2024云安全技术发展白皮书

1 导读................................................................................................................................................................11.⼗年云计算安全威胁演进.......................................................................................................................41.1安全事件层出不穷........................................................................................................................41.2云上资产激增扩大攻击面............................................................................................................51.3云原生环境的安全⻛险日益增加................................................................................................71.4漏洞威胁持续涌现......................................................................................................................121.5勒索软件构成重大安全挑战......................................................................................................141.6新型的高级攻击手法防不胜防..................................................................................................161.7小结..............................................................................................................................................182.云安全技术的过去、现在与未来........................................................................................................192.1主机安全......................................................................................................................................192.2虚拟化层和宿主机安全..............................................................................................................272.3微隔离..........................................................................................................................................322.4云安全态势管理..........................................................................................................................382.5云访问安全代理..........................................................................................................................422.6云原生安全..................................................................................................................................482.7云安全资源池..............................................................................................................................653.总结.........................................................................................................................................................69 用云计算服务的进程中，围绕云计算技术滋生的系列云计算平台安全问题，如，用⼾身份管理/访 件。如，2017年5月，WannaCry勒索软件攻击在全球范围内爆发，影响了多个国家和组织，包 括医疗机构、政府机构和教育机构。2020年，SolarWinds攻击事件被曝光，攻击者通过向 表1主流的云安全技术 1.⼗年云计算安全威胁演进 ⻛险日益多元化、复杂化、扩大化，云正在成为安全攻防的主战场。根据CybersecurityInsiders 《2023云安全报告》对上千网络安全专业人员的调查显示，随着采用云计算的组织不断增多，39% 的技能差距（58%），以及确保多云环境中的数据保护（52%）。安全顾虑仍然居高不下，76% 1.1安全事件层出不穷 上的典型代表事件包括了2013年的斯诺登泄露事件，而影响国内的典型代表事件包括： 1．2022年，美商务部产业与安全局发布针对网络安全领域新的出口管制规定《信息安全控 3．2023年，武汉应急管理地震监控设备通告称遭受美国情报局的网络攻击，经国家应急处 内APT攻击活动依然紧跟政治、经济等时事热点，攻击目标集中分布于政府、教育、金融等⾏业 创新（如利用驱动程序内核模块来直接读和写内存区域）和采用绕过技术，使用非常规的TTP（战 1.2云上资产激增扩大攻击面 随着容器、云原生、Serverless、API等云上技术的升级和变化，加上云基础架构上国产化、 4．随着不同⾏业的数字化发展以及云架构的升级，垂直⾏业云和多层级云架构模式也大大增 2．⻛险信息和关联影响不清：云上资产到底有多少⻛险，这些⻛险到底有什么影响，会对主 3．攻击暴露面不清：结合上述的信息综合分析，从整个云安全管理来看，暴露的攻击面有哪 1.3云原生环境的安全⻛险日益增加 K8s云原生工作负载的安全威胁进⾏分析。 云原生应用的漏洞攻击面激增。云原生应用资产可分为五大层级，分别是：Cloud、Cluster、 API均可能成为攻击对象；同时，云原生应用可能受攻击的阶段更广泛，在容器应用的开发、构建、 1.4漏洞威胁持续涌现 1.5勒索软件构成重大安全挑战 1．萌芽期 1989年，AIDStrojan是世界上第一个被载入史册的勒索病毒，从而开启了勒索病毒的时代。 2．成⻓期 2013下 半 年 开 始 ， 是 现 代 勒 索 病 毒 快 速 成 型 的 时 期 。 这 个 时 期 典 型 的 勒 索 病 毒有 CryptoLocker、CTBLocker等。此类恶意程序大多零散发生，并且大多数情况下，这些恶意软件 广泛传播。典型的例子就是WannaCry勒索蠕⾍病毒的大发作，这起遍布全球的病毒大破坏事件 自2018年开始，常规的勒索⽊⻢技术日益成熟。已将攻击目标从最初的大面积广撒网无差别 1.6新型的高级攻击手法防不胜防 2．云错误配置⻛险：云基础设施非常复杂并且难以正确配置，云错误配置导致的攻击数不胜 3．虚拟化和容器技术攻击：随着云计算中虚拟化和容器技术的广泛应用，攻击者也开始瞄准 4．供应链攻击：供应链攻击是指通过入侵或操纵云服务供应链中的环节，攻击云服务提供商 5．加密劫持攻击：加密劫持攻击是未经授权使用他人的云资源来挖掘加密货币。这通常是通 6．AIGC降低了网络攻击的⻔槛：AIGC（ArtificialIntelligenceGeneratedContent，生成式 1.7小结 2.云安全技术的过去、现在与未来 2.1主机安全 2.1.1主机安全技术演进的简要介绍 20世纪80年代，最早的主机安全技术聚焦在AV(AntiVirus，防病毒)，防病毒技术集中于病 随着20世纪90年代互联网的普及，计算机系统暴露在广泛的网络攻击之下，危险漏洞的数 量也持续增⻓，恶意软件开始肆意传播，HIDS（Host-basedIntrusionDetectionSystem，基于 主机型入侵检测系统）技术随之出现。HIDS侧重基于主机内部活动的检测，集中于真实攻击者入 侵主机后可能在系统层面做的恶意⾏为，比如可疑命令、异常登录、反弹shell、上传webshell 21世纪初，网络和系统安全的需求不断增⻓，主机安全产品如⾬后春笋。EPP（Endpoint ProtectionPlatform，端点保护平台）整合了多种安全功能，包括防病毒、防火墙、应用程序控 决方案会使用多种检测技术，从静态IOC到⾏为分析。反病毒的启发式监控结合威胁情报信息提 升了EPP的反病毒能⼒，但从技术上讲都是被动防御能⼒的叠加。当针对性强、持续时间久、威 胁程度高的APT攻击增多，被动防御已不能满足安全需求。 2010年 代 以 后 云 计 算 的 开 始 广 泛 应 用 ， 市 场 上 出 现 了EDR（EndpointDetection& 和CWPP（CloudWorkloadProtectionPlatform，云工作负载保护平台）等云安全解决方案。 EDR解决方案面向的是端点设备，记录和存储终端系统层⾏为，使用各种数据分析技术检测 可疑系统⾏为，提供上下文信息，封堵恶意活动并提供修复建议以恢复受感染系统。EDR解决方 CWPP市场是一个以工作负载为中心的安全防护解决方案，它是一种典型的基于代理（Agent）的 2.1.2目前国内外技术落地现状 1.有代理技术路线：其基本思想是云计算中所有服务器上，无论是物理主机还是虚拟主机操作 的PrismaCloud、CrowdStrikeFalcon、AquaSecurity和国内的亚信安全信舱等。 2.无代理技术路线：其基本思想是以拒绝访问为主的防御方案，而非有代理方式采用检测后进 安全虚拟机SVM（SecureVirtualMachine），用以完成宿主机上所有虚拟机VM（VirtualMachine） 的安全防护。国内CWPP面向工作负载范围大多局限于云主机、虚拟机层面，而对于容器、容器 编排平台、无服务的防护通常需要额外的安全产品。国内近年来出现了一些充分实践CWPP理念 是一款专为用⼾虚拟环境和云环境打造的一站式云