《中國通信標準化協會:云上攻防發展洞察2024(40頁).pdf》由會員分享,可在線閱讀,更多相關《中國通信標準化協會:云上攻防發展洞察2024(40頁).pdf(40頁珍藏版)》請在三個皮匠報告上搜索。
1、 云上攻防發展洞察云上攻防發展洞察 本報告版權屬于中國通信標準化協會云計算標準和開源推進委員會,并受法律保護。轉載、摘編或利用其它方式使用本報告文字或者觀點的,應注明“來源:中國通信標準化協會云計算標準和開源推進委員會”。違反上述聲明者,委員會將追究其相關法律責任。版權聲明 前 言 云計算技術持續迭代創新,企業上云轉型加速進行,隨著企業云上資產和業務的比重逐漸提升,安全問題日益凸顯。針對云上資產的網絡攻擊事件層出不窮,云計算技術被濫用的風險迅速增加,云上攻防態勢和發展備受關注。本報告梳理了云計算場景下的網絡攻防態勢現狀,分析當前我國云上攻防行業市場格局,歸納常見網絡攻擊技術和防御手段,以探討傳
2、統網絡攻防和云計算結合的新態勢,洞察云計算時代網絡空間安全的行業未來發展。前 言 編制組 王睿寧 孔 松 郭 雪 吳劍剛 梁 偉 廖 銓 何永翀 嚴仍義 周 月 徐 賢 范淑杰 李曉明 鄭 斌 劉金革 陳煥新 編制組 目 錄 一、云上攻防態勢洞察.1(一)云上風險點位增加,攻防視角發生變化.1 1云上風險點位變化.1 2網絡攻擊目標變化.2 3網絡攻防形式變化.4(二)科技競爭引導網絡博弈,云上防御體系逐漸完善.6 二、云上攻防市場洞察.8(一)我國云上攻防市場不斷擴大.8(二)國內外市場格局基本形成.12 1云計算攻防產品和服務品類豐富.12 2國內外云安全市場參與者眾多.13 三、云上攻防
3、技術洞察.16(一)攻防技術逐漸適應云計算環境.16(二)攻防框架構建體系化知識庫.23 四、發展趨勢與建議.26(一)ICT 新技術融合加速云上攻防態勢復雜化.26(二)多措并舉維護云安全生態.28 附錄:云安全實踐優秀案例.30 目 錄 圖目錄 圖 1 云上攻防場景示意圖.1 圖 2 2022 中國通用網絡安全服務細分市場規模.9 圖 3 2022 年中國數據安全、安全網關、終端安全市場占有率.10 圖 4 企業云安全建設主要驅動因素.11 圖 5 云上攻防產品和服務概覽.13 圖 6 最受關注的 API 安全問題 Top10.17 圖 7 云平臺 DDoS 防御架構參考.21 表 1 近
4、期大規模云上網絡攻擊事件.3 表 2 國外云安全市場典型企業.14 表 3 國內云安全市場典型企業.15 圖目錄 表目錄 云計算標準和開源推進委員會云上攻防發展洞察(2024)1 一、云上攻防態勢洞察 隨著數字化轉型不斷推進,云計算與大數據的應用衍生至千行百業,各類云服務承載了無法估量的數字資產,互聯網則支撐了海量數據和信息在云上業務間傳遞。云計算在賦能數字化發展的同時,也為黑客提供了新的攻擊目標和攻擊手段。時逢全球局勢動蕩,科技競爭激烈,網絡攻防態勢日益嚴峻。本報告從網絡攻擊側和防御側的典型態勢出發,聚焦云計算環境新風險,洞察云上攻防新趨勢。來源:中國信息通信研究院 圖 1 云上攻防場景示意
5、圖(一)(一)云上風險點位增加,攻防視角發生變化云上風險點位增加,攻防視角發生變化 1云上風險點位變化云上風險點位變化 業務上云打破了傳統數據中心的集中式部署方式,分散化的數據存儲和即開即用的原生化服務對網絡性能高度依賴,增加了云計算安全的風險點位。云計算標準和開源推進委員會云上攻防發展洞察(2024)2 隱私和數據泄露風險增加,一些云用戶安全意識薄弱,時常出現憑據信息保存不當、數據訪問操作不規范等情況,增加了敏感信息暴露在網絡中的潛在風險。服務可用性不受控,云廠商承擔著大部分數字基礎設施運行和維護的責任,一旦遭受網絡攻擊造成服務不可用,可能會影響眾多企業的業務運營,云用戶自身則難以規避此類風
6、險。云上風險暴露面擴大,為滿足日益復雜的業務需求,多云、混合云部署成為常態,各類管理平臺、運維工具關聯眾多云上資產,每一個開放接口和網絡邊界都是潛在的攻擊面,增加了風險暴露管理的難度。易受互聯網波動影響,用戶上云用云高度依賴互聯網,尤其是公有云和專有云,用戶側的網絡傳輸質量不確定性大,網絡延遲、中斷等情況將嚴重影響使用體驗和安全性。企業上云使得潛在的安全風險發生變化,面向云的攻擊者與防御者視角也隨之改變。2網絡攻擊目標變化網絡攻擊目標變化 傳統數據中心多為“存用一體”的業務架構,對于攻擊者來說,能夠滲透目標企業的網絡、存儲等基礎設施,就意味著對數據和應用的破壞也輕而易舉,而在云計算環境中,攻擊
7、目標被拆分成云服務商和云用戶兩個主體,雙方面臨不同的安全風險。一是面向云服務商的攻擊主要針對數字基礎設施,造成大規模數據泄露、服務不可用和數據勒索等事件。目前,數據竊取仍是黑客云上攻擊的主要意圖,其影響范圍廣且難以預防。2023 年數據泄露的平均成本達到445萬美元,創歷史新高。今年5月,云存儲巨頭Snowflake的大量客戶實例遭黑客攻擊,導致全球超過 165 家知名企業發生大規云計算標準和開源推進委員會云上攻防發展洞察(2024)3 模數據泄露,成為云計算歷史上最嚴重的數據泄漏事件之一。此外,對云服務商的勒索攻擊迅速增長,涉及數據量和金額不斷創下新高,由于各國對勒索事件的監管力度不一,存在
8、大量灰色地帶,其擴張趨勢在短時間內難以遏制。二是面向云用戶的攻擊主要集中在用戶終端或云外網絡,利用了部分用戶安全意識薄弱、安全配置不足的特點。主要手段包括通過網絡釣魚竊取隱私信息、利用暴露的網絡端口和 API 進行非法訪問、掃描并入侵用戶配置漏洞和未及時更新的系統漏洞等。云上攻擊者利用API Key、敏感文件執行等手段發起攻擊的次數明顯上升,暴力破解、釣魚攻擊、社會工程等針對用戶側的攻擊大幅增加。雖然大多數企業都已建立安全防御體系,但由于安全人員匱乏、安全預算不足、云安全理念和決策落后等原因,往往處于被動防御狀態,為不法分子創造了可乘之機。表 1 近期大規模云上網絡攻擊事件 時間時間 安全安全
9、事件事件 攻擊方式與影響攻擊方式與影響 2023 年 8 月 數據加密勒索 丹麥大型云服務提供商CloudNordic服務器遭勒索軟件加密,所有系統、網站和郵件不可用,導致全部客戶數據丟失,公司陷入“徹底癱瘓”。2023 年 11 月 密碼泄露 斯洛文尼亞電力公司 HSE 遭受勒索軟件攻擊,攻擊者通過從未受保護的云存儲實例中竊取了 HSE 系統的密碼,鎖定了 IT 系統和文件。2024 年 1 月 API 數據泄露 Atlassian 旗下的在線項目管理工具 Trello 遭到黑客攻擊,黑客利用其公共 API 匹配云計算標準和開源推進委員會云上攻防發展洞察(2024)4 時間時間 安全安全事件
10、事件 攻擊方式與影響攻擊方式與影響 現有的電子郵件數據庫,超 1500 萬數據被泄露。2024 年 2 月 數據加密勒索 美國最大的醫療 IT 公司 Change Healthcare遭受了醫療系統有史以來最嚴重的勒索軟件攻擊之一,導致美國各地藥店癱瘓,處方藥的配送出現嚴重問題,初步損失超 60 億元。2024 年 3 月 DDoS 攻擊 法國多個政府機構遭遇了大規模的分布式拒絕服務(DDoS)攻擊,影響了超過 300 個網頁域名和 177,000 個 IP 地址,導致重要公共服務網站的嚴重中斷。黑客組織Anonymous Sudan 聲稱對此次攻擊負責。2024 年 5 月 云存儲數據泄露
11、云存儲巨頭Snowflake的大量客戶實例遭黑客攻擊,導致全球超過 165 家知名企業發生大規模數據泄露,數以億計的個人受到影響。來源:公開資料整理 3網絡攻防形式網絡攻防形式變化變化 云計算在提供便捷的計算資源和服務的同時,也為網絡攻擊提供了更多形式和手段,大規模、有組織的長期對抗成為主流。云計算環境數據集中化,是網絡攻擊的重點目標,更是國際上有組織、有實力的黑客團體制造大規模安全事件的絕佳標靶。反之,云計算分布式部署和資源虛擬化的特性同樣可能被黑客利用,捏造虛擬身份,隱藏真實地址,增加了企業威脅防御的難度,也使得攻擊溯源更加復雜。云計算標準和開源推進委員會云上攻防發展洞察(2024)5 一
12、是大規模惡意攻擊以云網絡為介質,傳播速度快,攻擊頻率高,破壞力強。黑客突破云服務商內部防火墻,將木馬病毒植入到云服務器上,就能夠利用云計算的特性輕而易舉地侵占計算資源或傳播木馬病毒。近年來,針對云平臺的大規模挖礦攻擊層出不窮?!?220”挖礦組織通過向云平臺傳播惡意腳本,自動下載挖礦程序以及其他惡意程序?!癘utlaw”則是攻擊云服務器組建僵尸網絡,在節點中植入挖礦木馬,并通過云網滲透擴張,以獲得更大規模的計算資源。這些挖礦組織長期活躍,造成了大量算力流失和資源浪費。二是云計算提供虛擬資源和服務,為匿名訪問提供便利,攻擊者真實身份難追溯。洋蔥網絡(Tor)是黑客常用的分布式匿名網絡,可以通過多
13、次跳轉來保護用戶的隱私和匿名性。攻擊者在云計算環境中部署 Tor 節點用以傳播惡意流量,不但弱化了網絡攻擊地域限制和資源限制,還可以利用協議偽裝使得攻擊流量幾乎不能被溯源工具拆解分析。三是云計算成為關鍵數字基礎設施,云上攻擊對重點行業的影響加劇。長期以來,高級持續攻擊(APT)都是黑客組織入侵他國數字基礎設施,破壞重要機構,竊取機密信息的主要手段。隨著軍事戰術、空天科技、信息通信等國家重要領域不斷上云轉型,對數字基礎設施的依賴程度加深,加劇了其遭受國際組織 APT 攻擊的潛在風險。俄烏沖突、巴以沖突都將網絡攻擊置于重要戰略地位,不斷使用 APT、DDoS 等手段攻擊數字基礎設施,造成了通訊延遲
14、、能源供應中斷等影響。云計算標準和開源推進委員會云上攻防發展洞察(2024)6(二)(二)科技競爭科技競爭引導網絡博弈,引導網絡博弈,云上云上防御體系逐漸防御體系逐漸完善完善 云計算作為眾多數字基礎設施的運行平臺和數據信息的傳遞媒介,承載了大量信息通信、經濟運行和公共服務等活動,是國家科技實力的重要體現,當今網絡空間和云環境已成為國際科技和經濟競爭的重要戰場,云上攻防態勢愈演愈烈。云上攻擊方式復雜多變。一是云計算作為攻擊目標,遭破壞后影響廣泛。據 IBM 報告顯示,2023 年與云環境中所存儲數據相關的泄露事件占總數的 82%,其中 39%的攻擊跨越多個云環境,造成的平均損失高達 475 萬美
15、元?;ヂ摼W、金融云、工業云仍是遭受網絡攻擊最多的三大領域,近年來已發生數起重大云安全事件,諸如加拿大石油巨頭遭到網絡攻擊導致全國加油服務中斷、Microsoft 365 及 Azure 云服務因 DDoS 攻擊而頻繁中斷、OpenAI 和阿里云同時遭受 DDoS攻擊影響全系產品等。二是云計算作為攻擊手段,能夠加劇網絡攻擊效果。實際上,使用網絡攻擊對關鍵數字基礎設施造成持久的物理損害并不普遍,其在科技競爭中的應用更多是作為威脅手段和設置阻礙。一些基于云計算的攻擊即服務(AaaS)、勒索軟件即服務(RaaS)和僵尸在互聯網灰色地帶異?;钴S。利用云服務提供的高帶寬和計算資源,攻擊者可以發動規模更大、
16、更復雜的 DDoS 攻擊,癱瘓目標系統。攻擊者通過云平臺實時更新惡意代碼,繞過傳統的安全防護措施,并迅速傳播到全球的目標系統,不僅提高了攻擊的成功率,還使得防御方難以迅速響應和溯源。云計算標準和開源推進委員會云上攻防發展洞察(2024)7 云上防御體系基本成形。一是各國云上安全政策逐步完善,監管力度提升、粒度細化。美國發布國防部云戰略、美國本土外云計算戰略等文件,明確了云計算運用發展的指導原則,將重要數據和應用服務向云上遷移。俄烏沖突爆發后,歐洲陸續發布網絡安全條例、網絡團結法案等多項法規,鞏固云安全防線。各國對網絡空間的防御策略逐漸轉變,由被動防護轉變為主動防御,由對網絡關基設施的關注延伸到
17、各個領域的上云業務。二是技術創新不斷落地,國家級防御體系加快建設。一些政府組織已開始嘗試將云計算引入國家防御體系。美空軍加速推進“一號云”和“聯合作戰云能力”兩大云計算項目,提升軍事信息系統的服務可靠性、存儲靈活性和安全性。歐盟著眼于未來網絡安全技術研發,在 6G、量子安全體系等方面投入大量資源,建立聯合網絡單元共享預警信息,確保組織內對網絡安全事件響應協調一致。三是廣交同盟,共建網絡空間防御共同體。發起安全倡議、組建多方聯盟等是各大利益共同體提升網絡防御能力的常見方式。2023 年,歐盟發布提案建立歐洲網絡護盾和區域網絡合作中心,提升組織內部和與周邊國家的網絡安全戰略關系。北約合作網絡防御卓
18、越中心面向成員國和合作伙伴共享威脅情報和防御資源,提升整體網絡防御能力。云計算標準和開源推進委員會云上攻防發展洞察(2024)8 二、云上攻防市場洞察(一)(一)我國云上攻防市場我國云上攻防市場不斷擴大不斷擴大 網絡安全是維護企業數字業務平穩運行的基石,企業對攻防產品和服務需求多樣化,傳統網絡攻防市場基本盤穩定,以攻防即服務引導的云上攻防市場增長迅速。從市場規模來看,我國網絡攻防市場體量較小,云安全市場仍處于上升期。企業參與網絡攻防市場可分為提供網絡攻防服務和輸出網絡攻防產品兩種形式,國內網絡攻防市場主要以企業對外提供網絡攻防服務為主,如紅藍對抗、重保演練、應急響應、滲透測試等。如圖 2 所示
19、,中國網絡安全服務細分市場中,安全運營服務仍是的絕對主力,攻防服務占比 16%,仍有較大提升空間。云計算正在全球范圍重塑組織的 IT 架構,云上資產重要性的提升,云安全市場已經成為網絡安全技術提供商的必爭之地,包括網絡安全廠商、云服務商、電信運營商等紛紛投入大量資源。2023 年全球云安全市場規模為 378.7 億美元1,預計 2032 年將增長到 1562.5 億美元,其中,隨著中國、日本、印度等國家的監管體系不斷完善,亞太地區的云安全市場復合增長率全球領先。1云安全市場規模、份額、趨勢和行業分析,FORTUNE BUSINESS INSIGHTS,https:/ 云計算標準和開源推進委員會
20、云上攻防發展洞察(2024)9 數據來源:嘶吼網絡安全服務市場洞察報告 圖 2 2022 中國通用網絡安全服務細分市場規模 從參與企業來看,頭部安全廠商和云服務商主導市場,新型挑戰者不斷涌現。傳統安全廠商積極推進安全產品虛擬化部署,提升云端適配能力,幫助企業加固云環境,并提供面向云的網絡安全服務,如云安全托管運營、云上滲透測試、云安全風險評估等;部分企業搭建自有云平臺,將現有安全產品原生化,實現安全能力內循環。云服務商安全賽道競爭激烈,基于云平臺提供 SaaS 安全產品,賦能云服務客戶的虛擬資產和業務安全,同時對外開放 API 接口,滿足外部開發者安全需求;頭部云服務商網絡安全市場參與度高,如
21、圖 3所示,阿里云的數據安全市場占有率與頭部安全廠商不相上下,在安全網關市場云服務商市占率達到四成。云安全專精型企業成長迅速,企業云上安全防御需求多樣,青藤云等聚焦云安全解決方案的創新型企業快速崛起,已在國內終端安全市場躋身前列。云計算標準和開源推進委員會云上攻防發展洞察(2024)10 數據來源:Statista 圖 3 2022 年中國數據安全、安全網關、終端安全市場占有率 從市場需求來看,政策合規和增強韌性是云上攻防市場發展的主要推動力。網絡活動復雜多變,攻防威脅廣泛存在,網絡空間安全已經上升為國家安全戰略。近年來,東西方網絡空間大國先后密集出臺了大量的網絡安全政策法規,如美國的 5G
22、云基礎設施保護指南、中國的網絡安全“三大基本法”和等級保護要求,都對云安全做出了規范指引。在逐漸完善的法律框架下,云服務商和云服務客戶受合規要求驅動,安全意識不斷提升,對云服務的安全防御水平需求進一步提升。同時,云計算市場規模的不斷擴大,云平臺遭受攻擊的次數逐年增長,破壞程度和經濟損失觸目驚心。日益嚴峻的云安全態勢使得企業更加重視云上安全投資。IDC 調查顯示,中國 2024 年網絡安全支出居亞太地區首位,占比 40%,五年復合增長率達到 13.5%。在國內,政府、金融、電信是網絡安全支出主要行業,占據了總投資市場阿里云,5%2022年中國數據安全市場占有率奇安信阿里云啟明星辰天空衛士天融信其
23、他阿里云,25.4%騰訊云,13.3%2022年中國安全網關市場占有率阿里云騰訊云中國電信華為F5其他青藤云,7.2%2022年中國終端安全市場占有率奇安信亞信安全青藤云深信服天融信其他云計算標準和開源推進委員會云上攻防發展洞察(2024)11 的 60%。由于事前風險事件預防壓力大,企業逐漸將投資重心轉向業務韌性和事后安全保障,增強抗風險能力,減少不必要的損失。增強韌性已經成為企業使用云安全解決方案的最主要驅動力。數據來源:Statista 圖 4 企業云安全建設主要驅動因素 從云計算細分領域來看,云計算架構調整帶來新的風險點位。一是 IaaS 安全需求龐大。我國公有云數字基礎設施需求量龐大
24、,IaaS 市場規模占公有云整體(IaaS/PaaS/SaaS)市場規模的一半以上2。在 IaaS環境中,云服務客戶對基礎設施和操作系統具有更多的控制權,攻擊暴露面更大,安全防御壓力高。在工作負載方層面,常見的 IaaS 攻擊向量通常針對虛擬機、操作系統、存儲等安全設置中的錯誤配置或漏洞;在網絡層面,DDoS 攻擊以其成本低、影響大、收益高等特點受到了眾多攻擊團伙的青睞。IDC數據顯示,2023年中國公有云抗DDoS市場規模約為 22 億元人民幣,規模同比增長 15.8%,市場集中度不斷提升,競爭進一步增強。二是多云/混合云環境成為主要戰場。企業虛擬資產龐大,數字業務復雜,單一的數字化環境難以
25、滿足日益增 2 IDC,https:/ 0%20%40%60%增強企業韌性縮短開發時間成本控制減少軟件補丁更新工作量提高用戶和系統行為可見性延長正常運行時間提升性能企業云安全建設主要驅動因素云計算標準和開源推進委員會云上攻防發展洞察(2024)12 長的數據安全和應用多活需要,多地、多云的虛擬化部署架構被廣泛應用。Gartner 認為,到 2024 年中國混合云市場滲透率將達到 70%。尤其是對于政府組織、銀行、醫療等服務行業,將對外業務遷移到公共云能夠有效提高業務敏捷性和成本效率,將關鍵流程和核心應用遷移到私有云能夠更好地維護安全性。因此,多云、混合云攻防統一管控成為云服務商和安全廠商共同關
26、注的產品和服務方向。(二)(二)國內外國內外市場市場格局格局基本形成基本形成 1云計算云計算攻防產品攻防產品和和服務服務品類豐富品類豐富 云計算攻防市場產品類別豐富,依托于云計算的彈性擴展和原生化特性,攻擊和防御能力均呈現服務化趨勢。根據企業上云用云過程,云計算攻防可劃分為企業組織和開發安全、云基礎資源安全、網絡和數據安全、業務和應用安全等場景。從攻擊視角來看,云上攻擊產品和服務按照攻擊目的可劃分為:1)拒絕服務類,如 DDoS 服務、加密勒索;2)漏洞利用類,如滲透工具、容器逃逸;3)信息收集類,如掃描工具、逆向工具;4)偽造欺騙類,如釣魚郵件、社會工程。隨著新興技術發展,AaaS、RaaS
27、 市場不斷擴張,細分領域逐漸成形,有專注于某些特定攻擊(如 DDoS、勒索軟件、網絡間諜活動)的服務提供商,也有提供端到端攻擊服務的綜合性平臺,從簡單的工具租賃到復雜的定制化攻擊方案,攻擊者提供的服務越來越專業化。從防御視角來看,云上防御產品和服務按照防御方式可劃分為:1)檢測與響應類,如云防火墻、失陷感知;2)運營運維類,如云工云計算標準和開源推進委員會云上攻防發展洞察(2024)13 作負載保護平臺、云堡壘機;3)安全管理類,如風險管理、API 管理;4)面向云的安全服務,如安全托管、安全評估、安全培訓。隨著零信任理念不斷滲透,安全大模型廣泛接入,云上防御產品和服務逐漸成熟,構建一個綜合性
28、的云安全體系,已經成為企業實現數字化轉型、保障業務穩定運行的必備條件。由于業務部署方式和責任承擔模式不同,國內外云安全市場中產品和服務供應形式有所差異,值得進一步探討。來源:中國信息通信研究院 圖 5 云上攻防產品和服務概覽 2國內外國內外云安全云安全市場參與者市場參與者眾多眾多 國際上,云服務商引領云安全產品市場。北美云安全市場較為成熟,云平臺安全主要由相應的云服務商進行維護,亞馬遜 AWS、微軟 Azure、谷歌云等頭部云服務商在網絡攻防領域競爭力強,通常能夠提供精細化的安全產品和功能,并通過 SDK、API 向開發者提供安全支持。Zscaler、Palo Alto Networks、Fo
29、rtinet 等網絡安全廠商則傾云計算標準和開源推進委員會云上攻防發展洞察(2024)14 向于提供集成的云安全解決方案和云邊安全服務,通過自有綜合性云安全平臺進行管理和監控。表 2 國外云安全市場典型企業 企業企業 類型類型 云云安全安全產品和服務產品和服務 亞馬遜 云服務商 亞馬遜是北美最大的云服務供應商,依托云服務業務提供安全防御能力,包括基礎設施保護、賬戶安全服務、實例安全服務、安全管理服務以及與其他合作伙伴的安全與合規解決方案。微軟 云服務商 微軟云安全產品和服務并不直接產生營收,而是用于自有云平臺,Azure Security Center 是微軟的云安全管理和監控服務,幫助客戶保
30、護其Azure 訂閱中的資源,提供了安全策略建議、威脅檢測、漏洞管理和安全警報等功能。谷歌云 云服務商 谷歌為云服務客戶提供全面的安全和訪問控制產品和服務,并將安全大模型接入全線安全產品,提升云平臺防御能力。此外,谷歌云提供 API、SDK 和大模型平臺 Security AI Workbench 等,為開發者提供支持。Zscaler 網絡安全 提供商 Zscaler 提供全面的網絡安全和訪問控制解決方案,包括互聯網訪問安全、云防火墻、云 DLP 等產品。除了自有云安全平臺,Zscaler 還可以通過API 調用、代理部署、集成解決方案等方式,為其他云平臺提供安全服務,幫助企業保護多云環境中的
31、網絡、應用和數據安全。Palo Alto Networks 網絡安全 提供商 Palo Alto Networks 基于自有云安全平臺提供一系列云安全產品和解決方案,用于保護公共云、私有云和混合云環境中的工作負載、容器、Serverless 應用和存儲服務。云計算標準和開源推進委員會云上攻防發展洞察(2024)15 企業企業 類型類型 云云安全安全產品和服務產品和服務 Fortinet 網絡安全 提供商 Fortinet 通過綜合的網絡安全平臺進行安全服務與管理,并提供云防火墻、云 WAF、CASB 等一系列云安全產品,通過一體化解決方案向云服務商和云服務客戶提供云安全支持。來源:公開資料整理
32、 我國云安全市場“產品+服務”模式更加普遍。國內云安全產品和服務模式更加適應我國云安全和網絡安全環境現狀,頭部云服務商的安全能力較為成熟,安全產品能夠覆蓋云平臺安全需求,且普遍支持對外提供安全服務和開放 API,為用戶提供安全支持。一些聚焦于云安全解決方案但不主營云基礎資源的新型云安全廠商快速崛起,受到多云、混合云環境企業廣泛青睞。云上攻防、滲透測試、云安全托管等面向云的安全服務仍由安全廠商主導,搭配云安全工具形成配套解決方案。運營商自建云+安全廠商聯動模式也較為普遍,在政府部門、央國企組織數字化轉型過程中應用廣泛。以下選取國內典型的云服務商、運營商、安全廠商和新型云安全廠商的云安全業務進行介
33、紹。表 3 國內云安全市場典型企業 企業企業 類型類型 云云安全產品和服務安全產品和服務 阿里云 云服務商 阿里云為客戶提供穩定、可靠、安全的云計算基礎服務,SaaS 化安全產品類型眾多,覆蓋網絡安全、數據安全、身份安全等各個領域,同時提供 API、SDK 等方式,便于客戶接入云平臺的安全能力。天翼云 運營商 天翼云依托運營商基本盤,發揮在網絡基礎設施和通信技術方面的資源優勢,云計算標準和開源推進委員會云上攻防發展洞察(2024)16 企業企業 類型類型 云云安全產品和服務安全產品和服務 整合電信行業威脅情報資源、提供高性能安全防護產品。與安全廠商聯動,更加適應復雜的多云環境,為地方政企數字化
34、轉型提供支撐。青藤云安全 云安全廠商 青藤云聚焦主機安全和云安全賽道,通過安全管理平臺,為企業云環境提供整體云安全解決方案,廣泛應用于金融、互聯網、醫療、政府等多個行業,為大量企業提供了有效的安全保障。新華三 網絡安全 提供商 新華三結合自身軟硬件網絡安全基礎,將安全能力虛擬化,形成云安全資源池,適配政企云安全合規需求。為用戶提供云平臺安全設計、安全加固、攻防對抗、云安全托管等安全服務。來源:公開資料整理 三、云上攻防技術洞察(一)攻防技術(一)攻防技術逐漸適應云逐漸適應云計算計算環境環境 技術創新突破是行業發展的基本動力,云計算提供了新的技術應用方向。一方面,云計算提升了基礎設施資源的高可用
35、性和防御性能;另一方面,分布式可擴展的部署方式提升了網絡攻擊的靈活性,使得攻擊行為更加難以追溯。云上攻防目標千變萬化,攻擊技術層出不窮,對企業安全防御能力提出了新挑戰。1API 安全漏洞擴大云上攻擊面安全漏洞擴大云上攻擊面 經過 API 產生的流量占互聯網流量的一半以上,管理和濫用預防極其復雜。由于企業云上資產管理不嚴格、不健全,部分 API 處于未云計算標準和開源推進委員會云上攻防發展洞察(2024)17 知、未管、未保護的狀態,給攻擊者帶來可乘之機。Cloudflare 的一項調查顯示,通過機器學習模型掃描已知的 API 調用和所有 HTTP 請求,與用戶配置工具對比,識別可能下落不明的
36、API 流量,發現未受保護的“影子 API”比例超過 30%,潛在的攻擊面安全管理刻不容緩。API 作為連接云計算服務的重要門戶,與企業業務密切相關,面臨多層級網絡攻擊威脅,目前出現最廣泛的 API 問題是過度數據暴露,SQL 注入、SSRF、惡意文件上傳等 OWASP 常見 Web 攻擊難以避免,此外還存在多種業務層攻擊,例如越權訪問和信息遍歷,API 安全訴求成為熱門話題。數據來源:公開資料整理 圖 6 最受關注的 API 安全問題 Top10 為了有效應對新型 API 風險,強化 API 資源管理是確保應用安全的關鍵步驟。應確保所有已上線的 API 都納入管理范圍,并建立四層防御體系。一
37、是請求環境防御,通常 API 會在瀏覽器、小程序或App 中被調用,需要提前識別調用者的開發和運行環境,準確識別來云計算標準和開源推進委員會云上攻防發展洞察(2024)18 自非法環境調用,對異常訪問環境進行實時攔截,降低攻擊風險。二是安全風險防御,結合 AI、大數據和威脅情報技術,持續監控并分析流量行為,重點防范 API 自身缺陷、參數違規、越權訪問、安全攻擊和異常行為等風險。針對 API 的各種安全風險,提供包括但不限于安全攻擊防護、異常請求阻斷和異常行為限流等多重防護措施。三是敏感數據管控,利用專家經驗和機器學習技術,對敏感數據進行有效過濾和識別,并結合行業分類分級標準,實施相應的安全策
38、略管控,如數據脫敏和篩選等。四是業務攻擊防御,API 安全與業務緊密相關,需要結合特定關鍵字進行智能統計分析,通過業務模型深度學習,制定合適的 API 業務安全防御策略,識別撞庫、登錄、注冊、爬蟲等異常業務請求,并提供阻斷、限流和挑戰等攔截動作,增強業務攻擊防御能力。2容器、集群攻防容器、集群攻防場景不斷延伸場景不斷延伸 隨著企業業務數字化,計算資源虛擬化,越來越多的關鍵功能運行在容器、Serverless 等輕量級平臺上,容器安全攻防場景不斷延伸。容器技術為輕量級虛擬化提供了載體,因其強一致性、可移植性和高效資源利用率在業內得到了廣泛應用,大規模集群式落地,攻擊暴露面隨之擴大。多租戶共享 K
39、ubernetes 集群,服務實例運行在 pod 中,不同租戶的實例可能在同一個節點上,黑客通過跨租戶越權訪問可能實現云資源實例的入侵。Serverless 應用通常使用容器部署應用或函數,并結合沙箱、網絡隔離等加固安全環境。沙箱配置漏洞可能出現繞過風險,導致黑客達到遠程代碼執行漏洞、文件讀取、網絡訪問的云計算標準和開源推進委員會云上攻防發展洞察(2024)19 目的。網絡隔離不完善可使得其他租戶容器、master 節點等遭受攻擊,導致對元數據服務的越權訪問和敏感數據泄露。以容器為載體的業務往往具有生命周期短、計算復雜、網絡復雜的特性,安全事件影響范圍廣、損失代價高,做好虛擬資產清點、運行前風
40、險發現和運行時入侵檢測至關重要。一是容器基線安全,容器創建時需基于 Docker 和 Kubernetes 的 CIS 安全配置規范,對運行環境和程序自身配置進行檢查。容器運行時確保 Docker 安全操作,按照 Kubernetes 基線檢測主節點配置、控制面板配置、工作節點安全配置等安全性。二是容器進程安全,云主機上運行的容器都應受到安全監控和進程保護。將容器目錄加入到實時監控路徑中,通過進程、文件實時監控能力,及時發現容器內新建進程和文件,并對相關進程和文件進行實時查殺。三是容器 Web 應用安全,針對容器 Web 應用的后門攻擊、目錄掃描等層出不窮,可結合安全數據分析能力,對用戶設置的
41、 Web 目錄進行實時防護,在目錄出現變更時啟動掃描,并將安全策略匹配到的惡意信息上報到主機安全管理平臺,實時防護客戶網站安全。四是容器逃逸檢測,應及時發現具有逃逸風險的容器和具有逃逸行為的進程,將檢測信息上報給主機安全控制臺進行同步,并給出詳細的描述信息和處理建議。3云上云上 DDoS 攻擊攻擊影響廣泛影響廣泛 萬物互聯時代,DDoS 攻擊成本低廉且影響廣泛,已成為國家級網絡戰的重要手段。DDoS 攻擊是一種常見且危險的網絡攻擊手段,攻擊者通過向目標服務器發送大量請求,消耗其資源,導致其無法正云計算標準和開源推進委員會云上攻防發展洞察(2024)20 常提供服務。常見的 DDoS 攻擊技術包
42、括:1)流量型攻擊,通過發送大量的數據流量,耗盡目標網絡的帶寬資源,如發送大量 UDP 數據包、ICMP 請求,和利用開放的 DNS 解析器,將小請求放大成大響應,攻擊目標網絡;2)協議型攻擊,針對網絡層或傳輸層的協議漏洞,通過發送大量 ACK 和 SYN 請求包消耗服務器資源,使其無法響應正常請求;3)應用層攻擊,通過過量的 HTTP 請求和 DNS 查詢請求,占用服務器的應用處理資源,從而達到拒絕服務的目的;4)反射型攻擊,利用第三方服務器向目標發起反射攻擊,通常搭配相關協議放大請求提升攻擊效果;5)混合攻擊,結合多種 DDoS 攻擊技術,同時攻擊多層級云服務。全球 DDoS 攻擊的規模每
43、兩年翻一倍,而在企業復雜的多云、混合云環境中,安全架構和策略差異對企業云安全戰略的完整性和科學性提出更高要求,企業在碎片化的分布式架構中進行故障排除更加困難。云計算提供了動態擴展和負載均衡的能力,但 DDoS 攻擊者也可能利用這些特性來提升攻擊效果。對云服務商和安全廠商來說,應準確識別云環境安全需求,提升抗 DDoS 產品性能、優化防御算法、增強配套服務水平。自動化流量監控與異常檢測,基于閾值和流量特征識別異常流量,監控用戶和設備的訪問行為,進行行為分析,以及支持通過數字簽名、機器學習等進行模式識別,涉及到的產品包括UEBA、抗 D、IDS 等,需具備較高水平的流量負載能力。流量過濾與清洗,在
44、流量達到一定閾值時,將可疑 DDoS 攻擊流量從原始網絡路徑中重定向到清洗設備上,通過安全規則或工具識別并剝離惡意流云計算標準和開源推進委員會云上攻防發展洞察(2024)21 量,包括過濾攻擊報文、限制流量速度、限制數據包速度等,將還原的合法流量回注到原始網絡中,云防火墻、云 WAF、IPS 均可覆蓋這類功能。災難恢復與業務優化。云平臺遭遇大規模 DDoS 攻擊后需及時進行響應,阻斷攻擊源、恢復中斷服務、解除臨時性防御策略。結合安全損失評估,優化防御措施,如調整 CDN 配置、增加 WAF 規則、定期安全審計、搭配云安全托管和安全培訓等安全服務形成防御閉環。來源:中國信息通信研究院 圖 7 云
45、平臺 DDoS 防御架構參考 4認知認知戰戰成為網絡戰重要一環成為網絡戰重要一環 網絡認知戰(Cognitive Warfare)是一種利用網絡技術和信息操作來影響人們的認知、態度和行為的戰略,綜合運用了心理戰、信息戰和網絡戰的手段,目標是通過操縱信息環境和利用人類心理弱點來云計算標準和開源推進委員會云上攻防發展洞察(2024)22 達到特定的政治、軍事或經濟目的。網絡認知戰的核心是通過多種途徑影響和控制目標群體的認知和行為。通過輿論操縱影響信息完整性、可用性,攻擊者借助信息篡改和偽造技術散布不實信息,或操控搜索引擎和推薦算法控制信息的可見性,誤導公眾主觀判斷,造成網絡空間信息混亂。政治矛盾引
46、導網絡攻擊。認知戰在國際地緣政治矛盾中被廣泛應用,即利用輿論武器影響目標人群的思維方式和行動方式,引起民族性、自發性的網絡攻擊,而云計算的廣泛運用使得攻擊溯源更加困難。社會工程突破企業安全防線。社會工程網絡攻擊通過心理操縱和欺騙手段,誘騙目標泄露敏感信息、執行不當操作或提供非法訪問權限,如釣魚攻擊、電話欺詐、冒充攻擊等。云環境訪問控制場景多變,不嚴格的身份鑒別和權限分配都可能會被社會工程攻擊利用。網絡認知戰是一種復雜且影響深遠的戰術,涉及組織管理、安全技術、人員觀念等多維因素。引入零信任理念強化訪問控制。秉持“永不信任,始終驗證”的安全原則,通過多因素身份驗證和多模式 IAM實現細粒度訪問控制
47、,搭配 ZTNA、SDP 等安全網關提升訪問控制效率。提升人員防范意識和安全能力。定期進行云安全和網絡安全意識培訓,提升員工對社會工程攻擊的識別和防范能力,塑造主動安全觀,實現人人講安全,個個會應急。規范化企業云安全建設。構建覆蓋從頂層安全戰略到云上業務運行的整體安全框架,主動匹配合規要求,積極配合監管審查,提升企業云環境治理水平。云計算標準和開源推進委員會云上攻防發展洞察(2024)23(二)攻防框架(二)攻防框架構建體系化知識庫構建體系化知識庫 體系化的攻防模型能夠幫助組織理解和對抗黑客的攻擊技術和戰術,提供了一個全面的攻擊知識庫,詳細描述了攻擊者可能使用的戰術、技術和常見知識。通過了解和
48、應用各類攻防框架、模型和矩陣,組織可以更好地理解攻擊者的行為模式和策略,從而提高網絡空間安全的防御能力。1ATT&CK ATT&CK 模型是由 MITRE 公司開發的一個詳細框架,用于描述和分類網絡攻擊者的行為和技術,廣泛應用于網絡安全領域。ATT&CK 模型以攻擊者視角描述網絡攻擊中各階段所涉及技術,包括攻擊前準備、攻擊時技術和移動端技術。將已知攻擊者行為轉換為包括戰術和技術的結構化列表,通過結構化威脅信息表達式(STIX)、指標信息的可信自動化交換(TAXII)和矩陣來表示??蚣苋娉尸F了常見的網絡攻擊行為,能夠作為進攻和防御效果的有效度量。ATT&CK 的典型的應用場景包括:1)發揮威脅
49、情報最大價值:提供標準化的術語和結構描述攻擊者戰術、技術和程序(TTPs),幫助安全團隊識別和理解攻擊行為模式,提高威脅情報的準確性和可操作性;2)提升檢測分析效率:根據 ATT&CK 模型中的技術和戰術,制定和優化檢測規則和響應策略;3)針對性攻擊模擬:基于威脅情報模擬真實的攻擊行為,測試和評估防御系統的有效性;4)支撐能力驗證與改進:使用 ATT&CK 模型開展防御差距評估,指導企業安全決策。云計算標準和開源推進委員會云上攻防發展洞察(2024)24 2網絡殺傷鏈 洛克希德 馬丁公司提出的網絡安全威脅的殺傷鏈模型廣泛應用于描述網絡攻擊和防御流程,涵蓋了攻擊者從初始偵察到最終目標達成的整個攻
50、擊生命周期。偵察階段,收集目標的信息,確定可利用的漏洞和潛在的攻擊面;武器化階段,攻擊者將惡意代碼或工具,創建可以用于攻擊的“武器”;傳送階段,攻擊者將武器傳送到目標系統;利用階段,攻擊者利用目標系統中的漏洞或弱點執行惡意代碼;安裝階段,攻擊者在目標系統中安裝惡意軟件,以確保持久訪問;命令與控制階段,攻擊者建立與被感染系統的遠程通信通道實現目標遠程控制;最終攻擊者在目標系統上執行攻擊行為,例如數據竊取、破壞系統、勒索或網絡間諜活動。為梳理日益復雜的云網攻擊,Meta 于 2022 年推出了新的“在線操作殺傷鏈”模型,具體描述了攻擊者在執行在線操作攻擊時的各個步驟和階段,幫助組織更有效地檢測、阻
51、止和響應在線攻擊。3入侵分析鉆石模型 入侵分析鉆石模型是一種用于分析網絡入侵事件的模型,幫助安全團隊理解和分析入侵者的行為、動機、目標和工具。該模型由美國情報界提出,并在網絡安全領域得到廣泛應用。模型以鉆石形狀展現入侵事件的四個核心要素,即受害者、入侵者、基礎設施和行動。模型能夠幫助企業梳理網絡入侵事件全過程,包括開展威脅情報分析和安全威脅建模,幫助企業了解威脅行為模式,提供安全策略制定、漏洞修復和安全培訓提供參考;事前基于入侵者的行為模式和攻云計算標準和開源推進委員會云上攻防發展洞察(2024)25 擊手段入侵檢測和響應,及時發現和阻止入侵行為;事中執行安全事件分析和溯源,揭示攻擊者的行為軌
52、跡、攻擊鏈和漏洞利用方式;事后進行安全漏洞修復和威脅情報共享,提高系統的安全性和穩定性,促進安全社區和組織之間的威脅情報共享和協作,加強整體安全防御能力。4面向云計算的攻防框架 相較于其他網絡攻擊模型,云安全攻防矩陣聚焦云計算環境,按照攻擊者入侵過程,詳細描述云服務器、容器和云存儲等云計算資源的風險點位,梳理利用 Kubernetes 配置、Docker 漏洞提權等進行云上攻擊的手段,能夠有效的幫助云上開發者和運維人員識別風險,有效的保障云上資產安全。騰訊云安全攻防矩陣是由騰訊安全云鼎實驗室推出的一種網絡安全分析模型,針對云上安全所面臨的威脅以及攻擊技術,從實戰角度出發,圍繞云原生場景,分析攻
53、擊者戰術與手段,助力企業知攻知防。矩陣共分為初始訪問、執行、持久化、權限提升、防御繞過、竊取憑據、探測、橫向運動、影響等九大階段,為安全團隊提供一套系統化的威脅檢測、響應和防御方法。青藤云 Kubernetes 攻擊矩陣基于 ATT&CK 框架進行梳理,描述跨越 Kubernetes 基礎設施和應用的關鍵攻擊戰術和技術。越來越多的企業在建立云上業務時,選擇將工作負載轉移到靈活可擴展的容器和集群,該攻擊矩陣可以幫助企業明確其應對容器安全威脅的防御水平,找出存在的差距并提供優化路徑參考。云計算標準和開源推進委員會云上攻防發展洞察(2024)26 四、發展趨勢與建議(一)(一)ICT 新技術新技術融
54、合融合加速加速云云上攻防上攻防態勢復雜化態勢復雜化 云上攻防技術的更迭受數字基礎設施架構變化、ICT 新技術應用、網絡攻擊暴露面延伸等多重影響。云計算和算力網絡的廣泛應用極大拓寬了網絡安全的覆蓋范圍,為攻防領域與新技術、新應用融合發展提供土壤,不論是云上攻擊技術還是安全防御能力,未來都將繼續向提升執行效率、優化經濟效益、擴大效果方向演進。一是大模型賦能攻擊防御智能化。隨著大語言模型迭代,人工智能技術不再是輔助安全策略判斷和執行的自動化工具,而是逐漸替代人工實現主動決策。攻擊技術方面,生成式 AI 被惡意利用難以避免,通過分析大量代碼和配置文件,自動發現和利用安全漏洞,生成多態惡意代碼以逃避檢測
55、,甚至優化攻擊路徑和規避策略,幫助攻擊者繞過安全防護措施,使得攻擊行為更加復雜多變。防御技術方面,安全大模型強大的自然語言處理和數據分析能力,能夠實時分析安全日志和網絡流量,識別復雜的攻擊模式和異常行為,更透徹地理解攻擊者的戰術和技術,自動化生成應急響應措施和修復建議,協助安全團隊快速應對威脅。大模型還可以用于威脅情報的自動化提取和共享,實現對潛在威脅的精準預測,持續優化安全策略和防御體系,顯著增強云環境整體安全防護能力。二是區塊鏈成為攻防技術雙刃劍。區塊鏈技術因其去中心化、匿名性和可溯源的特征在網絡安全和云安全技術中被廣泛應用,但由于Web3.0 體系發展迅速,監管體系尚不成熟,區塊鏈依然是
56、網絡攻防云計算標準和開源推進委員會云上攻防發展洞察(2024)27 領域的一把雙刃劍,既是建設可信基礎設施的關鍵載體,也可以是攻擊者隱藏行蹤的常用手段。一方面,區塊鏈技術可以通過其去中心化和匿名性特征實現匿名化攻擊。攻擊者利用區塊鏈的分布式賬本和加密技術掩蓋真實身份和攻擊路徑,使用匿名工具和多層加密使得路徑追蹤和攻擊溯源變得極為困難。另一方面,區塊鏈提供了一個透明且防篡改的交易記錄系統,智能合約的自動執行減少了人為操作帶來的安全風險,分布式技術消除了單點故障,確保數據的完整性和真實性,防止惡意篡改和欺詐。將區塊鏈基礎設施引入云平臺,能夠有效解決分布式存儲帶來的傳輸安全和隱私保護問題。三是量子信
57、息技術引發云安全質變。量子信息技術是量子物理與信息技術的融合產物,未來計算能力跨越式發展的重要方向,將對傳統技術體系進行重構,成為引領新一輪科技革命和產業創新的驅動力,也是網絡安全和云安全領域未來發展的關注焦點之一。在網絡攻擊領域,量子計算主要被用于破解經典密碼算法,攻擊者使用量子計算強大的并行計算能力和量子算法,能夠在極短時間內破解現有的對稱和非對稱加密算法,對云計算架構下流量龐大的數據傳輸和分布式加密存儲構成了嚴重的安全威脅。在網絡防御領域,量子計算主要應用于后量子密碼、量子密鑰分發等量子通信技術,利用量子力學原理生成和傳輸不可竊聽的加密密鑰、開發抗量子計算攻擊的加密算法。目前,我國量子計
58、算云平臺發展處于起步階段,將量子計算資源廣泛集成至云安全產品,能夠實現用戶資源安全和數據保護效果質變提升。云計算標準和開源推進委員會云上攻防發展洞察(2024)28(二)(二)多多措措并舉維護云安全生態并舉維護云安全生態 加強企業云安全能力,形成整體防御體系。云安全需求側企業應加強云安全意識,積極承擔安全責任,做好企業云安全訪問控制、安全配置、定期安全審查,確?!斑x云”和“用云”安全。不斷加強企業抗風險韌性,制定并執行全面的應急響應和業務連續性計劃,幫助企業能夠在面對復雜的網絡攻擊時保持敏捷和高效。此外,隨著云環境安全建設精細化、復雜化,企業應逐漸建立可量化的安全管理和評價體系,不斷提高整體安
59、全管理成熟性。對供應側企業來說,云安全能力的發展方向應該是技術驅動、量化管理、全局防御,對內加強安全管理,對外提供安全賦能。云安全能力供應方應積極探索,提升創新研發能力,努力實現關鍵技術瓶頸突破,新興技術與網絡安全深度融合,云安全產品和服務創新能力增強。提升用戶云安全素養,擴充社會人才儲配。應加強云服務用戶對云安全基本概念和防護措施的認識,通過教育和宣傳,提高安全意識和風險識別能力。在人才培養方面,鼓勵和支持院校及培訓機構設立云安全相關課程和認證項目,培養專業化、高素質的云安全人才。促進政府、企業和社會各界對網絡安全宣傳的共同參與及配合,提供實習和就業機會,幫助新興人才積累實戰經驗。通過多方合
60、作與持續投入,構建一個知識豐富、技能全面的云安全人才庫,為社會的安全發展提供堅實的人才保障。健全行業云安全監管,推進跨域多元合作。依托現有網絡安全法律保障體系,貫徹落實云安全防御相關要求,實現權責明確的多部門云計算標準和開源推進委員會云上攻防發展洞察(2024)29 聯動協調,提高跨組織的網絡安全響應能力。積極推進針對金融、電力、醫療、交通等關鍵行業的云安全標準規范和實施指南,通過多層次、多維度的監管和引導,加速重點領域云安全建設,推動構建國家網絡安全保障體系。建立廣泛的公共和私營部門之間的合作平臺,推動安全資源和攻防經驗互補。鼓勵跨行業和跨國界的網絡安全和云安全合作,通過信息共享和技術交流,
61、共同應對復雜的網絡威脅,構建網絡安全命運共同體。通過建設多元化安全生態,形成覆蓋全國、全行業的大安全觀,筑牢可信數字安全屏障,為信息化協同發展提供有力保障。云計算標準和開源推進委員會云上攻防發展洞察(2024)30 附錄:云安全實踐優秀案例 金融業金融業云云鏡像鏡像安全管理安全管理實踐案例實踐案例 關鍵詞:云上安全運營、鏡像安全、DevOps 需求需求痛點痛點 業務輕量化部署將云上安全運營的重點逐漸轉移到對容器鏡像的安全管理上,包括確保鏡像的安全性、實現自動化的安全掃描,以及在 CI/CD 流程中整合安全措施?,F有行業內傳統旁掛式的鏡像安全掃描方案中,僅具備鏡像內部風險的掃描能力,不具備安全運
62、營閉環能力,直接影響了云原生應用的安全水平,進而造成業務安全隱患。解決方案解決方案 青藤云提出鏡像可信安全管理方案,設計以鏡像為中心的安全業務流程模型,打通業務鏡像生命周期流程,嵌入鏡像安全檢測能力,并利用鏡像數字技術對鏡像進行安全簽名,保障業務鏡像的分發、部署的完整性、一致性和安全性。同時實現研發與運行時“雙向”反饋,在開發、構建、分發、部署流程中,確認鏡像的安全性與合規性,保障上線即安全,在運行時環境持續監控,對安全問題整改提出修復指導。案例創新案例創新 1、以鏡像為核心的可信管理體系;2、鏡像血緣關系分析技術;3、內含安全元數據的鏡像簽名技術;4、鏡像安全“雙向”反饋機制。應用效果應用效
63、果 為用戶(某股份制銀行)建設了全生命周期貫通的研發運營安全體系(DevSecOps),實現了 CI/CD 全階段的云安全檢測自動化,有效解決行業共性的開發、生產隔離導致 dev和 ops 割裂式管理問題。通過鏡像血緣關系收斂 70%以上歷史鏡像漏洞,為云上安全運營提供良好支撐。目前已累計對超過數十萬個鏡像緩存進行了全面監控和安全掃描,確保了鏡像安全的全方位覆蓋和持續監控。云計算標準和開源推進委員會云上攻防發展洞察(2024)31 汽車行業汽車行業數據安全實踐案例數據安全實踐案例 關鍵詞:車聯網安全、數據防泄漏、行業合規 需求痛點需求痛點 車聯網數據量爆發式增長,對數據安全提出更高的要求,數據
64、體量大、來源多、數據協同訪問涉及面廣、承載形式多樣、類型復雜、時效性強、處理要求高,導致出現數據資產不清、數據風險面廣、數據流動頻繁等問題,極易造成敏感數據泄漏且無法追溯,存在合規風險和重要數據泄漏風險。解決方案解決方案 騰訊云數據安全解決方案結合汽車行業客戶需求,在數據、人、工具、運營管理安全等方面進行積極防御,全面建成車聯網平臺數據安全體系。在數據安全風險評估和數據分類分級的基礎上,建立全生命周期數據分類分級、風險監測、數據加密、數據脫敏、數據操作審計、應急處置等技術措施,實現數據可見、可控、可管,為業務的穩定、可靠運行保駕護航。案例創新案例創新 1、引入自研大模型的 AI 能力,提升數據
65、識別的準確度;2、支持結構化、非結構化、半結構化數據識別和兼容,滿足絕大多數的數據場景;3、數據安全風險評估模塊,集成了擴展云配置和多種云安全能力,持續評估數據資產安全態勢 應用效果應用效果 方案圍繞著汽車行業合規要求和數據防泄漏需求,為企業敏感數據提供了全生命周期安全防護,有效保障了客戶車聯網業務安全合規、穩定運行,為汽車行業數據安全建設提供良好示范,同時該套數據安全治理思路和實踐對于其他行業也具有指導意義,可以快速復用至各行各業。云計算標準和開源推進委員會云上攻防發展洞察(2024)32 運營商云運營商云安全密碼一體化安全密碼一體化實踐案例實踐案例 關鍵詞:數據安全、密碼服務、身份認證 需
66、求痛點需求痛點 商用密碼技術是保障網絡與信息安全的核心技術,某地方運營商為落實商密系統建設要求,需對后端設備登錄身份認證加密、重要數據存儲機密性、重要數據存儲完整性進行改造,實現云平臺防假冒、防泄密、防篡改、抗抵賴等安全需求。解決方案解決方案 新華三根據客戶需求,搭建云安全密碼一體化服務平臺,支持南向納管密碼安全設備,北向統一提供接口服務;納管密碼機及簽名驗簽,可對外提供加解密及簽名驗簽能力;通過實際業務系統改造,落地后端設備登錄身份認證加密、重要數據存儲機密性、重要數據存儲完整性三種場景的密碼服務能力。案例創新案例創新 1、采用 SM2 國密算法數字簽名技術實現身份鑒別;2、采用國密算法實現
67、重要數據存儲機密性保護;3、支持應用系統重要數據在存儲過程中的完整性安全保護。應用效果應用效果 客戶通過密碼服務平臺,南向納管云密碼機、簽名驗簽服務器,北向可實現加解密能力、簽名驗簽能力;對接落地后端設備登錄身份認證加密場景、重要數據存儲機密性保護場景、重要數據存儲完整性保護場景;平臺可靈活擴展密碼服務能力,對接其他業務系統。云計算標準和開源推進委員會云上攻防發展洞察(2024)33 致 謝 本報告在撰寫過程中得到了以下單位的支持和幫助,在此表示感謝。由于撰稿時間有限,行業態勢變化快,如有疏忽和紕漏,歡迎批評指正。中國信息通信研究院、騰訊云計算(北京)有限責任公司、新華三技術有限公司、天翼云科技有限公司、中移(蘇州)軟件技術有限公司、中電信數智科技有限公司、北京升鑫網絡科技有限公司、瑞數信息技術(上海)有限公司、奇安信科技集團股份有限公司、中電科網絡安全科技股份有限公司、浪潮軟件科技有限公司。致 謝 云計算標準和開源推進委員會云上攻防發展洞察(2024)34