青藤COO程度:构建先进的政务云安全能力
日期:2023年09月20日 阅:86
今日,2023数字政府安全建设大会在福州隆重召开。本次大会由中国计算机学会计算机安全专委会作为指导单位,《信息安全研究》杂志社、福建大数据信息安全建设运营有限公司主办,光明网网络安全频道协办,青藤云安全承办。来自政产学研用单位的200余名行业领袖及安全专家参与本次大会。会上,青藤云安全COO程度发表以《政务云关键安全能力构建》为主题的演讲,围绕政务云场景,深入剖析其面临的安全风险以及关键安全能力的建设。
政务云面临严峻风险
数字政府建设是数字中国战略的重中之重,政务云作为数字政府建设的第一步,已成为数字政府建设的关键基础设施。目前,针对政务云安全的国家政策法规不断完善,安全保护要求日益提升。与此同时,政务云面临的安全风险日益多元化、复杂化、扩大化。一方面,在政务云平台中,传统网络架构中的DDoS攻击、非法入侵、病毒等安全问题仍是常态;另一方面,云环境中容器等新技术不断应用,增加了攻击暴露面,云上配置错误与人员操作不规范导致的风险更加突出,专门针对云平台架构的容器逃逸、资源滥用等安全问题层出不穷,传统的安全工具能力有限。在新旧双重威胁影响下,政务云面临更加严峻的安全风险。
政务云安全关键能力
目前,从政务云安全能力建设来看,政务外网、政务数据中心网络、政务云基础架构、政务云大数据平台等平台环境安全水平相对成熟。但政务云租户环境、政务云应用环境等租户云计算环境安全需要重点强化。主要体现在以下四个场景中:
(1)CWPP解决云租户侧工作负载安全问题
CWPP云工作负载保护平台解决方案可以实现跨物理机、公有云、私有云、混合云等多种数据中心环境的安全防护。其防护的云工作负载种类包括,基础设施即服务(IaaS)和平台即服务(PaaS)计算实例、容器以及运行在物联网(IoT)上的工作负载。云工作负载保护平台是基于主机Agent的解决方案,主要功能如图2所示。
CWPP解决方案涵盖了云工作负载整个生命周期的安全需求。其关键的能力包括资产清点、风险发现与整改、入侵检测与防护、合规基线等。
(2)容器安全解决云原生安全防护问题
在政务云平台建设中,容器技术得到了广泛应用,也因此带来了一系列安全风险。如图3所示,通过容器安全方案实现全生命周期的安全防护,并做到容器安全预测、防御、检测和响应的闭环管理。
首先,容器安全方案通过对容器资产的持续、自动采集,清晰梳理云原生环境的安全防护边界,实时掌握容器资产的变化及风险,使安全工作不落后于运维和业务。
其次,云原生引入很多新的IT基础设施,其安全防护能力和合规性普遍跟不上。对此,容器安全方案可有效发现高危的系统脆弱性风险,例如DevOps组件风险、容器应用风险等,减轻系统被攻击的风险。
最后,容器安全方案可实时检测容器中的已知威胁、恶意行为、异常事件,及时发现容器逃逸、集群攻击等云原生特有的攻击方式。并且对于真实攻击,以进程、IP等多种元素展示呈现一个攻击的完整链路,将前后发现的攻击逐个串联,形成攻击全景图,如图4所示,帮助用户迅速理解攻击态势,精准找出问题关键点。
(3)微隔离解决云内东西流量安全问题
传统的外围防御策略无法控制数据中心内部网络通信。因此,组织必须将防御策略扩展到数据中心内部。如图5所示,通过微隔离方案,实现数据中心全面的流量可视化、细粒度的策略管理、多样的威胁响应处置,以及策略自适应能力。
微隔离与传统的防火墙等隔离方式相比,更能满足云时代的安全防护需求。不但能帮助组织大幅降低不可避免的安全入侵风险,而且在增加安全控制的同时,还保留了发挥现代工作流和混合基础设施优势所必需的灵活性,使组织更好地享受云带来的价值。
(4)RASP解决云上业务应用安全问题
云原生环境下管理维度更加偏向于应用,例如针对比较流行的内存马攻击方式,必须深入应用内部才能有效检测。如图6所示,利用RASP应用运行时自我保护安全方案,在应用程序内部嵌入安全机制,能够主动监视、检测和阻止潜在的安全风险和攻击,实现实时监控、即时防御、自我修复、减少漏洞利用、降低误报率等应用安全防护能力。
RASP通过在应用程序运行过程中采用插桩技术,实现无需人工干预、无感知、高精准检测和防御外部攻击,可以快速地将安全防御功能融合到正在运行的应用程序中,像“抗体”一样使应用程序具备自我保护能力,从而自动免疫针对应用程序的外部威胁,实时检测并阻断攻击行为。具体作用体现在以下几个方面:
政务云对数字政府治理和社会服务的作用和价值不断凸显。安全政务云将是未来的发展方向,这将为打造安全可信、敏捷创新、高效惠民的数字政府奠定基石。青藤作为国内拥有核心技术的网络安全领军企业,将持续发挥自身安全技术优势,结合先进的理念和创新的精神,助力政府以及千行百业安全上云、安全用云,为数字中国、数字政府安全建设贡献力量。
“云”已经成为支撑国民经济运行和社会发展的重要基础设施。为助力引领我国云安全产业健康、可持续发展落地,由云安全联盟(CSA)大中华区、国家信息中心《信息安全研究》杂志社、光明网网络安全频道联合发起,青藤云安全提供技术支持的《2023年十大云安全发展趋势洞察报告》,在本次大会上正式发布。报告汇集政产学研用领域专家深度参与,全面展示了云安全发展的新理念、新技术、新趋势,为我国云安全产业的创新发展、政策制定、行业规范等带来前瞻性思考和启发。
来源:青藤