RSA 2021大會(huì)最大看點(diǎn)：云！云！云！

RSA 2021 會(huì)議持續(xù)四天，分享了網(wǎng)絡(luò)安全最新的十大趨勢(shì)：安全管理崗位角色演變，人工智能與機(jī)器學(xué)習(xí)，信息操縱及其影響，勒索軟件，共享與如何共享，人員、過程和技術(shù)的彈性，供應(yīng)鏈安全與軟件完整性，零信任，云服務(wù)時(shí)代（All Hail the Cloud），隱私與信息安全。

縱觀大會(huì)十大趨勢(shì)，雖然只有一個(gè)講述云服務(wù)，但其他趨勢(shì)下的議題卻大都是以云環(huán)境下的部署實(shí)施作為假設(shè)展開介紹的，就像本次大會(huì)分享的彈性Resilience主題一樣。我們需要面向未來的、更包容的彈性網(wǎng)絡(luò)，而云服務(wù)則是實(shí)現(xiàn)網(wǎng)絡(luò)彈性最好的環(huán)境和技術(shù)。這場(chǎng)安全盛會(huì)更是全方位展示了云服務(wù)最新的安全動(dòng)態(tài)、技術(shù)理念和發(fā)展方向。

RSA 2021云安全與虛擬化技術(shù)新風(fēng)向

云服務(wù)時(shí)代的到來使得云安全有關(guān)的建議和方案激增，安全即服務(wù)（由云基礎(chǔ)設(shè)施支持，基于云、網(wǎng)、邊、端、身份、郵件、安全運(yùn)營(yíng)中心提供的云安全服務(wù)）、云安全威脅、云部署與防護(hù)、云應(yīng)用程序安全等得到了研究和實(shí)踐，特別是全球疫情環(huán)境下的遠(yuǎn)程管理與交付、遠(yuǎn)程辦公和業(yè)務(wù)云遷移，這為云安全帶來了巨大的機(jī)會(huì)和挑戰(zhàn)。

根據(jù)Cisco Global Cloud Index預(yù)測(cè)，在2021年，隨著云使用量的增加，94%的工作負(fù)載將由云數(shù)據(jù)中心處理。為此，RSA大會(huì)主辦方組織了云安全與虛擬化的主題安全沙龍，分享了不同云化場(chǎng)景下的安全彈性實(shí)踐。

1. 云威脅框架與建模：云安全仍然是一個(gè)不斷發(fā)展的格局，大會(huì)全面剖析了MITRE ATT&CK云矩陣的10大戰(zhàn)術(shù)和41項(xiàng)技術(shù)，分享了從攻擊視角出發(fā)，利用各種自動(dòng)化技術(shù)和方法，識(shí)別潛在的外部和內(nèi)部威脅，分析妥協(xié)的手段和動(dòng)機(jī)，模擬潛在或可能的攻擊途徑，優(yōu)先考慮并減輕風(fēng)險(xiǎn)，系統(tǒng)設(shè)計(jì)與建模，最終找到攻擊類型的威脅建模實(shí)踐。

2. 云安全攻擊與防御：安全攻擊與防御既是相互對(duì)立的，也是相互統(tǒng)一的。未知攻，焉知防。大會(huì)從攻防一體的角度介紹了利用現(xiàn)代分布式應(yīng)用程序和組件的脆弱性，進(jìn)行供應(yīng)鏈攻擊的原理及正確防御措施，分享了針對(duì)K8s集群的內(nèi)在連接和安全性弱點(diǎn)的新攻擊方法以及可操作的緩解技術(shù)。

3. 云安全連接與控制：數(shù)字化業(yè)務(wù)轉(zhuǎn)型正在推動(dòng)網(wǎng)絡(luò)和安全向云發(fā)展，云服務(wù)帶來了云-云、云-端、端-端的新連接方式，基于云化環(huán)境的邊緣網(wǎng)絡(luò)安全成為關(guān)注焦點(diǎn)。大會(huì)介紹了通過安全訪問服務(wù)邊緣 （SASE） 模型，將網(wǎng)絡(luò)和安全功能整合為單一集成云交付服務(wù)，構(gòu)建安全驅(qū)動(dòng)的全邊緣網(wǎng)絡(luò)混合能力，實(shí)現(xiàn)安全遠(yuǎn)程訪問的實(shí)踐。

4. 云安全過渡與遷移：隨著云服務(wù)時(shí)代到來，企業(yè)上云已不可避免，過渡到云和業(yè)務(wù)遷移必將帶來新的威脅和挑戰(zhàn)，憑據(jù)泄露、存儲(chǔ)數(shù)據(jù)更清晰、南北向成為新的東西向、DevOps/ITOps與Sec的融合，業(yè)務(wù)連續(xù)性、數(shù)據(jù)與隱私泄露、橫向移動(dòng)和特權(quán)升級(jí)等。大會(huì)分享了一些機(jī)構(gòu)或廠商緩解風(fēng)險(xiǎn)的安全實(shí)踐案例，如MITRE ATT&CK云矩陣、遠(yuǎn)程醫(yī)療安全監(jiān)控體系、云&本地中心強(qiáng)制安全加固（Enforcing security hardening in Microsoft Azure and On-premises）等。

5. 云安全加密與身份：隨著應(yīng)用上云的發(fā)展，如何構(gòu)建數(shù)據(jù)加密和訪問控制方案，確保云數(shù)據(jù)加密和訪問身份的有效、可信和彈性，保護(hù)高度敏感的業(yè)務(wù)數(shù)據(jù)泄露成為了云數(shù)據(jù)保護(hù)的實(shí)際挑戰(zhàn)。大會(huì)為我們帶來了最低可信、混合云加密和云IAM配置策略的有關(guān)實(shí)踐。

6. 多云安全技術(shù)與態(tài)勢(shì)感知：數(shù)字化浪潮催生了多云戰(zhàn)略的蔓延，多云安全面臨挑戰(zhàn)。大會(huì)介紹了多云安全威脅異常檢測(cè)、多云訪問控制的主要威脅和安全操作建議，重點(diǎn)分享了基于CIS基準(zhǔn)進(jìn)行多云安全監(jiān)測(cè)與評(píng)估，感知多云環(huán)境安全態(tài)勢(shì)的解決方案。

7. 云安全的智能與創(chuàng)新：數(shù)字化技術(shù)為當(dāng)今不斷發(fā)展的網(wǎng)絡(luò)安全格局提供了尋找創(chuàng)新解決方案的機(jī)會(huì)。自動(dòng)化和云原生減少了成功執(zhí)行攻擊的復(fù)雜性，智能技術(shù)提供了更簡(jiǎn)單的方法處理安全，包容和平等的競(jìng)爭(zhēng)環(huán)境縮小了技術(shù)差距，我們應(yīng)重視云安全的智能和創(chuàng)新，確?，F(xiàn)代化技術(shù)的安全。

天融信云安全縱深防御體系建設(shè)實(shí)踐

本次RSA 2021大會(huì)通過系統(tǒng)、全面的云安全實(shí)踐分享為我們描述了一個(gè)云安全縱深防御的體系框架和建設(shè)圖景，可以說與天融信的云安全縱深防御建設(shè)思路不謀而合。

天融信作為國(guó)內(nèi)的網(wǎng)絡(luò)安全、大數(shù)據(jù)與云服務(wù)提供商，在參考國(guó)內(nèi)外云安全方面相關(guān)標(biāo)準(zhǔn)框架的基礎(chǔ)上，通過廣泛的云計(jì)算安全實(shí)踐積累，對(duì)云上業(yè)務(wù)進(jìn)行威脅建模、全面分析云安全的攻擊、防御、檢測(cè)、監(jiān)測(cè)、評(píng)估、加密、訪問過程，設(shè)計(jì)了新一代云安全縱深防御體系。該體系將云環(huán)境劃分為物理邊界層、虛擬邊界層、虛擬網(wǎng)絡(luò)層和云主機(jī)層4個(gè)層面，采用分層防護(hù)思想，對(duì)云威脅進(jìn)行全方位、全場(chǎng)景防御。

物理邊界層

在物理邊界層，對(duì)于互聯(lián)網(wǎng)主動(dòng)向云內(nèi)發(fā)起的訪問，通過硬件安全設(shè)備的網(wǎng)站應(yīng)用防護(hù)、全鏈路的訪問控制、身份認(rèn)證、安全審計(jì)、加密遠(yuǎn)程連接、病毒過濾等功能，提高云平臺(tái)邊界南向的安全防護(hù)能力。對(duì)于云內(nèi)發(fā)起的互聯(lián)網(wǎng)外聯(lián)，通過安全設(shè)備的行為管控、數(shù)據(jù)加密、入侵防御、流量管控等功能，提高云平臺(tái)邊界北向的安全防護(hù)能力。最終在物理邊界層為云平臺(tái)提供完善的南北向流量的安全防護(hù)。

虛擬邊界層

對(duì)于云上多租戶之間的安全隔離以及租戶云內(nèi)安全建設(shè)需求，采用云安全資源池的豐富安全能力，利用服務(wù)編排調(diào)度技術(shù)，實(shí)現(xiàn)安全能力靈活部署、資源彈性伸縮。云安全資源池融入了多款優(yōu)勢(shì)安全產(chǎn)品，可以為租戶提供訪問控制、入侵防御、網(wǎng)絡(luò)防病毒、Web攻擊防護(hù)、身份加密、運(yùn)維管控、安全審計(jì)、云主機(jī)安全防護(hù)、漏洞挖掘、基線合規(guī)管理等安全能力。

對(duì)云租戶的安全進(jìn)行縱向防護(hù)、橫向隔離，靈活解決不同租戶之間的安全隔離和差異化防護(hù)需求。

虛擬網(wǎng)絡(luò)層

針對(duì)云內(nèi)虛擬機(jī)之間的流量隔離和流量可視化，采用無代理微隔離防火墻通過與虛擬化平臺(tái)深度融合，通過嚴(yán)格的微分段技術(shù)，控制虛機(jī)之間的安全通信，明確訪問的來源、訪問對(duì)象及訪問類型，確保合法訪問的正常進(jìn)行，杜絕非法及越權(quán)訪問。同時(shí)依托高級(jí)威脅防護(hù)能力，對(duì)虛機(jī)之間的入侵威脅以及惡意代碼進(jìn)行檢測(cè)與安全管控，實(shí)現(xiàn)虛擬化平臺(tái)內(nèi)“東西向”威脅防護(hù)。為保證虛擬化平臺(tái)內(nèi)業(yè)務(wù)通信可視化以及威脅傳播可視化，系統(tǒng)引入多維可視化模型，深度剖析業(yè)務(wù)通信關(guān)系，快速定位惡意威脅傳播途徑，為安全策略制定提供有利的參考依據(jù)，為客戶提供強(qiáng)有力的虛擬化安全保障能力，最終打造基于虛擬網(wǎng)絡(luò)層的隔離，有效預(yù)防安全威脅在虛擬機(jī)之間橫向傳播。

針對(duì)容器的鏡像文件漏洞、惡意篡改、完整性保障方面，我們采用容器安全對(duì)容器運(yùn)行環(huán)境、容器鏡像、容器網(wǎng)絡(luò)、工作負(fù)載安全等維度，確保容器環(huán)境中業(yè)務(wù)系統(tǒng)安全可靠運(yùn)行。

云主機(jī)層

隨著多云化發(fā)展，不同云計(jì)算環(huán)境下的業(yè)務(wù)之間又具有緊密聯(lián)系。云主機(jī)作為云租戶業(yè)務(wù)的載體，構(gòu)建多云環(huán)境下的預(yù)測(cè)、防御、檢測(cè)和響應(yīng)一體的自適應(yīng)安全防護(hù)體系尤為關(guān)鍵，自適應(yīng)安全防御系統(tǒng)通過監(jiān)測(cè)和響應(yīng)能力以及持續(xù)的監(jiān)控和分析，及時(shí)應(yīng)對(duì)新威脅、調(diào)整安全策略，將安全能力賦能到云主機(jī)，將自適應(yīng)安全防護(hù)理念貫穿到云主機(jī)安全中，有效應(yīng)對(duì)云主機(jī)內(nèi)復(fù)雜的高級(jí)持續(xù)威脅。

針對(duì)云主機(jī)側(cè)的惡意代碼攻擊、未知威脅攻擊及漏洞利用攻擊，我們采用輕代理的EDR，對(duì)每個(gè)文件進(jìn)行實(shí)時(shí)監(jiān)控，采用虛擬沙盒的行為分析技術(shù)，精準(zhǔn)判斷每個(gè)病毒的類型及其行為意圖，有效阻止惡意代碼針對(duì)云主機(jī)側(cè)的感染，通過主動(dòng)防御、虛擬補(bǔ)丁、虛擬沙盒等技術(shù)為云主機(jī)提供更精準(zhǔn)、更準(zhǔn)確的全生命周期防護(hù)。

天融信云安全通過分層設(shè)計(jì)、分層防護(hù)的思想，構(gòu)建縱深防御體系，抵御來自各個(gè)層面的攻擊。在此基礎(chǔ)上，天融信新一代云安全縱深防御體系還提供了持續(xù)的安全監(jiān)控和運(yùn)維保障，結(jié)合產(chǎn)品加服務(wù)方式構(gòu)建安全能力的閉環(huán)，實(shí)現(xiàn)了公有云、私有云、混合云從設(shè)計(jì)、建設(shè)到運(yùn)營(yíng)生命周期內(nèi)的全覆蓋，進(jìn)而為云上業(yè)務(wù)保駕護(hù)航，為企業(yè)的數(shù)字化轉(zhuǎn)型提供富有安全彈性能力的新動(dòng)能。