前言:
6月23日,国土安全部(DHS)部长、网络和基础设施安全局(CISA)局长、预算和管理办公室(OMB)主任、联邦风险授权管理计划(FedRAMP)执行总务局长共同协商,制定并发布了《云安全技术参考架构》(Cloud Security Technical Reference Architecture)2.0版本,为机构利用云安全态势管理(Cloud Security Posture Management,CSPM)收集和报告云迁移和数据保护提供方法建议。
一 报告发布背景
近年来,美国针对日益突出和重要的网络安全态势,陆续发布了一系列行政命令,如:
2013年2月发布的第13636号“改进关键基础设施网络安全”行政命令,扩大信息共享项目,例如增强网络安全服务,向美国公司提供机密和非机密的网络威胁信息。
2017年5月发布的第13800号“加强联邦网络和关键基础设施的网络安全”行政命令授权各机构利用美国国家标准与技术研究院的网络安全框架(NIST CSF)实施风险管理措施,以减轻未经授权获取政府信息技术资产的风险。行政命令还指示各机构在IT采购中确定共享服务的优先次序。通过这种方式,指导机构在迁移到云环境时实现对数据的有效保护。行政命令更加强调网络安全框架的重要性,并为整个联邦政府更迅速地采用云奠定了基础。
2019年5月发布的第13873号“保障信息和通信技术及服务供应链的安全”行政命令,强调保护关键基础设施IT通过保障供应链的获取。通过这种方式,它突出了供应链和IT采购对于政府运作和机构使命履行的重要性。
2021年5月发布的第14028号“改善国家网络安全”的行政命令,为了跟上现代技术的进步和不断变化的威胁,联邦政府陆续向云迁移。
随着各机构相继使用云技术,为了以一种协调、慎重的方式从而使联邦政府能够预防、发现、评估和补救网络事件。更为推进这种做法,要求向云技术的迁移应在可行的情况下采用零信任架构。网络和基础设施安全局作为联邦民用网络安全的业务领导机构,根据最近影响云计算环境的网络攻击、不断变化的威胁以及不断变化的需求等情况,努力寻求为采用云服务的机构提供更好的支持,以提高云环境中的情景感知和事件响应,使当前的网络安全程序、服务和功能现代化,让其能够在具有零信任架构的云计算环境中充分发挥功能。
云迁移需要文化改变、确定优先顺序和设计新的方法,这些都必须得到所有机构的支持才能取得成功,由此推动了《云安全技术参考架构》2.0版本的制定和发布。
二 报告主要内容简介
《云安全技术参考体系架构》的目的是在各机构采用云技术时组织、协调和指导它们。使联邦政府能够识别、发现、保护、应对和从网络事件中恢复过来,同时改善政府和企业的整体网络安全。正如行政命令14028所概述的那样,因为开创性地实现零信任架构,旨在让各机构了解采用基于云的服务的优势和内在风险。《云安全技术参考体系架构》还阐述了用于机构数据收集和报告的云迁移和数据保护的推荐方法。
《云安全技术参考体系架构》旨在以下列方式为采用云服务的机构提供指导:
· 云部署:为机构安全地过渡、部署、集成、维护和操作云服务提供指导。
· 适应性解决方案:提供灵活和广泛适用的体系架构,以标识云功能并提供与商家无关的解决方案。
· 安全体系架构:支持建立云环境,并为代理操作提供安全的基础设施、平台和服务。
· 开发、安全和运营(DevSecOps):支持工程周期的动态安全开发,开发周期内通过构建、学习和迭代来完成设计、开发和交付,最终实现在全生命周期的每个阶段自动实现安全性。
· 零信任:支持计划采用零信任架构的代理机构。
这一技术参考架构分为三个主要部分:
· 共享服务:涵盖评估云服务安全性的标准化基线。
· 云迁移:概述云迁移的策略和考虑因素,包括对常见迁移场景的阐释。
· 云安全态势管理:定义云安全态势管理,并列举用于云环境中的监视、开发、集成、风险评估和事件响应的相关安全工具。
《云安全技术参考体系架构》围绕组成和协同作用(见下图),详细阐述如下:
1、共享服务层
尽管近年来随着云多年来的发展,各种各样的服务包括桌面即服务(DaaS)、安全即服务(SecaaS)、人工智能即服务(AIaaS)、容器即服务(CaaS)、灾难恢复即服务(DRaaS)、物联网即服务(IOTaaS)、位置即服务(LaaS)、监控即服务(MAaS)、通信即服务(UCaaS)和工作空间即服务(WaaS)等服务大大混淆了云最基本服务的概念,依据NIST定义的三个基本的云服务模型(SaaS,或软件即服务;PaaS,或平台即服务;IaaS,或基础设施即服务)来进行分类和确定使用和保护方式。并明确各方对技术、安全、数据等负有的责任。详见下图:
需要特别强调的是其中描述的云服务模型的特性依赖于采购期间设置的合同条款(云获取不在这一技术参考体系架构的范围内)。
在此基础上,详细介绍了FedRAMP机构、适用范围,阐述了FedRAMP及相关的角色和责任,以及机构如何利用FedRAMP服务支持其云迁移。
FedRAMP下的安全考虑事项:连续监视、事件响应和授权边界。
2、云迁移
介绍机构在云环境中设计、实施和维护数字服务时的计算平面和注意事项。为确保向云服务的有效和安全过渡,各机构应:
· 设计云软件:各机构可以利用云的灵活性来组合服务以支持他们的工作,各机构应在软件开发生命周期(SDLC)中尽早在基于云的数字服务中实施安全措施。从一开始就确定需要实现的服务和功能,以便创建一个安全高效的云环境。促进DevSecOps自动化安全测试的机构将能够开发可扩展、可重复、可靠和与零信任理念相一致的体系架构。DevSecOps可以与由IT部门支持的集中式SaaS相结合,以支持软件发布的安全性测试。基于云的数字服务可以跨越IaaS、PaaS和SaaS。这些服务模型以及内部模型,在系统的不同层次上有所不同。
· 创建云迁移策略:云迁移是将业务操作和任务转移到云中的过程。对许多机构来说,这意味着从可能不再支持用到的老旧基础设施,转向获得支持机构应用解决方案的更灵活和更符合成本效益的现代基础设施。云环境本质上涉及到从现场解决方案到思维方式的转变。云迁移涉及很多准备工作,取决于应用程序生态系统的大小、当前应用程序和系统的年代、用户基础和数据量。各机构应考虑;随着时间的推移,数据的积累会给云迁移带来更多的挑战。当代理机构决定迁移他们的应用程序到云时,应该综合权衡采用基于云的技术的好处、风险和挑战。
· 云迁移场景:每个云迁移都与原始应用程序一样独特,因此就如何执行迁移给出通用的建议是很有挑战性的。《云安全技术参考体系架构》提出遵循以下步骤可以增加成功的机会:
1)计划:确定要使用的策略、云服务提供商和服务类型以及应用程序的路线图。
2)设计:创建应用程序的体系架构,重点关注系统的分布式特性。评估云服务提供商为本机构提供的服务。
3)试验:创建一个最小可行的产品(MVP)来演示应用程序将在云中工作情况。
4)迁移:准备好产品的云版本,包括移植全部需要的数据。
5)维护:无论是从产品特性角度还是从性能角度持续改进云应用。
· 采用开发、安全和运营(DevSecOps)方法:DevSecOps–一种开发、安全和操作的组合是一种软件开发理念,它将编写代码与测试、安全和部署代码紧密结合在一起。它可以分解开发人员、安全工程师、操作工程师和质量保证专业人员之间的传统角色,并让他们作为一个团队发挥作用。这是通过组成跨功能团队与这些角色并肩作战来实现的,完全拥有成功地开发、启动和维护他们的服务。DevSecOps应该是各机构开发、安全和交付云中应用程序的主要方法。DevSecOps通常使用持续集成(CI)、连续交付(CD)、基础设施代码(IAC)、安全测试和最小特权原则来利用自动化和产生可靠和可预测的数字服务。
· 集中公共云服务:当开发人员在云中迁移、创建和部署应用程序时,他们的代理可以通过管理和维护共享服务来提供帮助。通过提供共享服务,开发人员可以将更多的时间集中在任务上,而用更少的时间开销用于维护任务。这些服务分为四个领域:
1) 机构PaaS
2) 开发工具和服务
3) 面向公众的服务
4) 安保服务
在代理级别共享一些服务可以帮助团队减少管理开销,更快地开始使用云本地技术,从而可以有空考虑降低其他开销。
· 人力投资:通过云服务供应商构建可伸缩、可重复的体系架构需要对流程和过程进行更改,不仅涉及部署工具和应用程序的工作人员,而且涉及这些工具有关的众多用户。机构将需要投资于人员,以交付基于云的项目。他们还需要重新设计程序,对所有工作人员进行培训,并促进接入的可靠性。
3、云安全态势管理
云安全态势管理是指通过识别、提醒和减轻云漏洞、降低风险和提高云安全性来持续监视云环境的过程。
云安全态势管理功能力求支持以下活动成果:
· 治理和遵约
· 标准和政策
· 特权和身份访问管理
· 数据保护
· 基础设施和应用保护
· 系统健康和资源监测
· 事故反应和恢复
这些能力包括:
· 安全和风险评估
· 持续监测和警报
· 身份、证书和访问管理(ICAM)
· DevSecOps集成
· 基于人工智能((AI)和机器学习(ML)的安全能力
此外,特别强调采用云与零信任迁移之间的关系,虽然这并不意味着迁移到云服务会立即转化为零信任架构。云服务能够实现零信任,部分原因在于云的分布式特性需要额外的配置和管理支持,以便实现对资产、用户和数据的安全性和可见性,而零信任体系架构正好需要这种安全性和可见性。
4、总结
《云安全技术参考体系架构》阐述了在联邦机构继续采用云技术时所推荐的云迁移和数据保护方法。这些方法将使联邦政府能够识别、发现、保护、应对和从网络事件中恢复过来,同时改善整个政府和企业的网络安全。此外,这些方法使各机构了解随着其网络体系架构的发展,采用基于云的服务的优势和内在风险。
三 对我们的启示
本次发布的《云安全技术参考体系架构》2.0版,作为顶层文件它并不抽象、空洞,十分详实具体;作为底层指导性文件,它并不啰嗦繁杂,它十分简洁实用。纵观全文,有以下几点给人印象深刻,特别值得我们学习和借鉴。
1、顶层设计科学严谨
一直以来,美国的方方面面似乎给我们留下了自由奔放的企业主导、自下而上的印象,其实不然,在关乎国家安全的各个领域–特别是密码、安全领域,美国一直采用的是自顶向下的模式,国家层面的战略、架构设计乃至实施技术规范、迁移推进步骤、监管与评估从未放手过,均采用的政府主导甚至直接主抓并严管、严控,因此政府各级主管部门的战略与顶层设计能力经长期培养与锻炼后能力十分突出,本次发布的《云安全技术参考体系架构》展现了这种顶层设计能力,它不是那种见招拆招的应急式文件,而是梳理清楚了云服务的模型、明确了各主体的责权利、指出了云迁移面临的风险、提出了具体的安全措施,更是围绕中长期目标–零信任架构的全面实现而实实在在地推进的顶层设计文件,具有十分突出的前瞻性指导作用。
2、强调云安全态势管理
云安全态势管理为机构提供了对云资源、应用程序和数据的访问和管理。由于将数据和应用程序移动到云端后,其实的机构是放弃了对资源的物理访问的,随着云部署的成熟,要管理数据和应用程序变得越来越复杂、越来越困难,因为要涉及多个供应商和工具。此外,近年来针对云的网络攻击越来越多、影响越来越大,因此云服务提供主动管理和监控对于保护联邦政府免受网络威胁的必要性越来越突出,风险管理的要求越来越迫切。
随着迁移到云,也有机会实施细粒度控制和保护,以及通过使用自动化工具来监视云的所有方面、发现威胁和警告异常,从而管理云安全,这就是云安全态势管理的实质。它支持不断改进机构的网络安全态势和能力,使各机构能够跟上新出现的威胁,防止配置不当,并减少安全事件或数据泄露的风险。为此,《云安全技术参考体系架构》中针对不同情形给出了十分详细的参考做法,指导不同机构具体实施。
3、零信任落地
《云安全技术参考体系架构》明确了通过云安全态势管理从而促进零信任架构来实现这一目标。
正如14028号命令所描述的那样,迁移到云部署的机构应该采用零信任原则,并将其环境转换为零信任体系架构。为实现这一目标,各机构应侧重于加强网络安全能力的基本领域–如身份管理、资产管理、网络安全、应用程序安全和数据保护–将其集成在办公场所内和云中,这完全符合NIST SP 800-207所指出的设计出零信任架构的方法,具体而言:零信任架构要求机构致力于一种身份管理解决方案,提供跨云和现场环境的全范围的身份识别,有效地管理这些身份和相关凭证,并提供全面统一的安全保护。云安全态势管理要求各机构将其在现场的身份与云环境中的身份进行集成,提供监视和分析,从而确保在规模和跨环境的情况下为部署的服务自动配置访问控制,可以说是为零信任架构做好了前期铺垫;此外,云安全态势管理工具可用于收集漏洞数据和强制执行规范,确保用于访问服务和数据(包括托管在云环境中的服务和数据)的设备的完整性;使用云安全态势管理功能来管理云网络和可见性,符合零信任架构中要求的机构应该分割他们的网络、减少横向移动、限制权限和控制攻击向量的要求;云安全态势管理功能可用于监视和管理应用程序部署配置,符合零信任要求的将安全控制与其应用程序工作流程更紧密地结合起来的指导方针;云安全态势管理工具提供对访问日志中异常活动的持续监视和警报,并帮助识别和防止可能导致数据泄漏和数据丢失的错误配置,符合零信任体系架构要求机构持续评估如何在云中保护数据的要求。
—-数据来源:信息安全与通信保密杂志社