引言：為強(qiáng)化各方在構(gòu)建和配置云基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全責(zé)任，美國(guó)國(guó)家安全局（NSA）、網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）于2021年10月出版了《5G云基礎(chǔ)設(shè)施安全指南》。指南共四部分，主要應(yīng)用威脅的方法來(lái)識(shí)別和緩解5G網(wǎng)絡(luò)中使用云技術(shù)帶來(lái)的風(fēng)險(xiǎn)，并提出用于強(qiáng)化5G云基礎(chǔ)設(shè)施的安全建議。這些建議針對(duì)構(gòu)建和配置5G云基礎(chǔ)設(shè)施的服務(wù)提供商和系統(tǒng)集成商，包括核心網(wǎng)絡(luò)設(shè)備供應(yīng)商、云服務(wù)提供商、集成商和移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商、用戶，要求以“安全責(zé)任共享”的方式來(lái)分擔(dān)安全責(zé)任，強(qiáng)調(diào)各方必須安全地構(gòu)建和配置5G云基礎(chǔ)設(shè)施。

本文簡(jiǎn)要介紹了《5G云基礎(chǔ)設(shè)施安全指南》描述的最大安全風(fēng)險(xiǎn)，并結(jié)合行業(yè)混云架構(gòu)的特點(diǎn)、優(yōu)點(diǎn)，針對(duì)《5G云基礎(chǔ)設(shè)施安全指南》中已公布的重大風(fēng)險(xiǎn)威脅和漏洞，使用APT攻擊手法初略分析了影響行業(yè)混云安全的主要因素。以期為行業(yè)在一體化平臺(tái)建設(shè)階段探索“共建共享共治” 的混云安全標(biāo)準(zhǔn)提供參考。

一、云基礎(chǔ)設(shè)施安全指南

持久安全框架（ESF）在2020年夏季舉辦了一個(gè)由政府和行業(yè)專家組成的5G研究小組，旨在探索5G基礎(chǔ)設(shè)施固有的潛在威脅風(fēng)險(xiǎn)和漏洞。根據(jù)初步分析和威脅評(píng)估研究小組得出結(jié)論，5G云基礎(chǔ)設(shè)施安全面臨的最大安全風(fēng)險(xiǎn)可分為四個(gè)部分。第一部分：防止和檢測(cè)橫向運(yùn)動(dòng)；檢測(cè)云中的惡意網(wǎng)絡(luò)參與者活動(dòng)，防止參與者利用單個(gè)云資源的漏洞來(lái)危害整個(gè)網(wǎng)絡(luò)。第二部分：安全隔離網(wǎng)絡(luò)資源；確?？蛻糍Y源之間存在安全隔離，重點(diǎn)是保護(hù)支持虛擬網(wǎng)絡(luò)功能運(yùn)行的容器堆棧。第三部分：保護(hù)傳輸中、使用中和靜止的數(shù)據(jù)；確保網(wǎng)絡(luò)中數(shù)據(jù)在生命周期的所有階段（靜止、傳輸、處理中、銷毀時(shí)）都得到保護(hù)。第四部分：確?；A(chǔ)設(shè)施的完整性；確保未經(jīng)授權(quán)不得修改云資源（例如，容器映像、模板、配置）。

特此申明：1）為防范0day攻擊，本文未對(duì)《5G云基礎(chǔ)設(shè)施安全指南》四部分中公布的風(fēng)險(xiǎn)威脅和漏洞列舉、介紹，有興趣的讀者可在NSA、CISA官網(wǎng)查閱；2）關(guān)于APT攻擊，即高級(jí)可持續(xù)威脅攻擊,也稱為定向威脅攻擊，指某組織對(duì)特定對(duì)象展開的持續(xù)有效的攻擊活動(dòng)。APT攻擊可以分為攻擊準(zhǔn)備、入侵實(shí)施、后續(xù)攻擊三個(gè)環(huán)節(jié)，本文使用APT攻擊手法主要是指攻擊準(zhǔn)備環(huán)節(jié)的信息獲取、分析、薄弱環(huán)節(jié)定位；3）針對(duì)行業(yè)混云架構(gòu)研究?jī)H是個(gè)人研究行為，獲取的相關(guān)信息均通過(guò)互聯(lián)網(wǎng)公開信息取得。

二、行業(yè)多云異構(gòu)現(xiàn)況分析

首先在信創(chuàng)背景下，信創(chuàng)架構(gòu)和X86架構(gòu)將長(zhǎng)期共存，這直接確定了行業(yè)云技術(shù)架構(gòu)底層（IaaS）的異構(gòu)場(chǎng)景；其次現(xiàn)階段使用的有行業(yè)云平臺(tái)（阿里云）、行業(yè)統(tǒng)一平臺(tái)（前置環(huán)境vmware云）、信創(chuàng)平臺(tái)（騰訊云Tstack）三種及以上多云異構(gòu)的云平臺(tái)技術(shù)；加之大量業(yè)務(wù)系統(tǒng)將逐步遷移至信創(chuàng)云或行業(yè)云平臺(tái)，多云之間會(huì)通過(guò)專線或VPN網(wǎng)關(guān)互聯(lián)。從而滿足NIST（美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院）對(duì)混合云的定義：多個(gè)云之間互聯(lián)的IT 架構(gòu)，既混合云需要通過(guò)專線或 VPN 來(lái)連接各個(gè)相關(guān)云，而多云則不必（Gartner之前將混合云定義為混合的IT架構(gòu)）?；旌显品褐甘褂猛患夹g(shù)架構(gòu)的私有云和公有云，多云異構(gòu)也屬于混合云。

混合云是近幾年來(lái)被經(jīng)常提及的一種新的云架構(gòu)體系，是當(dāng)前較為適合國(guó)內(nèi)外數(shù)據(jù)安全保護(hù)法律（《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《歐盟通用數(shù)據(jù)保護(hù)條例》《美國(guó)網(wǎng)絡(luò)安全信息共享法案》）要求的，是被眾多企業(yè)強(qiáng)烈的安全應(yīng)用需求推出來(lái)的，已成為大多數(shù)企業(yè)尤其是大中型企業(yè)的長(zhǎng)期策略和現(xiàn)實(shí)。

三、混云架構(gòu)特點(diǎn)、優(yōu)點(diǎn)、缺點(diǎn)

混云架構(gòu)通常是企業(yè)為規(guī)避過(guò)度依賴單一云服務(wù)提供商策略的一部分，其特點(diǎn)、優(yōu)點(diǎn)較為明顯。

3.1混云架構(gòu)的主要特點(diǎn)

1）借助多云API管控平面的融合相對(duì)比較容易；

2）IaaS層融合需要資源抽象屏蔽各云之間的細(xì)節(jié)，因各云服務(wù)提供商之間IaaS層產(chǎn)品差異較大，融合時(shí)會(huì)犧牲云的一些特性。

3）IaaS層數(shù)據(jù)面融合存在很多困難，對(duì)于PaaS層融合，如果兩側(cè)平臺(tái)一致，如都是K8S，則云平臺(tái)數(shù)據(jù)面融合比較容易。

3.2混云架構(gòu)的主要優(yōu)點(diǎn)

4）業(yè)務(wù)架構(gòu)設(shè)計(jì)不用擔(dān)心被某一云服務(wù)提供商綁定，可優(yōu)先選用云原生架構(gòu)。

5）可以制定更靈活的成本策略，比如合理利用各云服務(wù)提供商的產(chǎn)品價(jià)格差異來(lái)降低企業(yè) IT成本。

6）對(duì)數(shù)據(jù)安全性會(huì)有進(jìn)一步的保障，數(shù)據(jù)容災(zāi)、備份存在更多的地域選擇，同時(shí)也能規(guī)避云服務(wù)提供商自身的一些數(shù)據(jù)安全缺陷，如企業(yè)將數(shù)據(jù)備份到不同云平臺(tái)，當(dāng)某一個(gè)云平臺(tái)由于軟件缺陷導(dǎo)致數(shù)據(jù)丟失，那么另一個(gè)云平臺(tái)的數(shù)據(jù)可提供數(shù)據(jù)恢復(fù)。

3.3混云架構(gòu)的主要缺點(diǎn)

混云作為一個(gè)覆蓋私有云、專有云、以及線下IDC 的云計(jì)算綜合體，在帶來(lái)單一云形態(tài)所不具備的優(yōu)越性同時(shí)，也會(huì)對(duì)業(yè)務(wù)系統(tǒng)的上云設(shè)計(jì)、實(shí)施部署提出更高的安全要求。以至于在做業(yè)務(wù)系統(tǒng)上云設(shè)計(jì)時(shí)，技術(shù)人員會(huì)心生埋怨地將“1+1+N，解讀為1朵云、2朵云、N多云”。由此可見混云在滿足大安全戰(zhàn)略的同時(shí)，極大的增加了業(yè)務(wù)系統(tǒng)架構(gòu)設(shè)計(jì)、實(shí)施部署的技術(shù)難度（如，邊端設(shè)計(jì)、安全設(shè)計(jì)、容災(zāi)備份等）；而混云工業(yè)或事實(shí)上的標(biāo)準(zhǔn)規(guī)范缺乏，各云服務(wù)提供商都以自己的產(chǎn)品為中心、各自為政，在業(yè)務(wù)系統(tǒng)構(gòu)架設(shè)計(jì)或?qū)嵤┎渴饡r(shí)，云服務(wù)提供商、集成商、用戶等任一方的疏漏或違規(guī)操作都將產(chǎn)生極大安全風(fēng)險(xiǎn)。

四、影響行業(yè)混云安全的主要因素

?? ?在行業(yè)混云環(huán)境下，由于邊界的延伸，其安全架構(gòu)的復(fù)雜度要高于單一專有云或私有云的安全架構(gòu)，且與傳統(tǒng)IDC安全架構(gòu)有明顯區(qū)別。結(jié)合指南發(fā)布的5G云基礎(chǔ)設(shè)施安全面臨的最大安全風(fēng)險(xiǎn)，通過(guò)分析混云架構(gòu)存在的薄弱環(huán)節(jié)，不難發(fā)現(xiàn)影響行業(yè)混云安全的主要因素有如下幾項(xiàng)：

4.1安全防護(hù)邊界擴(kuò)大

在混云模式下，安全防護(hù)邊界問(wèn)題更加突出。主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全的風(fēng)險(xiǎn)依舊存在，而在網(wǎng)絡(luò)層，由于業(yè)務(wù)上云及分布式設(shè)計(jì)需要，網(wǎng)絡(luò)層面通過(guò)租用運(yùn)營(yíng)商專線或VPN隧道打通多云或云上云下環(huán)境，使得安全邊界變得更大、更模糊，跨可用區(qū)甚至跨地域進(jìn)行云資源彈性伸縮，又極大地拓寬了云邊端的資源邊界。如，在業(yè)務(wù)系統(tǒng)上云時(shí)，行業(yè)云平臺(tái)與行業(yè)前置環(huán)境數(shù)據(jù)交互，若忽略數(shù)據(jù)加密傳輸或密鑰管理安全防護(hù)，邊界風(fēng)險(xiǎn)將沿著專線鏈路擴(kuò)展；一體化平臺(tái)邊端基于K8S的容器虛擬機(jī)部署，若采用云平臺(tái)默認(rèn)設(shè)置或關(guān)閉云安全組件配置，安全風(fēng)險(xiǎn)將由邊端向數(shù)據(jù)中心擴(kuò)散等。

4.2安全權(quán)責(zé)劃分過(guò)粗

通常情況下業(yè)務(wù)系統(tǒng)上云就存在安全權(quán)責(zé)界定問(wèn)題。雖然有諸如等級(jí)保護(hù)2.0、《云計(jì)算擴(kuò)展要求》《云計(jì)算安全責(zé)任共擔(dān)模型》等國(guó)家標(biāo)準(zhǔn)和行業(yè)規(guī)范對(duì)不同對(duì)象進(jìn)行責(zé)任界定或共擔(dān)，但實(shí)際上安全能力和策略都會(huì)受限于云平臺(tái)的支持，且國(guó)內(nèi)的等級(jí)保護(hù)、安全測(cè)評(píng)等安全標(biāo)準(zhǔn)欠缺對(duì)安全權(quán)責(zé)的細(xì)化描述。在行業(yè)混云架構(gòu)模式下，IT環(huán)境更為復(fù)雜、引入的權(quán)責(zé)方更多，使得責(zé)任界定更加困難。如，在上云過(guò)程中ECS服務(wù)器（容器）負(fù)載均衡設(shè)置、彈性伸縮、安全組等功能配置是由云服務(wù)提供商、集成商還是應(yīng)用開發(fā)商又或是用戶自行設(shè)定；云服務(wù)提供商是否對(duì)應(yīng)用開發(fā)商、用戶提供了安全策略配置建議；集成商、應(yīng)用開發(fā)商為便于自身工作開展是否在開發(fā)、部署等階段關(guān)閉或禁用安全組件功能等。

4.3安全策略因云而異

由于不同云平臺(tái)技術(shù)架構(gòu)之間的壁壘問(wèn)題十分嚴(yán)重，安全能力、安全策略顆粒度、安全操作習(xí)慣等均存有較大差異。用戶難對(duì)混云環(huán)境進(jìn)行統(tǒng)一的安全防護(hù)策略下發(fā)并及時(shí)感知混云的安全事件，難以通過(guò)統(tǒng)一的視角對(duì)龐大的安全資產(chǎn)進(jìn)行運(yùn)維和管理。極有可能因?yàn)榘踩雷o(hù)策略不統(tǒng)一導(dǎo)致安全管理疏漏帶來(lái)新的安全風(fēng)險(xiǎn)。如，各云平臺(tái)服務(wù)提供商的安全組件能力不一致，需基于各云平臺(tái)獨(dú)立配置安全組件功能；云原生與阿里、騰訊、VMWARE平臺(tái)開發(fā)環(huán)境不一致需針對(duì)不同開發(fā)環(huán)境設(shè)置安全策略及安全預(yù)警等。

4.4安全投入成本高昂

遵循IATF縱深防御思想來(lái)投入所有云環(huán)境業(yè)務(wù)系統(tǒng)雖然是理想的建設(shè)思路，但通常投入成本太過(guò)高昂。不同云平臺(tái)技術(shù)體系，需購(gòu)置與之配套的云安全組件，且在管理和配置上無(wú)法直接實(shí)現(xiàn)聯(lián)動(dòng)，還需配備熟悉各云平臺(tái)的安全技術(shù)人員。因此用戶可能選擇忽略某些云上的安全投入，使之成為整個(gè)組織安全能力的薄弱環(huán)節(jié)。如，阿里云、騰訊云、VMWARE云平臺(tái)不僅需分別配置云平臺(tái)安全組件防護(hù)能力，還需投入保障各平臺(tái)安全運(yùn)營(yíng)的技術(shù)人員成本；按照零信任安全架構(gòu)還要投入基于用戶、設(shè)備、API、應(yīng)用等可信訪問(wèn)控制改造或重構(gòu)成本；私有云用戶通常會(huì)忽略DDOS高防、CNAME域名指向等安全功能，以至于通過(guò)搜索引擎及DNS命令就能精準(zhǔn)定位公網(wǎng)IP實(shí)施攻擊。

4.5安全融合尚未成型

統(tǒng)一安全運(yùn)營(yíng)平臺(tái)逐漸得到大家的認(rèn)可，一般來(lái)講安全運(yùn)營(yíng)包含安全能力管理、流程梳理、處置溯源閉環(huán)及安全服務(wù)等維度。而安全廠商的弊端在于安全能力的豐富度，幾乎很難有安全廠商的產(chǎn)品能力都達(dá)到業(yè)內(nèi)先進(jìn)水平且可以覆蓋所有的品類，安全產(chǎn)品能力融合難。其次云平臺(tái)雖具備豐富的安全能力，但資產(chǎn)分散到混合云之后云服務(wù)提供商的接口信息、監(jiān)控?cái)?shù)據(jù)等格式不統(tǒng)一，各類安全組件與混云平臺(tái)適配融合較難；再次安全運(yùn)營(yíng)需統(tǒng)一運(yùn)維入口，同時(shí)結(jié)合多云安全管理組件實(shí)現(xiàn)融合管理，讓本來(lái)就屬于“奢侈品”的安全運(yùn)營(yíng)更難落地。如將CASB/SASE等模式、EDR/CWPP等新概念或產(chǎn)品應(yīng)用到混合云場(chǎng)景; 將零信任網(wǎng)絡(luò)訪問(wèn)控制策略顆粒度、操作習(xí)慣統(tǒng)一，實(shí)現(xiàn)安全管理簡(jiǎn)單化，推動(dòng)安全能力可分發(fā)、可編排，同時(shí)將流程管理和安全服務(wù)整合等。

五、結(jié)語(yǔ)

攻擊發(fā)起方通常會(huì)針對(duì)行業(yè)混云安全架構(gòu)的特點(diǎn)、缺點(diǎn)、已發(fā)布的風(fēng)險(xiǎn)提示、漏洞等分析薄弱環(huán)節(jié)，選定最佳攻擊路徑。結(jié)合《5G云基礎(chǔ)設(shè)施安全指南》公布的重大風(fēng)險(xiǎn)威脅和漏洞，獲取行業(yè)一體化平臺(tái)試點(diǎn)單位客戶數(shù)據(jù)已有可能。

混云允許企業(yè)根據(jù)合規(guī)性、審計(jì)、政策或安全需求，選擇工作負(fù)載和數(shù)據(jù)的存放位置，在有效降低數(shù)據(jù)安全風(fēng)險(xiǎn)的同時(shí)，避免被單一服務(wù)商技術(shù)架構(gòu)綁定——這是大多數(shù)企業(yè)選擇混云的根本原因。但構(gòu)成混云的各種環(huán)境都是廣泛高度互聯(lián)的、獨(dú)一無(wú)二的業(yè)務(wù)應(yīng)用實(shí)體，不存在通用的混云安全架構(gòu)、防護(hù)措施。行業(yè)混云架構(gòu)在探索、創(chuàng)新的同時(shí)，如何更快、更好、更強(qiáng)的構(gòu)建和管理混云安全，還需學(xué)習(xí)國(guó)內(nèi)外企業(yè)在混云風(fēng)險(xiǎn)評(píng)估、安全管理、安全研究、安全運(yùn)營(yíng)、安全開發(fā)等方面的經(jīng)驗(yàn)積累。