層要素為評估判斷，對應(yīng)安全合規(guī)檢查中的測評類準(zhǔn)則；第三層要素為評估指標(biāo)，對應(yīng)安全合規(guī)檢查中的測評子類指標(biāo)；第四層要素為評估方案，對應(yīng)安全合規(guī)檢查中的安全控制點，是決策目標(biāo)進行安全評估的具體方案指標(biāo)。

用于風(fēng)險要素權(quán)重評估的遞階層次結(jié)構(gòu)共分為3 層：第一層為目標(biāo)層R；第二層為判斷層 R （iR1～R6）；第三層為指標(biāo)層 Rii（jR11～R13，R21～R27，R31～R36，R41～R42，R51～R54，R61～R65），Rij為Ri的第j 個元素。

（2）確定判斷層對目標(biāo)層的權(quán)重。根據(jù)層次模型中的關(guān)聯(lián)關(guān)系，依據(jù)Satty 提出的9 級標(biāo)度法，通過在各層元素中進行兩兩比較，構(gòu)造出云安全綜合評估指標(biāo)判斷矩陣。云安全綜合評估指標(biāo)判斷矩陣表示本層次因素間針對上一層次因素的相對重要性比較。云安全綜合評估指標(biāo)判斷矩陣是層次分析法的基本信息，也是進行相對重要性計算的依據(jù)。

以R1～R6為例，通過云安全專家進行兩兩比較，評估判斷層各元素對于目標(biāo)層的重要性，基于三角模糊數(shù)方法構(gòu)造出判斷層對于目標(biāo)層的模糊判斷矩陣，如表1 所示。

表1 云安全綜合評估指標(biāo)判斷矩陣

對各模糊判斷矩陣，計算其第i 個元素Ri相較于其他各元素的重要性程度為：

式中：n 為元素總個數(shù)；iS 、jS 為通過模糊矩陣得到Ri、Rj的綜合重要程度值；為Ri重要性大于Rj的可能性程度值。

（3）確定指標(biāo)層對于判斷層的權(quán)重。指標(biāo)層對于判斷層的模糊判斷矩陣的構(gòu)造原理與判斷層對目標(biāo)層的模糊判斷矩陣的構(gòu)造原理相同。由之前計算判斷層各元素對于目標(biāo)層排序權(quán)重分別為 Wi( i = 1,2, … , n)，若判斷層第i 個元素Ri包含m 個指標(biāo)層因素，同樣的方式計算指標(biāo)層對于判斷層權(quán)重為 Wij(i =1,2,…, n )( j =1, 2,… ,m)。

（4）確定指標(biāo)層對于目標(biāo)層的權(quán)重。前文進行的是層次單排序，為了得到最底層次所有元素與最高層間的相對重要性比較，還須在單排序的基礎(chǔ)上進行風(fēng)險因素的總排序。此時，指標(biāo)層對于目標(biāo)層的權(quán)重為：

式中：n 為判斷層元素個數(shù)；m 為第i 個目標(biāo)層元素下的指標(biāo)層元素個數(shù)。

根據(jù)云安全綜合評估模型確定的評判矩陣計算出每個云安全風(fēng)險點的評分權(quán)重A，采用計數(shù)減分方法進行云安全風(fēng)險評分，根據(jù)云安全綜合掃描結(jié)果判斷云安全風(fēng)險點是否計分，對云安全風(fēng)險點對應(yīng)的掃描結(jié)果進行“&&”操作，若云安全風(fēng)險點對應(yīng)的檢測規(guī)則全部通過，則判斷該風(fēng)險點為安全；反之，則判斷為風(fēng)險點存在風(fēng)險。具體判斷規(guī)則如圖4 所示。

對通過檢測的云安全風(fēng)險點進行計分，單個云安全風(fēng)險點計分的基準(zhǔn)為5 分，結(jié)合上述模型計算的每個云安全風(fēng)險點的評分權(quán)重A，得出單個云安全風(fēng)險點計分為5A。在不同的云平臺安全防護等級中，相同的風(fēng)險點造成的危害不盡相同，防護等級越高危害越大，因此，云安全風(fēng)險點計分增加防護等級調(diào)整因子I ，具體調(diào)整因子如表2 所示。

表2 云安全風(fēng)險點計分調(diào)整因子

定義P 為云安全風(fēng)險評估得分，n 為未通過安全風(fēng)險評估的風(fēng)險點數(shù)量。上文計算A 取值在0.011～0.057 之間，云安全風(fēng)險評估的百分制計分規(guī)則為：

云安全風(fēng)險評估得分P 采用百分制計分，計分結(jié)果表示云平臺安全程度，具體云平臺安全程度對應(yīng)關(guān)系如表3 所示。

表3 云平臺安全程度對應(yīng)關(guān)系

5 云安全管控機制

云安全管控機制通過搜集業(yè)界云安全產(chǎn)品和方案，形成云安全產(chǎn)品目錄和云安全專家知識圖譜，并從云安全風(fēng)險出發(fā)，基于智能算法決策和推薦云安全防護策略、云安全防護建議和云安全防護預(yù)案，對云安全運營提供智能輔助。云安全綜合管控機制如圖5 所示。

5.1 云安全防護策略

云安全防護策略包括云防火墻、云網(wǎng)站應(yīng)用防火墻、云入侵檢測、云漏洞掃描、云主機綜合防護等云安全軟件的防護策略?；谠瀑Y產(chǎn)運行狀態(tài)和云安全綜合評估，進而關(guān)聯(lián)分析，生成應(yīng)對具體云安全風(fēng)險的云安全防護策略。

5.2 云安全防護建議

云安全防護建議基于向量空間模型（Vector Space Model，VSM）、逆文檔頻率（Term Frequency-Inverse Document Frequency，TF-IDF）算法等，云 安全資源庫中的云安全產(chǎn)品和云安全知識圖譜的信息內(nèi)容特征化，基于云安全風(fēng)險矩陣中的關(guān)鍵信息，進而關(guān)聯(lián)分析、推薦云安全產(chǎn)品、云安全建設(shè)方案和云安全防護規(guī)則。

5.3 云安全防護預(yù)案

云安全防護預(yù)案基于云安全風(fēng)險、云安全產(chǎn)品目錄和云安全知識圖譜，生成云安全載荷投遞預(yù)案和云安全策略強化預(yù)案。云安全載荷投遞預(yù)案輸出云安全防護服務(wù)部署配置清單，由云安全管理員確認(rèn)后，投遞至安全服務(wù)平臺完成部署；云安全策略強化預(yù)案輸出云安全防護策略配置清單，由云安全管理員確認(rèn)后，提交至第三方安全策略驗證評估系統(tǒng)完成防御效能驗證。

6 結(jié) 語

基于多云風(fēng)險評估的安全監(jiān)管模型，實現(xiàn)云資產(chǎn)數(shù)據(jù)和云安全數(shù)據(jù)采集和融合，通過層次化分析方法和模糊綜合評估法挖掘云平臺的安全風(fēng)險，進而結(jié)合云安全專家知識庫，推薦適用的云安全防護策略、建議和方案，有效應(yīng)對當(dāng)前云平臺呈現(xiàn)的“黑盒”情況，輔助云安全管理員快速定位分析問題和獲取解決方案，提升云安全運營過程中安全防護的效率和質(zhì)量。