云资源层安全能力解析

全文共5012字，阅读大约需10分钟。

云计算应用渗透百业 ，云计算资源的规模增长迅速，同时业务变更周期更短，对云资源的管理和控制的性能和敏捷性要求日渐提高，云资源管理平台已成为云领域业务发展的基础。目前Openstack已经成为IaaS的事实标准，为众多商用的云平台底座。Kubernetes也成为云原生编排系统事实上的标准。

无论是Openstack，还是Kubernetes，都是使用云计算的技术，将底层各类资源进行管理、控制和编排，因而从广义上来看，这些云计算系统在资源管理方面，包含了虚拟化层（虚拟机管理程序，Hypervisor）、云平台组件（Openstack和Kubernetes的各类组件）、物理资源（宿主机、物理网络等）和物理环境（机房中各类硬件设施）。

本文中，我们重点解析了云计算管理平台的安全能力，总体而言，其安全能力应当适应云资源管理平台的功能与安全需求。

首先，云资源平台的安全能力自身应该符合云的软件定义资源的原则，并进一步实现从虚拟化、容器化、到服务化的形式，与云的形与神都融为一体。

其次，云上应用和业务系统的安全受到普遍重视，我们会持续解析各类部署在云中的安全能力；但同时读者也应看到攻击者对于云平台管理面的攻击逐渐增加，另外，随着多云混合云场景越来越多的应用，给云平台的安全带来了更多安全风险，也增加安全防护难度。如不必要的暴露面、不一致的访问策略、泄露的访问凭证等，都可能造成管理平台失陷。作为云上应用安全的基础和前提，我们也应重视云计算平台的安全。

需要说明的是，过去的云原生的概念一般特指容器、云原生编排系统和微服务，以区别的虚拟机为代表的传统云概念。但现在随着云原生的演进，一些云厂商，如微软，将云原生的定义扩展为包含虚拟机、容器和微服务领域，并将资源进行统一管理。与此同时，在安全层面容器安全与虚拟机安全，也合并为云原生资源层安全，因而本文也可解读为云原生资源层安全能力的解析。

随着云平台商用、开源软件的日趋成熟，云平台自身框架的及安全风险会逐步降低，但是云平台集成了众多的第三方软件，软件生态复杂。这部分的安全风险却逐渐提升，需要采用安全手段进行全面评估，并且在统一的安全管理平台闭环管理。

大型机构处于业务的可用性等考虑，通常会把业务部署在多个不同云服务商的基础设施上。基于效率和效果的考虑，产生了对多个云上的基础设施做统一管理的需求，催生了多云管理产品的出现。同样地，客户对多云场景下的安全统一管理也有强烈的需求。

首先，多云的身份管理是至关重要的。事实上，如果客户在多云环境下使用不同平台的身份管理机制，而没有采用统一的鉴权机制，那么当不同云平台身份不一致时就可能出现攻击者在不同云中横向移动的风险，因而多云管理是云资源层安全能力的一个发展方向，其中多云身份管理。

此外，目前云计算技术的发展和应用迅速，云平台的生态空前繁荣，云中存放海量数据，虽然管理员或应用方可以通过访问凭证访问各类资源和数据，但从各类安全事件来看，大部分的云安全事件都是凭证泄露或权限错误配置造成的。当前云服务商缺乏有效的机制来可靠地控制用户在管理云平台控制台或访问资源时的身份访问权限，或者校验用户在资源访问的策略正确性和一致性，这就意味着组织可能在如何授予此类特权用户访问权限方面遇到了困难。用户的访问有很多次都包含过多的权限、过多特权或配置错误的情况，很多时候无法可靠地对这些用户的访问行为进行身份验证。这些风险在多云、混合云场景情况更为严重，应部署云身份防护方案、策略检查和安全审计方案来缓解此类风险。

云资源层安全包含了虚拟化层安全，云平台组件安全、物理资源安全、物理环境安全。

资产发现能力在云场景的专项能力。通过云平台组件的API来发现云资产信息，提升传统资产发现能力面对云场景的虚拟化资产发现能力。

典型场景为，云资产发现能力对接Openstack和Kubernetes组件的API接口，获取云内部的资产信息，并统一纳入资产库管理。

需要说明的是云上资产的管理，必须是面向租户的。即针对不同的租户有其对应的资产视图。

云平台的功能种类繁多，这样也造成云平台的组件增多以及配置增多，现在对云服务的攻击基本都利用了客户对云疏于管理、配置不当等错误。因此，云用户急需对（尤其是跨多云环境下的）IaaS和PaaS云安全配置的正确性与合规性进行全面、自动化地识别、评估和修复。Gartner也提出了云安全态势管理（Cloud Security Posture Management，CSPM ）的概念，关注识别云上的错误配置问题和合规风险,不断监测云上基础设施在安全政策执行。

云平台组件的配置安全基线核查功能，解决因为错误配置带来的安全风险。通过读取云平台组件配置文件内容，并与业界最佳实践（如CIS Benchmark）相对比，给出配置风险情况以及修复建议。

典型场景为，云平台组件配置核查能力通过对云平台组件的扫描获取配置文件，然后与配置核查基线进行对比，并给出偏差低以及整改建议。

主要指容器镜像资源的合规。云原生平台应用容器部署需要依靠镜像库中上有海量的容器镜像，容器镜像的安全性（包含：恶意代码、漏洞、敏感信息等）是云应用安全的基础。

云资源合规检查主要指云场景所使用的资源（镜像）进行多维度的扫描检查，包含：软件漏洞、敏感词、弱口令、恶意代码、违规软件等。确保相关资源在使用前，其中的安全风险就能被评估和发现。

典型场景为，云资源合规检查能力通过加载多种检测库，实现对容器云本地镜像和私公有镜像库中的镜像综合风险评估，并可以以报告的形式进行统计展示。

云平台组件本质上也是应用，为组件外部提供API或WEB访问方式。这也就必然要面临应用安全风险的挑战，所以应该为云平台组件实施应用事前漏洞评估，以及事中应用安全防护。

对云平台组件进行应用漏洞评估扫描，并对应用漏洞进行修复和管理。

用户访问云平台组件时要经过应用安全能力的防护，其中包含WEB安全和API安全，详见 “服务层安全”的“应用安全”章节。

在云计算中，虚拟化技术为虚拟机或容器提供了共享物理资源的能力，物理资源能够被高效率的使用，又实现了不同业务资源的隔离。但这也带来了安全问题，系统漏洞以及错误的软件配置，可能被攻击者利用并导致业务资源的隔离性可能被破坏，导致虚拟机逃逸、容器逃逸以及资源耗尽型攻击。 为了确保虚拟化环境中的安全。

通常情况下，基本的资源隔离机制由Hypervisor或操作系统内核来提供，前者通常基于进程的隔离性，后者通常基于Namespaces机制和Cgroups机制。在此之上，云计算管理平台应能够对虚拟机管理程序、容器管理程序和编排平台等进行配置核查，发现不安全的配置项，并按照规范进行配置加固。

需要能够及时发现虚拟化管理程序及底层基础设施的安全漏洞，提供漏洞告警信息或修复建议，确保漏洞的及时修复。

虚拟机管理程序在整个虚拟化架构的安全性中起着重要作用，因为它可以管理用户负载和 guest（访客）操作系统，创建新的 guest操作系统映像并控制硬件资源。管理 guest 操作系统和硬件资源等操作的安全含义意味着，应该将对虚拟机管理程序的访问限制为只有经过授权的云管理员才能访问。否则，云终端用户可能会从云服务提供商那里获取 VM，并安装恶意 guest操作系统，从而通过获得对其他 VM 的未授权访问并更改其内存而破坏虚拟机管理 程序。此外，在虚拟机中获得较低访问权限的攻击者可能会通过破坏 虚拟机管理程序内的硬件资源分配，将其访问权限提升到更高级别。因此，保护虚拟机管理程序免受未经授权的访问对于 IaaS 服务的安 全性至关重要。

包括宿主机安全和云基础网络安全，这部分能力包含传统安全领域的“宿主机安全”和“主机网络安全”，以及加密、可信计算等，一般由云厂商来保障，此处不做详细论述。

包括灾备、防火、防盗窃和防破坏、防水和防潮、防静电、电磁防护、电力供应、防雷击、防震，与传统的物理安全差异不大，一般由云厂商数据中心团队来保障，此处不做详细叙述。

云计算平台的管理面服务组件（如Kubernetes API Server），以及云计算租户的虚拟机端口、服务、微服务对外开放，如非必要互联网暴露则会出现极大的安全隐患，造成攻击者入侵、数据泄露等后果。云资源层一个未来的趋势是通过云计算平台的接口提供资产发现和管理能力，实现对云上的网络空间测绘、资产、攻击面的自动发现，并最终提供完善的外部攻击面管理（External attack surface management，Easm）。

此外，如第二章所述，随着客户重要业务上云、多云使用场景广泛落地，以及云提供的服务和资源的多样性，客户对于云资源和服务的动态安全访问和统一管理越来越重要，零信任接入是未来异构环境下接入访问云资源的大趋势。

最后，云上安全事件曝光数量逐年上升，而云安全的独立化、专业化也是一个趋势，由安全厂商建立统一的云安全运营中心，提供云端安全运营服务（融合MSSP与MDR）。一方面将安全资源管理与其他云计算资源管理集成，使得客户通过同一个视图看到云中的各种管理和运营；另一方面将一个客户的多朵云、云上云下的安全资源集中管理、运营，并进行自动化、高效的服务交付。

通过上述四个层级的安全能力的部署和运营，覆盖了云平台组件安全、虚拟化层安全、物理资源安全、物理环境安全，能够全面、纵深的保障云资源平台自身的安全，为服务层的安全提供了基础保障。