3.4 套路的关键是云上安全标准

3.4.1 首先需策略来指引

3.4.1.1 为什么要分级

安全工作的过程中，应该每个安全人都会遇到以下问题：

●配备的人力肯定不会充足，除了安全公司，安全不会是主业；

●产品和云的项目周期很紧，大项目都是半年到一年，而派生项目很多是一个月左右，不会给安全留下时间；

●加入安全了，整个产品流程就需要变更，而安全的价值是无法直接体现在用户价值上，没法提升用户购买量或者单价，而安全的投入又会往往比较大，所以研发和产品都会进行抵触。

这就需要有制定策略，既能够满足业务对于功能和时间的要求，又能够降低产品和云服务的风险以及费用。

分类分级是一个不错的策略，也是在安全中经常被使用的。

在物联网安全中，需要对物端进行分级、对数据进行分级、对云端进行分级，甚至对应用进行分级等，这是资源投入导致的。

3.4.1.2 进行合适分级

经过统计，大部分的云服务都是内部服务平台，包括一些提供对外访问的平台，研发、测试、预发，不对外提供服务和接口的系统，知识管理类、查询类、共享类，学习类的平台。这些云占了所有云的 66%左右。其特点是信息敏感度低、威胁低，所以可以使用最低的防护策略，比如只对关口进行防护。这个防护要求比等保 1 级的要求更低，可把它定为云安全一级，对内级。

大部分有提供互联网访问的平台，包括多媒体、广告、业务支撑、售后系统，这类的平台的特点是有些个人信息，也存放了敏感信息，但受到威胁，不会影响到业务的开展。这些在中的比例大概是 22%。此类安全应对策略是网络边界关口肯定要做加强防护，特别是重点保护云平台里面的数据，其防护措施可能和等保 2 级差不多，可把它定位为云安全二级，对外级。

一个组织总需要关键的基础设施、比如代码平台、核心业务平台，有大量用户信息的系统。这类平台的特点是假如此类受到威胁，会严重影响到公司正常运行或泄露大量个人信息的。这些云占比不到 10%，安全策略是对网络边界关口要重点防护，对整个云平台要全面保护，技术措施达到等保 3 级的要求，一般需要进行官方等保三级认证。可把它定位为云安全三级，核心级。

一般组织还会有金融类，有用户或公司财产的平台，这类云很少，也就 2%左右。策略是需要把所能掌握的安全措施都落实到位，而且一定要进行等保三级认证，防护措施是等保三级＋。可把它定位为云安全四级，金融级。

把以上的分类分级以及策略进行总结，如下图：

最终分为四级，这四级和等保的四个级别既是没有关系的，又有很大关联。

这个分类分级方式支撑了很多次的对外演讲。（参阅第 9 章的专业演讲）

3.4.1.3 粗定安全措施

根据分级策略和上一节的等保措施全貌，结合对云端工具的大体认知，可以粗略的定出大体的技术措施。

●内部级：对业务端口可以部署防火墙，对于管理出口，可以使用VPN、堡垒机；

●对外级：对业务可以部署防火墙、漏扫、数据备份、数据分级加密，对于管理出口可以部署VPN、堡垒机和日记审计平台；

●核心级：对业务部署防火墙、应用防火墙WAF、杀毒、漏洞扫描、数据备份、数据库审计、数据加密、DDOS防护等，对于管理部署VPN、堡垒机、日记审计和态势感知。

●金融级：防火墙、WAF、杀毒、漏洞扫描、数据备份、数据库审计、数据加密、可信密钥、脱敏、DLP防泄露、DDOS防护等，关于管理部署VPN、堡垒机、日记审计、态势感知等。

这就需要详细了解安全工具都是干什么的了，可以说云基础安全都是由工具来构成的，就比如给Windows电脑装杀毒软件一样。

3.4.2 需了解云安全工具

云端的各种手段和工具非常之繁多，能在网上找到很多介绍，这里写的是本书可能会用到、会提及到的，或者在后面会讲到的。

3.4.2.1WAF

（1）概念

WAF（Web Application Firewall），WEB防火墙，专注于网站及WEB应用系统，对应用层提供安全防护，可以有效缓解网站及应用系统面临的场景威胁，可以快速地应对WEB业务的恶意攻击。

（2）原理

（3）特点

●部署简单快速；

●智能防御；

●支持负载均衡；

●弹性扩容、业务不中断。

（4）解决应用防护的需求

这是第一个约供应商谈并被采用的商用安全工具，当时和供应商来回谈了好多次。

3.4.2.2 堡垒机

（1）概念

堡垒机是一款系统运维和安全审计的管控平台，集中了运维的身份鉴别、账号管控、系统操作审计等多种功能。

（2）原理

基于协议的正向代理实现，通过正向代理的方式实现对SSH、远程桌面、SFTP等常见运维协议的数据流进行全程记录，并通过协议数据路重组的方式进行录像回放，达到运维审计的目的。

（3）特点

●高效运维，统一资源管理；

●权限管控，不同角色对应不同权限；

●合规审计，记录所有的运维操作，实施监控、录屏、溯源回放。

（4）解决安全运维管理的需求

云服务研发团队一直有采用的安全措施，而且有开源的，比WAF的早。

3.4.2.3 防火墙

（1）概念

云防火墙是共有云环境下的SaaS化的防火墙，可以统一管理互联网到业务的访问控制策略和业务之间的微隔离策略。

（2）原理

VPC：虚拟私有云。

内置威胁入侵检测模块（IPS），支持全网流量可是和业务访问关系可视，保障业务网络层的访问控制和防护。

云防火墙可以用在整个云和外部的隔离访问控制策略上，也可以用在内部VPC之间的隔离，还可以用在VPC内部的隔离。

（3）特点

●流量识别实时监控；

●简化安全策略；

●纵深VPC隔离；

●异常行为阻断。

（4）解决访问控制的需求

防火墙应该一直有的安全措施。

3.4.2.4 态势感知

（1）概念

态势感知通过采集授权数据，进行多维度集中呈现，结合大数据挖掘和分析技术，提供覆盖从攻击者分析到全局分析的能力，可理解过去发生的安全事件以及将来可能发生的安全事件。

（2）原理

（3）特点

●云环境安全评估；

●云资源安全配置；

●及时发现入侵事件；

●事前预防能力；

●事件的回溯与调查。

（4）解决统一管理的需求

这是一直想安的工具，但都没预算上马。

3.4.2.5 安全审计

（1）概念

日记审计对各类安全产品、主机、系统、应用的日记进行收集汇总、标准处理、及时发现各种威胁，异常行为，满足审计要求等。

（2）原理

（3）特点

●可统一收集安全设备、网络设备、服务器、中间件、数据库、应用的日记；

●可多种收集方式；

●对日记归一处理；

●可视化显示；

●查询简单。

（4）解决安全审计的需求

日志审计应该云服务会有自带。

3.4.2.6DDOS防护

（1）概念

分布式拒绝访问DDOS（Distributed denial of service）是在拒绝服务基础上产生的一类攻击方式，攻击者将众多的PC终端联合起来作为攻击平台，对目标主机发起协作攻击。

（2）原理

利用提高防护节点的流量值防御DDOS攻击，比如临时将流量从 10G提高到 10T。

（3）特点

●单用户T级防御；

●弹性防护，阈值自足调节；

●均衡分发；

●IP地址过滤。

（4）解决安全审计的需求

可以动态加上，有被大流量访问的时候按需求加上。

3.4.2.7 入侵检测

（1）概念

入侵检测系统IDS（intrusion detection system）监视网络或系统的活动从何发现恶意的或违反安全策略的活动并向报告的设备或软件。

（2）原理

（3）特点

●恶意文件检测；

●未知威胁检测；

●恶意脚本检测；

●威胁情报；

●包括基于主机的HIDS，基于网络的NIDS。

（4）解决入侵与恶意代码的需求

通过等保三级的时候给加上了。

3.4.2.8VPN网

（1）概念

虚拟专用网VPN（virtual private network）利用网络设施将属于同一安全域的主机通过隧道技术等手段，并采用加密、认证、访问控制等综合安全机制，构建独立、自治、安全的虚拟网络。

（2）原理

（3）特点

●专用加密通道；

●密钥交换协议IKE；

●热备架构，秒级切换。

（4）解决远程接入与网络隔离的需求

云服务研发团队一直有采用的安全措施，有开源的。

3.4.2.9 蜜罐技术

（1）概念

蜜罐技术是一种对攻击方进行欺骗的技术，通过部署一系列的诱饵主机、网络服务等，诱使攻击方对它们实施攻击，从而可以对攻击行为进行溯源和分析，了解攻击手段、推测攻击意图和动机。

（2）原理

（3）增强安全计算环境

参加各种会议都会听到，实际应该没有采用到。

3.4.2.10 漏洞扫描

（1）概念

基于漏扫数据库，通过扫描等手段对计算机系统的安全脆弱性进行检测，发现可利用漏洞的一种安全检测方式。

（2）原理

（3）特点

●网络漏洞；

●主机漏洞；

●数据库漏洞。

（4）解决安全计算环境的问题

试用或购买过一两次进行扫描，可以按次买。

3.4.3 一级演化处对内级

3.4.3.1 确定目标

内部云安全一级或对内级的目标如下图所示。

3.4.3.2 演化要求

根据目标和参考《网络安全等级保护基本要求》第一级演化出内部执行标准的对内级。

解释：

●安全物理环境整个不需要，因为大多业务都在公有云，环境安全也不好执行；

●可信验证的技术没有具备，无法加入要求；

●把安全计算环境拆分为主机安全、应用安全、数据安全，更容易让业务和研发理解；

●安全管理制度、机构、人员、建设等要求属于公司整体组织架构，安全的定位也无法制定和执行；

●安全运维保留和技术相关的内容，更容易执行。

3.4.3.3 参考方案

根据所演化的标准，基于一个典型的云服务架构，就可以制定参考方案。

方案：

●主关口采用了木马病毒查杀、防火墙、入侵检测等工具手段，具有超过等保一级所要求的安全技术；

●运维关口采用VPN、堡垒机的工具，达到了很强的防护；

●对于主机安全、应用安全、数据安全只是做到了基本的安全防护。

把安全措施和标准进行对应，如下图所示：

这符合甚至超过所制定的目标。

关口防护：防火墙是普通访问入口，反病毒和入侵检测做到了加强关口的作用；VPN堡垒机作为管理入口进行防护。

3.4.3.4 投入测算

分布到每个类的安全措施如下图所示。

●必备的：

防火墙：可以采用系统提供的安全组策略，免费。

●增强的，但不是必需的：

漏洞扫描和反病毒软件：一年购买一次进行扫描，便宜。

入侵检测：需要购买。

存储加密和数据备份：存业务逻辑，增加存储空间，便宜。

3.4.3.5 落地例子

以一个知名的通用IoT平台为例：

●业务边界入口防护：部署在WEB前端之前，业务访问就需要先经过防火墙进行安全检查才能进入。

●安全运维入口：VPN提供远程安全的接入，而堡垒机做资源权限管控、用户操作行为审计。

3.4.4 二级演化处对外级

3.4.4.1 确定目标

内部云安全二级或对外级的目标如下图所示：

3.4.4.2 演化要求

根据目标和参考《网络安全等级保护基本要求》第二级演化出内部执行标准的对外级：

解释：

●安全物理环境和安全管理的就不作要求，没有画出；

●可信验证的技术没有具备，无法加入要求；

●主机安全、应用安全、数据安全等各种要求基本和安全计算环境对应起来；

●安全管理中心保留系统管理、审计管理的基本要求，更容易实现，安全的地位比较低。

3.4.4.3 参考方案

对比上一级，安全方案：

●主关口增加应用层防火墙WAF；

●VPN、堡垒机衍生到其他外部接入；

●增加漏扫扫描、数据加密、安全审计不到前台、中台等VPC服务器。

把安全措施和标准进行对应：

这符合甚至超过所确定的目标。

●关口加强：使用WAF对应用进行加强；肯定还包括其他上一级措施的加强。

●重点防护：使用数据加密服务对数据进行加强，使用漏扫对整体弱点进行加强，使用安全审计对威胁进行洞察。

3.4.4.4 投入测算

分布到每个类的安全措施如下图所示：

●必备的：

防火墙：可以采用系统提供的安全组策略，免费。

●比上一级增加：

漏洞扫描和反病毒软件：一年购买一次进行扫描，便宜。

存储加密和数据备份：存业务逻辑，增加存储空间，便宜。

入侵检测：需要购买，所以才有了HIDS选型的动作。

SSL证书：一年购买一次，费用不高；采用自己的密钥管理系统生成证书，免费。

日记审计：需要购买，费用好像不高；或免费。

●其他都是增强的，不是必需的。

3.4.4.5 落地例子

以一个知名的通用IoT平台为例：

●业务边界入口防护：防火墙/入侵检测防御系统/反病毒软件部署在网络入口，进行网络层的控制、流量攻击、漏洞攻击、木马攻击等防护。

●业务边界入口防护：WAF部署在WEB前端之前，进行应用层的防护，业务访问需先通过WAF进行应用层的检测和拦截。

●安全运维入口：VPN提供远程安全的接入，而堡垒机做资源权限管控、用户操作行为审计。

●漏洞扫描：对WEB漏洞、系统漏洞、数据库漏洞定时进行扫描修复。

●数据加密：对云端外部传输、存储的数据进行加密。

●安全审计：收集系统日记、操作日记、配置日记、威胁日记、安全日记进行分析审计。

3.4.5 三级演化出核心级

3.4.5.1 目确定标

内部云安全三级或核心级的目标如图所示：

3.4.5.2 演化要求

根据目标和参考《网络安全等级保护基本要求》第二级演化出内部执行标准的核心级，如下图所示：

可以看出：

●内部的标准对于数据安全提出了更详细的安全要求；

●安全管理中心和基本要求基本对齐；

●可信验证还是缺乏技术和落地，一般内部安全很难实现。

3.4.5.3 参考方案

对比上一级，安全方案：

●VPN扩展到把控所有的外部内部输入；

●审计分为日记审计、数据库审计；

●增加主机安全、态势感知等安全措施。

（试图把这图画起来，太复杂了，最终放弃不画了）这符合甚至超过所确定的目标。

●关口再强：已有措施的持续增强外；再加强VPN把控输入并对流量进行分析；DDOS攻击可以防御出现的大流量攻击。

●全面保护：除增强上一级措施外，态势感知可以感知全面的安全情况，方便采取适当的安全策略；主机安全是全面保护的标志；在日志审计的基础上有增加数据库审计，把审计扩展到数据。

3.4.5.4 投入测算

分布到每个类的安全措施如下图所示：

●必备的：

防火墙：可以进行采购。

入侵检测：需要购买。

漏洞扫描和反病毒软件：定时购买进行扫描，不贵。

SSL证书和安全接入：一年购买一次，费用不高；采用自己的密钥管理系统生成证书，免费。

存储加密和数据备份：存业务逻辑，增加存储空间，便宜。

日记审计：需要购买，费用好像不高或免费。

●比上一级增加：

恶意代码分析：需要购买。

流量分析：需要购买。

WAF：需要购买。

数据审计和运维审计：需要购买，费用好像不高或免费。

●其他都是增强的，不是必需的。

3.4.5.5 落地例子

以一个知名的通用IoT平台为例：

●业务边界入口防护：防火墙/入侵检测防御系统/反病毒软件部署在网络入口，进行网络层的控制、流量攻击、漏洞攻击、木马攻击等防护。

●业务边界入口防护：WAF部署在WEB前端之前，进行应用层的防护，业务访问需先通过WAF进行应用层的检测和拦截。

●新增部署DDOS，防御大流量攻击。

●安全运维入口：VPN提供远程安全的接入，而堡垒机做资源权限管控、用户操作行为审计。

●漏洞扫描：对WEB漏洞、系统漏洞、数据库漏洞定时进行扫描修复。

●数据加密：对云端内部和外部传输、存储的数据进行加密。

●安全审计：收集系统日记、操作日记、配置日记、威胁日记、安全日记进行分析审计，并送到态势感知进行分析。

●态势感知：新增态势感知，对各类日记进行聚合汇总分析，感知威胁趋势。

●新增主机安全，对主机安全、终端安全、配置检查等进行查杀防御。

●漏洞检测、入侵检测、日志分析、反病毒、资产中心等被统一集成在云安全中心；所以通常到了三级就采购云安全中心加WAF；基本满足以上各项要求。

3.4.6 三级演化出金融级

3.4.6.1 确定目标

内部云安全四级或金融级的目标如下图所示：

3.4.6.2 演化要求

根据目标和参考《网络安全等级保护基本要求》第三级（要求第四级没有给出）演化出内部执行标准的金融级：

可以看出：

●对于数据提出了更多要求，特别是在数据策略、数据源、终端数据上；

●等保的评测的基础是资产管理，但实际的资产非常复杂；

●供应链和合规管理同样的道理，组织和业务的负责，管理起来会比较麻烦，但到了最高级，就要加强管理，这里的管理指的是数字化上的管理，和等保要求有所不一样。

3.4.6.3 参考方案

对比上一级，安全方案：

●需要识别出敏感数据，对其做特别的保护；

●增加全代码审计，人力投入会比较大；

●这个级别，一般称为第三级的加强。

3.4.6.4 投入测算

分布到每个类的安全措施如下图所示：

●必备的：

防火墙：可以进行采购。

入侵检测：需要购买。

漏洞扫描和反病毒软件：定时购买进行扫描，不贵。

SSL证书和安全接入：一年购买一次，费用不高；采用自己的密钥管理系统生成证书，免费。

存储加密和数据备份：存业务逻辑，增加存储空间，便宜。

日记审计：需要购买，费用好像不高或免费。

恶意代码分析：需要购买。

流量分析：需要购买。

WAF：需要购买。

数据审计和运维审计：需要购买，费用好像不高或免费。

●比上一级增加：

代码审计：需要很大的人力投入。

主机基线：需要购买加人力投入。

数据脱敏：对于数据的采集、传输、处理、使用等需要重新设计方案。

态势感知：需要购买。

●其他都是增强的，不是必需的。

3.4.5.4 落地例子

以一个知名的通用IoT平台为例：

对比上一个级：

●加强对平台内数据的安全管控，特别是可信密钥的引入；

●对运维加强防毒网关；

●对整体增加零信任（没画）；

●对数据库增加隔离；

●主机基线和态势感知，在增强型安全中心中有提供。

实际执标会主要集中在技术方面，技术是本行，容易制定和执行；

实际执标和国标安全技术要求有所偏差，会考虑到具备的基础条件和软件都有什么；

实际执标考虑到业务人员的理解和执行情况，重新进行分类；

实际执标分类更像等保 1.0，因为云服务开发团队分主机、应用、数据等类别；

实际执标结合指南：给出方案、投入、例子。

注：本标准制定过程和目的还可参考书末“番外 我制定标准的过程” pM1fNxOMAkt7s4vTJntU3hxPJ32o8uA14fJ9c4flHnAo9djsypY3zDlIajoG6Rtr