随着数字经济时代到来，云计算、大数据、物联网等新兴技术在关键信息基础设施领域深度应用，数字技术已经成为企业转型和发展的关键要素，而云是企业数字化转型的基础支柱，也是企业的首要技术重点。我国在十四五规划中，将云计算作为数字经济重点产品之首，要求加快数字化发展，建设数字中国，实施“上云用数赋智”行动。在数字化转型不断加深的大背景下，越来越多的关键信息基础设施正在将数据和应用程序迁移到云中。同时，新基建也推动了大量云化基础设施采用了云原生的技术路线。如图1所示，关键信息基础设施在经历信息安全时代后，进入数字网络“云安全”时代。

图1 关键信息基础设施网络安全发展

随着关键信息基础设施上云步伐加速，云上安全问题也更加广泛和突出。调研显示，云计算所面临的挑战中，安全问题排在首位。

图2 云计算安全问题突出

一、关键信息基础设施云安全建设重点

满足监管合规要求

随着《网络安全法》、《数据安全法》、《网络安全审查办法》和《关键信息基础设施安全保护条例》（以下简称《条例》）的颁布，关键信息基础设施云上安全得到空前重视。随着《条例》的实施，现有承载着能源、交通、水利、金融、公共服务、电子政务等重要行业应用的云计算服务平台，将越来越多地纳入到关基安全管控范畴当中，云服务提供者及其客户将面临常态化的合规监管约束。根据《条例》第十二条要求，“安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用”，实现“安全三同步”建设，同时具备安全职责明晰、制度完善、落实有力的安全运营管理机制，并将云安全能力建设融合到DevSecOps研发运营一体化工作中，实现敏捷开发。同时参照《信息安全技术 关键信息基础设施安全保护要求》等标准，关键信息基础设施安全保护制度应建立在网络安全等级保护体系基础上，着眼分析识别、检测评估、监测预警、事件处置、主动防御等重点活动的建设，围绕关键信息基础设施网络安全风险识别到事件处置进行闭环管理。依据相关政策标准要求，梳理关键信息基础设施安全保护框架，如图3所示。

图3 关键信息基础设施安全保护框架

通过框架内容可以发现，关键信息基础设施网络安全需要建立起分析识别、检测评估、监测预警、事件处置、主动防御的立体化安全保护体系，在满足合规要求的基础上，打造实战化防御能力。

分析识别：围绕关键信息基础设施承载的业务，开展业务识别、资产识别、风险识别等活动，为后续环节开展工作打下基础；

检测评估：对安全防护环节的安全措施有效性进行验证，定期开展相关核查活动；

监测预警：制定实施网络安全监测预警制度，及时对安全事件做出响应；

事件处置：对网络安全事件进行报告和处置并采取相应的应对措施。

主动防御：在减少暴露面的同时，采取诱捕、溯源、干扰和阻断等措施主动发现网络攻击事件；

新的基础设施需要新的安全防护

随着越来越多的关键信息基础设施云化，云数据中心数据、算力集中，云上威胁加剧。对组织机构数据和业务影响比较大的威胁，诸如数据勒索、数据丢失、数据泄露等，成为云上安全威胁的关注重点。云计算专属安全问题主要集中在hypervisor层的安全威胁、虚拟资源的隔离机制变化和虚拟机的安全威胁等方面。根据调查显示，关基行业最关切的12个云安全风险如图4所示。针对这些威胁风险，关键信息基础设施企业需要建立新的、有效的安全解决方案。

图4 12大重点云安全风险

行业需求的不断变化、业务规模的持续上涨，促使各行业积极寻求变革、拥抱新技术。云原生作为构建云上业务应用的最优模式集合，提供计算、编排、存储、安全、可观测等灵活多样的技术方案，已成为云上业务技术选型的优先项。银行业从传统网点模式走向互联网金融模式，制造业依托工业互联网走向“智造”，交通业大力推广“智慧交通”走向真正的互联互通。云原生在行业转型升级过程中提供众多可灵活组合的标准能力，呈现降本增效、弹性伸缩、敏捷迭代、高可用性等多重价值。与此同时，随着云原生技术的进一步普及，伴随而来诸多全新的安全性问题，如图5所示。例如，镜像风险、微服务风险、基础设施风险等。因此关键信息基础设施需要新的云安全解决方案。

图5 新的云原生安全风险

二、构建先进云安全能力框架

依托《关键信息基础设施安全保护条例》，并参照《信息安全技术 关键信息基础设施安全保护要求》等标准，本着解决关键信息基础设施面临的新安全风险的目标，需要围绕关键信息基础设施打造特殊保护、整体防控、动态防护、联防联控、主动防御、精准防护、纵深防御的安全体系。

建设思路

不同环境场景下关键信息基础设施所面对的安全威胁呈现动态变化，需要根据关键信息基础设施的业务特点、网络特征及面临的安全威胁，构建动态的风险监测和安全防护措施，形成动态的安全防护机制。所以关键信息基础设施云安全建设思路在遵循合规要求、全栈覆盖、自适应安全、可视化运营四大准则的基础上，通过完整识别出云平台信息化各个层次，将安全能力与云基础设施、虚拟机、容器、云服务、云应用、云数据相结合，实现安全能力对云平台的深度结合、全面覆盖，做到安全自适应，如图6所示。

图6 云安全解决方案建设思路

整体能力框架

云计算平台从基础设施层面的计算环境到云端应用的开发部署模式一直在快速发展演进。以云原生技术为代表的新技术的应用，不断引入各类新型安全风险，“安全边界”的定义方式随着系统技术架构的演进“悄悄”发生着变化。为了打造内、外部综合防护的安全能力，实现关键信息基础设施云安全的动态防护，强化覆盖整个业务链、供应链的应急响应能力，关键信息基础设施云安全整体能力框架，应在打造云安全运营体系的基础上，围绕云安全管理体系、技术体系、合规监管体系，提供全栈式安全产品与服务，满足重点行业、关键领域的业务安全需求，整体能力框架如图7所示。

图7 云安全整体能力框架

三、关键信息基础设施云安全解决方案要求

关键信息基础设施网络安全事关国家安全、社会安全，亟待构建与数字化业务融合的新型网络安全体系。云计算模糊了传统的安全边界，安全建设前移将成为趋势，安全攻防的复杂程度也大大增加。伴随着云原生技术的应用，除了增加的复杂性之外，云原生化工作负载在整个生命周期中出现了许多新的威胁向量，如容器镜像漏洞、嵌入的密钥、配置错误或公开的服务、易受攻击的容器运行时等。专注于保护容器化工作负载和K8s的云工作负载保护平台(CWPP)，成为保护组织云原生安全的关键。

然而每个组织都有自己的要求和优先级，为了使组织能够选择适合自己的解决方案，下面提供了一个评估以容器为中心的CWPP的框架标准，整体包括14大类别，每个类别包含必备项和首选项。必备项是指提供云原生全生命周期保护必须具备的能力。首选项是指用于区分最佳解决方案和普通解决方案的标准依据。

限于篇幅，本文笔者将先阐述4个类别，剩下10个类将在下一篇文章进行说明。

1、镜像扫描

为了保护容器安全，软件成分分析（SCA）工具需要解析容器镜像格式，并分析正在运行的工作负载，以便准确地扫描和报告漏洞。

（1）必备项

推送镜像时在镜像仓库中扫描：当镜像推送或存储到镜像仓库时，CWPP可以扫描容器镜像以识别已知的漏洞。

拉取或编排中的扫描：CWPP作为容器交付或容器编排的一部分进行扫描，以识别已知的漏洞。

连续扫描运行的容器：扫描实例化的容器或运行的工作负载，以识别新报告的或环境漂移导致的已知漏洞。

显示容器镜像和正在运行的容器中的特定漏洞：如果发现新的CVE，CWPP会显示该漏洞存在于哪些镜像或正在运行的容器和相关镜像层中。

（2）首选项

支持获取第一手漏洞研究和威胁情报：CWPP可以通过基于内部研究的额外漏洞信息来增强NVD和CVE报告。

分析镜像元数据：可以扫描标签、镜像配置、相关的文档文件、针对已知问题或敏感数据类型的环境变量和其他元数据。

包括一个可以触发镜像扫描的API或Webhook：提供一个WebAPI或Webhook，可以根据需要调用镜像扫描。

包括一个API或webhook来触发镜像扫描并返回扫描结果，作为在CI/CD内的构建和部署的一部分：提供一个web API或webhook来调用镜像扫描，作为连续集成/连续交付（CI/CD）的一部分，并返回可以作为构建管道的一部分进行编程解析的结果。

识别镜像层次结构和所属方：CWPP可以区分镜像层层次结构和传递依赖中的漏洞，它还可以跟踪基本镜像和镜像层的来源。

识别存在漏洞的镜像层：CWPP需要详细说明文档文件中引入漏洞的相应层。

通过相应的策略引擎对容器构建管道进行控制：CWPP具有预定义的规则和相应的策略引擎，用于控制容器构建和交付。

通过相应的策略引擎对容器实例化进行控制：CWPP提供预定义规则和相应的策略引擎阻止易受攻击的容器镜像实例化为容器实例的能力。

突出显示具有已知漏洞的组件：CWPP显示的容器镜像和运行的容器，可以通过更新的依赖项、修补程序或文档化的代码进行修复。

突出显示具有可用修复程序的已知漏洞的组件：CWPP可以通过更新的容器镜像和运行时容器补丁或文档化的代码修复进行漏洞修复。

突出显示具有已发布漏洞的组件：CWPP可以显示容器镜像和运行时容器当前容易受到的攻击或基于公共脆弱性评分系统(CVSS)给出的威胁分析指标。

启用与SaaS断开连接的本地镜像分析：CWPP提供了直接在CI/CD管道或容器镜像仓库中进行扫描的能力，而无需在数据中心环境或私有云之外共享镜像内容

提供关于已知漏洞的攻击向量细节：CWPP公开了关于漏洞如何被潜在利用的信息，这有助于确定优先级。

支持沙箱扫描：CWPP可以在一个孤立的非生产环境中实例化一个容器，并观察正在运行的容器，从而发现在启动后和运行期间出现的漏洞。

支持容器镜像仓库的预定扫描：可以按照定制的时间计划扫描容器镜像仓库。

扫描有效容器镜像以确定已知的漏洞：CWPP扫描有效镜像（即给定容器的所有镜像层）并报告漏洞。

使用CVE和NVD之外的其他第三方漏洞源：CWPP使用其他漏洞源，如SontatypeOSS索引或VulnDB。

基于镜像和镜像仓库元数据验证镜像完整性：CWPP比较镜像仓库路径和镜像名称，以识别社工攻击。

使用哈希验证镜像的完整性：CWPP确保运行的容器的哈希与镜像的哈希匹配，以识别社工攻击。

使用签名验证镜像完整性：CWPP确保运行的容器的数字签名与镜像的数字签名匹配，以识别社工攻击。

支持对易受攻击的镜像进行虚拟补丁：CWPP以代码修复或更新的容器镜像依赖关系的形式，为已知的漏洞提供可支持自定义策略的缓解机制。

2、镜像仓库支持

容器镜像作为典型的DevOps工作流的一部分被创建并存储在镜像仓库中。容器CWPP与给定的容器镜像仓库集成的能力，对于确保整个生命周期的容器安全至关重要。

（1）必备项

OCI分发规范-符合镜像仓库的要求：CWPP集成了OCI分发规范并符合容器镜像仓库的文档要求。

（2）首选项

对Amazon、Azure、Harbor、Jfrog等镜像仓库的支持：直接镜像仓库集成，以增强CWPP本身的功能。

3、容器运行时保护

容器运行时和容器编排引擎都是生产集群的攻击向量。CWPP必须能够连续监控运行时的活动，并在发生异常行为或攻击时做出反应。

（1）必备项

支持应用程序或进程显示：可以监控容器工作负载行为和服务通信，并提供一个可视化引擎来帮助理解大规模的容器行为。

支持应用程序或进程警报：当出现偏离自定义的安全策略或容器基线时，可以对系统调用、异常的容器工作负载行为和服务通信发出警报。

支持应用程序的强制执行：当出现偏离容器基线或定制的安全策略时，可以对系统调用、异常的容器工作负载行为和服务通信采取纠正措施。包括阻止正在运行的容器中的特定操作，或使用容器编排引擎终止工作负载。

阻止工作负载启动：阻止任何违反组织策略的工作负载的容器初始化。

检查容器漂移：可以检测运行的容器是否偏离容器镜像源、支持的IaC或硬性合规标准。

支持容器基线化和流量分析：可以记录给定容器工作负载的容器行为和服务流量，并通知不符合基线的异常行为。

检测违法主机隔离策略行为：检测在没有适当隔离策略的情况下启动容器工作负载、与主机系统（如文件系统、命令行）交互或试图违反容器安全原则。

检测到持久性存储的挂载：检测容器工作负载试图挂载可能导致安全问题的存储路径。

检测特权容器和具有升级特权能力的容器：检测容器工作负载在使用特权标志启动时，是否以root身份主动运行或从用户模式请求提升特权。

支持基于签名的恶意软件或防病毒扫描：扫描运行容器中基于已知签名的病毒或恶意软件。

（2）首选项

检测异常行为：检测容器出现偏离已建立的（硬性的）基线或IaC定义的异常行为。

基于自定义安全策略检查容器异常：CWPP将功能扩展到基本的漂移检测或违反基线的行为之外。此功能由一个策略引擎支持，该策略引擎具有可自定义的细粒度策略，可用于定义和管理容器行为。

日志记录并控制容器内的交互式用户会话：当用户向正在运行的容器发出操作系统命令时，CWPP记录用户输入。

支持基于机器学习或基于行为的恶意软件或防病毒扫描：通过分析流量、进程行为或其他属性，在没有签名帮助的情况下，扫描正在运行的容器中的病毒或恶意软件。

4、DevOps工具集成

容器镜像和相应的IaC的创建通常是通过DevOps支持工具来驱动。DevOps工具通常包括一组基于git的版本控制系统(VCSs)和代码存储库、工件存储库、持续集成和持续交付服务、应用程序开发生命周期管理(ADLM)和缺陷跟踪。

（1）必备项

应用程序开发生命周期管理ADLM和缺陷跟踪支持：CWPP可以将安全发现（从镜像扫描或容器安全事件）导出到外部ADLM或缺陷跟踪系统，这样就可以使用标准的DevOps工作流来处理问题。

（2）首选项

二进制或工件存储库支持：提供webhook或与二进制存储库的本地集成，以扫描编译的工件或推送到存储库的依赖项。

CI/CD支持：提供一个与CD服务集成的GUI，如CloudBeesJenkins、AWS代码部署或Azure管道。

基于git的VCS支持：提供webhook或与基于git的VCS的本地集成，以扫描纯文本源代码和将代码提交到存储库中的IaC。

因此，云安全建设已然成为关键信息基础设施数字化转型升级的“刚性需求”，需要在做好顶层设计的基础上，选择适合组织自身需求的安全解决方案，打造主动防御、动态防御、整体防控和精准防护的安全体系，真正将关键信息基础设施云安全工作做实落地，实现关键信息基础设施网络安全的平战一体化。由于篇幅所限，本文笔者将先阐述4个类别，剩下10个类将在下一篇文章进行说明。