数字化已经成为推动经济社会转型，实现可持续发展，提升国家竞争力的动力引擎。

云计算作为数字化转型的底座，近年来在各行业发展迅猛，尤其是各个大的行业，基于私有云、混合云等不同建设模式构建自己的企业云/行业云，输出IaaS、PaaS、安全、运维等各种能力，并通过应用建设对外输出SaaS服务能力。

为有效保障数字化业务运营的安全、高效、可靠运行，在数字化建设过程中，应该按照内生安全的原则，践行安全和信息化同步规划、同步建设、同步运行的思想，将网络安全和信息化系统融为一体，在建设阶段就把安全能力融合到信息化建设中，在运营中才能实现数字化服务的安全交付，从而建立起具有动态、综合、可持续等特点的网络安全保障体系。

以此为指引，对于大型行业客户，在建设云计算基础设施的时候，应基于滑动标尺模型、云等保责任分担模型、CWPP等构建云安全体系架构，用零信任模型指导安全能力、业务能力、信息系统能力的深度融合，建立起网络安全保障体系的综合能力，以内生安全支撑云服务交付；将网络安全保障体系和运维运营深度融合，实现可持续常态化安全保障，支撑云服务持续安全稳定交付，确保云数据中心的安全稳定生产。

2 云安全体系架构

企业的云安全建设首先需要符合国家等保2.0的要求，其次结合云安全的关键风险和挑战，结合等保的云安全责任分担模型和滑动标尺模型构建云安全体系架构，借鉴CSA和CWPP的原则，构建云安全能力。

根据等级保护云安全责任分担模型，将云安全体系结构纵向分为云平台基础防护（橙色）与云化安全防护（蓝色）。云平台基础防护是对构成云平台的物理环境和物理设备的安全防护；云化安全防护是对云平台的逻辑网络、虚拟化、服务交付和数据的安全防护。其中绿色部分为统一安全平台。根据滑动标尺模型，可将云安全体系结构横向分为基础结构安全、纵深防御、积极防御、威胁情报，此四者为为叠加演进关系，形成云安全体系结构，如图。

图1 云安全体系结构

基础结构安全，是指在企业IT基础设施的结构和自身组件中实现的安全机制，以及在企业应用系统中实现的安全机制。这些机制本身兼具安全防护和系统保障的双重意义，虽然并不是与威胁直接“一一对应”或“针锋相对”的，但确实能够有效收缩IT环境攻击面，并增加网络安全防御纵深，同时为动态综合网络安全能力体系中其他层次的网络安全能力夯实基础。基础结构安全需要以CMDB配置管理为基础，实现安全加固、补丁与升级管理、日志收集即存储等功能。

纵深防御，是附加在IT基础设施如网络、系统、桌面使用环境等的基础结构之上，实现体系化纵深防御能力的安全机制。相对“动态积极防御”而言，属于静态的防御机制，以“面向失效的设计”为基本原则，逐层收缩攻击面，主要为的是有效消耗进攻者资源，并将一部分普通攻击者拒之门外。可为后面层次中的动态积极防御和情报驱动防御提供基础能力支撑。

积极防御，是在网络和系统具有良好安全基础结构的基础上，依托纵深防御所实现的防护和行为监视能力，以及为全天候全方位感知网络安全态势而增加部署的探针、传感器和采集器等设备所提供的数据收集能力，实现集中的监测分析与响应协同，并将其能力赋予经过良好训练的安全监控分析师团队，通过人工处置或联动各种已有的安全机制，在网络与系统内部主动对攻击行为展开“反击”。积极防御重点在数据的收集及分析，在私有云场景中，需要通过云管平台实现监控数据、日志数据、安全事件数据等的采集，上报态势感知等分析平台，并根据分析结果形成响应协同。

威胁情报，是通过对信息的获取与分析，了解网络空间威胁的作业能力、意图和行动，填补已知知识的缺口，聚焦有机会、有能力和有意愿造成伤害的威胁来源，实现对威胁的识别、跟踪和预测，进而支撑网络防御的决策，并提供采取系列措施的建议或触发应急响应流程和动作。情报对于积极防御的意义在于，一是通过提供可消费的情报能填补积极防御对攻击者情况了解的缺失，二是通过将情报反馈给积极防御可帮助其进行调整和提高防御效果，三是通过发现问题后触发响应可减少积极防御行动的不确定性。

滑动标尺模型为云安全建设明确了建设步骤，在云安全建设的过程中，应逐步完成基础机构安全、纵深防御、积极防御和威胁情报，左侧安全能力是右侧安全能力的基础和依赖，协同联动整体的安全能力。

3 零信任模型

3.1 零信任模型的定义

零信任体系架构是一种端到端的网络/数据安全方法，包括身份、凭证、访问管理、操作、终端、宿主环境和互联基础设施，是一种侧重于数据保护的架构方法。

零信任模型对传统的边界安全架构思想重新进行了评估和审视，并对安全架构思路给出了新的建议：默认情况下不应该信任网络内部和外部的任何人、设备、系统和应用，而是应该基于认证、授权和加密技术重构访问控制的信任基础，并且这种授权和信任不是静态的，它需要基于对访问主体的风险度量进行动态调整。

NIST给出的零信任模型定义为：零信任架构提供了一个概念、思路和组件关系（架构）的集合，旨在消除在信息系统和服务中实施精确访问决策的不确定性。零信任是一套不断发展的网络安全模式的术语，它将防御从静态的、基于网络的边界，转移到关注用户、资产和资源上。

3.2 零信任模型的原则

零信任模型的原则如下，这些原则定义是尝试零信任模型应该遵守的基本原则而不是排除的基本原则：

（1）所有数据源和计算服务都被视为资源。

（2）无论网络位置如何，所有通信都是安全的，网络位置并不意味着信任。

（3）对单个企业资源的访问是基于每个连接授予的。

（4）对资源的访问由策略决定，包括用户身份和请求系统的可观察状态，也可能包括其他行为及环境属性。

（5）企业确保所有拥有的和关联的系统处于尽可能最安全的状态，并监视系统以确保它们保持尽可能最安全的状态。

（6）在允许访问之前，用户身份验证是动态的并且是严格强制实施的。

（7）企业尽可能手机有关资产、网络基础架构和通信现状的信息，并利用这些信息改善其安全态势。

3.3 零信任架构的概念框架模型

零信任架构ZTA的概念框架模型如下图。该模型显示了组件基本关系及其相互作用。这些组件可以作为现场服务或通过基于云的服务来操作。

图2 零信任架构逻辑组件

企业可以结合自己的业务特点和安全建设情况，按照零信任思想和原则，选择不同的方式为工作流制定零信任架构，这些方法包括实现零信任的3大技术：增强的身份治理（IAM）、逻辑微分段（Micro-segmentation）和软件定义边界（SDP）。结合业务场景，零信任的各项技术相互之间可配合使用，解决不同的问题，例如在美国国防部的零信任实施中，在基本阶段使用了增强身份治理的访问控制和身份管理来改善用户访问，在中高级阶段使用了逻辑微分段来保护其资产和资源。

策略引擎是零信任的大脑，该组件负责最终决定是否授予指定访问主体对资源（访问客体）的访问权限。策略引擎使用访问请求、企业安全策略以及来自外部源（例如IP黑名单、资产数据库、历史主体行为模式、威胁情报服务等）的输入作为“信任算法”的输入，以决定授予或拒绝对该资源的访问。策略引擎（PE）与策略管理器（PA）组件配对使用。策略引擎做出（并记录）决策，策略管理器执行决策（批准或拒绝）。

策略执行点负责启用、监视并最终终止主体和企业资源之间的连接。不同的场景，应结合企业实际情况，灵活的选择策略执行点，如主体资产上的客户端安全软件、远程访问场景下的网关、数据访问场景下的API网关、应用软件的授权控制模块、应用资源隔离场景下的微隔离防火墙等。这些策略执行点的选择可根据业务需要选择单个或者多个组合，以满足业务的需要。

3.4 零信任模型是内生安全解决方案之一

零信任模型重点是应用和数据服务的安全交付。核心理念是基于身份的动态权限管理，其关键能力可以概况为：以资产为基础，以身份为核心、业务安全访问、持续信任评估和基于最小权限的动态访问控制。

因此将云安全体系架构滑动标尺的安全能力和业务系统、信息化系统紧密结合起来，动态联动，形成耦合关系，就可以形成基于零信任架构理念落地的一种内生安全解决方案。

4 以内生安全支撑云服务交付

行业企业应用包含了多种服务，例如面向公众，基于互联网提供行业应用服务；面向企业内部用户，基于企业内网、互联网提供的内部生产、OA等应用；面向合作伙伴，基于专线/互联网提供的行业应用、数据接口等服务。在这些服务的背后，还包含了特权运维、数据服务交付等场景。

4.1 以内生安全支撑应用及数据服务交付

在构建起云安全体系架构后，为实现内生安全的云服务交付，应结合场景，按照零信任的思想，进一步梳理所需要的安全能力，并将所需要的安全能力和业务软件开发、系统建设融合，而不再单纯是外挂式安全防护机制，实现安全和业务同步规划、同步建设，建立起以资产为基础、以增强身份治理为核心、动态调整授权的内生安全机制，支撑业务的安全防护。

安全能力的梳理，需要先梳理核心资产，清楚防护目标的暴露情况，清楚访问路径，清楚访问路径上资产的情况，并结合云安全体系架构滑动标尺中的各项能力对照，梳理出需要的安全能力、并分配到合理位置。

在应用交付场景中，防护目标是云上运行的应用，对外的暴露面包含了域名、IP、端口、API、URL、页面菜单/功能按钮、数据等。访问路径，通常包括用户终端、网络信道、云边界、应用边界、应用内虚拟网络、应用云机端点、应用服务等各个信息流经的节点。在访问路径上的用户终端设备、网络设备、云机、应用进程等都可能是安全管理需要的资产。安全能力的选择，要综合考虑业务访问效率、成本和安全要求，在内生安全思想指导下，结合云安全体系架构进一步梳理需要的安全能力：

1) 在基础结构部分可根据业务细分场景选择身份治理、统一安全加固、补丁升级管理、日志收集于存储、监控采集与存储等能力。

· 其中身份治理是关键，尤其是基于最小权限的动态授权是核心，需要注意结合业务软件开发、上云的过程，结合零信任思想，细化认证和授权，并结合纵深防御确定合适的执行点，逐层收缩攻击面。权限管理不仅包括了对网络接入权限管理，还包括了应用权限的管理。

· 结合细分访问场景，对基础结构安全能力选择也不同。例如对于用户终端的安全措施，在不同的细分访问场景下可选择不同的安全策略。对于公众从互联网访问，可选择用户身份治理，较弱的终端安全，如浏览器类型、版本的要求；而对于应用的管理员/运维人员从企业内网访问，则必须选择用户身份治理，访问终端安全加固、补丁升级等安全基线管理；而对应用运维人员/企业云基础设施运维人员/企业云基础设施供应链供应商从互联网访问，则在上述安全能力的基础上，还需选择终端合法性认证、网络流量加密等安全能力。

2) 在纵深防御部分，基于基础结构的资产、访问流向等，建立起逐层收缩攻击面、逐层防御的立体安全策略执行体系。

· 零信任的策略执行点可以是纵深防御的网络安全设备，具体产品形态可以是主机安全软件、应用WAF设备、虚拟化网络中的南北向/东西向防火墙、云原生微隔离、SDP网关、终端安全软件等。

· 云上工作负载的微隔离是纵深防御的难点。通过微隔离实现不同应用间的隔离和应用内部中各云主机/服务的隔离，除允许必要的通信外，默认拒绝任何其他访问，实现云上资源内部的微分段。工作负载的微隔离，应结合应用的部署模式选择相应的技术方案，例如对于基于虚拟机部署的云应用，可选择基于云平台虚拟化防火墙（包括南北向防火墙和东西向防火墙）的微分段方法，也可以选择基于云主机内部防火墙的微分段方法；对于基于容器部署的云应用，应选择云原生的微服务安全隔离技术方案。

3) 主动防御、威胁情报能力，可作为内生安全动态安全策略制定和动态调整的输入源。零信任策略引擎基于数据的汇聚和分析，结合身份库、权限库的数据，生成策略执行点的安全策略，并基于对资产监控、用户行为、安全事件、外部情报等动态变化信息的综合分析，自适应的调整安全策略，采用不同的响应手段。

在此过程中，基于身份的动态授权是内生安全的关键，包含权限管理以及动态调整两个方面。

权限包含了静态权限和动态权限，静态权限主要在网络平面，负责为应用提供稳定、逐层收缩的高质量网络传输通道；动态权限主要体现在应用自身。因此权限的管理需要结合业务访问路径上的设备、系统进行分段分层设置，网络准入负责终端接入企业网络的管理，网络纵深防御负责应用IP/Port/DNS的管理，应用负责微隔离/页面菜单/页面按钮/数据的管理，作为执行点的各个设备、系统应将权限配置、执行情况汇总到零信任模型的数据平台，以实现可视化和动态调整。其中关键点是应用自身实现基于身份的细粒度权限控制，这也是安全能力和应用软件融合实现非外挂式内生安全的关键之一。

应用软件通常都具有用户认证和权限管理模块，在新建应用系统的软件规划和设计时，应当结合业务需要和零信任的思想，在认证和权限模块中做基于身份的细粒度权限管理，并和零信任的策略引擎等联动，实现用户身份的动态验证、应用访问的动态授权。近年来流行的微服务架构，不仅具有认证和权限管理模块，甚至还具有网络流量访问控制能力，如服务网格解决方案Istio具有七层负载均衡能力、细粒度的流量路由控制、可插拔的访问控制策略（ACL、请求速率限制等）等能力，在基于Istio解决方案的应用开发中，应充分考虑基于这些能力构建内生安全网络安全保障体系需要的动态信任、微隔离能力。

数据安全防护和业务应用访问场景基本一致，其差异点在于数据服务场景安全交付的重点是数据安全。数据服务交付场景面临的风险包括API漏洞、缺乏细粒度数据访问权限、身份认证不足、数据泄露等，因此在规划和设计上除了云安全体系架构的基础架构安全能力、纵深防御能力，关键是结合应用软件和系统建设构建面向数据的内生安全能力。

面向数据的内生安全能力首先要基于数据治理，梳理出重要数据、敏感数据，按照零信任的思想，细化设计面向数据的身份验证、权限控制、访问行为审计等安全能力，设计和态势感知、零信任策略引擎互动的安全能力，并在构建数据访问API和系统建设时将这些安全能力嵌入到软件和系统中，实现用户访问数据范围可控、可跟踪。

另外在防止数据泄露上，还需要结合用户终端安全管控软件做细粒度权限管理，例如是否允许下载的数据通过微信、邮件等渠道外传。

权限的动态调整，既涉及到对攻击的防范，也关联到用户的正常访问，是内生安全机制实现的难点，企业可以结合自己的情况制定实施范围和策略，可考虑的点包括：

· 用户接入时的认证模式，伴随用户访问对象、访问环境、上下文信息，实现多因子动态认证；

· 用户接入时的权限，伴随用户、终端等认证凭证、访问上下文信息动态确定。既要防范攻击行为，但同时也要考虑成本、用户使用体念等因素。

· 云上资源动态调整时的安全策略随动。当应用资源发生变化时，如云主机/容器增加、减少、迁移，相应的安全策略同时变化。

· 根据态势感知、威胁情报动态调整；策略引擎根据应用的信息、态势感知平台、集中安全管理平台等系统做出策略，策略管理器把策略下达至作为策略执行点的设备、系统。

权限动态调整成功的关键能力包括：对多云环境的完全可见性、全访问路径的权限管理、业务访问关系/流量的可视化、自动化和编排的威胁检测、动态策略生成和执行：

· 对多云环境的完全可见性：能够看到应用运行的云资源情况，尤其是在混合云、多云情况下的资源配额、可用性，尤其是随动的云安全资源配额是否足够，以保障动态调整能有足够的资源做伸缩；

· 全访问路径的权限管理：梳理所有的访问路径以及路径上设备、系统涉及到的权限，按照分段分层的方式，梳理出不同设备、系统上各自该负责管理的权限，同时上报给零信任的数据平台，建立白名单的权限管理数据库，为权限分配可视化、权限动态调整奠定基础；

· 业务访问关系/流量的可视化：梳理出云上应用来自外部的访问关系，云上应用间的访问关系，应用内部组件/服务间的访问关系，并依据访问日志等信息建立起访问管理/流量的可视化，结合全访问路径的权限管理，实现策略动态调整；

· 自动化和编排的威胁检测：基于自动化和编排能力，实现威胁检测的自动化，如定时漏扫、能及时发现潜在风险并上报；

· 动态策略生成和执行：结合上述能力，能结合专家知识库、AI等手段实现策略的动态调整规则并下发到设备、系统执行；

综上，为实现内生安全所需要的基于身份的动态授权，最佳实现路径是在应用上实现，只有在应用上才能实现最小权限的细粒度访问控制，实现对用户行为访问应用的异常行为感知，实现基于角色的权限控制RBAC/基于属性的权限控制ABAC/基于策略的权限控制，实现应用层面的动态权限调整。这也是实现数据访问权限细粒度管理的最佳路径。

已研发的应用如果不具备这些能力，则可结合应用上云的过程逐步改造。

4.2 内生安全能力与运维运营融合构建实战化持续交付能力

为支撑云服务持续安全稳定交付，需要能“可持续”的发现网络攻击并基于协同响应的实战化安全运行做出有效响应，这就需要将网络安全保障体系和运维运营深度融合，实现可持续常态化安全保障，支撑云服务持续安全稳定交付。

首先通过网络安全保障体系的建设，形成网络安全基础设施，形成标准化的安全服务，并在日常工作中持续实施这些标准化的安全服务，确保安全能力的持续输出。

其次需要将安全运行融合到运维运营运行中，包括在信息系统的制度、流程等方面嵌入安全运行的要求，确保安全能力能被执行。

再次需要在安全团队和运维运营团队间形成紧密协作、循环提升工作机制。在面对网络攻击、威胁入侵、响应处置、动态策略配置及优化、权限管理等工作时，能团结协作，形成以数据驱动流程的运行模式，确保实战中能持续输出安全能力，支撑云服务的持续交付，并在此过程中形成PDAC闭环的工作机制，循环提升安全运行的水平，持续改进网络安全保障体系，支撑云服务持续输出。

5 小结

以内生安全支撑云上服务交付，要以“动态、综合、可持续”为指导，以安全能力建设为基础，围绕服务交付确定防御重点，规划建设动态综合的网络安全防御体系，使安全能力覆盖服务交付路径上的云资源、网络、人员等所有IT要素，避免局部盲区而导致的防御体系失效，还要将安全能力深度融入物理、网络、系统、应用、数据和用户等各个层次，确保安全能力在IT的各个层次有效集成。围绕人员和流程开展实战化安全运行，将网络安全保障体系和运维运营深度融合，实现可持续常态化安全保障，支撑云服务持续安全稳定交付。

作者：饶伟 中铁信弘远（北京）软件科技有限责任公司-副总经理