11云安全技術發展白皮書導讀 1.?年云計算安全威脅演進 41.1安全事件層出不窮 1.2云上資產激增擴大攻擊面 1.3云原生環境的安全?險日益增加 1.4漏洞威脅持續涌現 1.5勒索軟件構成重大安全挑戰 1.6新型的高級攻擊手法防不勝防 2.云安全技術的過去、現在與未來 2.1主機安全 2.2虛擬化層和宿主機安全 2.3微隔離 2.4云安全態勢管理 2.5云訪問安全代理 422.6云原生安全 482.7云安全資源池 3.總結 1在信息技術革命的推動下，云計算、大數據、物聯網、AI、5G等新興技術不斷涌現，推動人類社會、經濟、文明等多方面以更快的速度發展著。當經濟發展過程中借助互聯網、IT技術、軟件等多種工具打破人與人之間的“物理墻”，人們隨時隨地都能與大洋彼岸的不同國家的人聊天、交易、合作的同時，云計算以其無處不在的、便捷的、按需的特點脫穎而出，成為不同企業發展其業務的利刃之一。在中國云計算服務發展的早期，阿?云等云廠商所組建的彈性計算共享資源租用服務，即公有云，可為用?提供公共計算、存儲、網絡、安全、數據、應用共享服務等系列云計算服務。小企業和個人等用?能以較低成本、簡易地使用云計算服務。在政府、金融等企業用?，出于對敏感、重要數據的安全性、可控性的考慮，他們偏向于采用私有云的部署模式。對于既要對外提供服務、對內又有重要的企業數據管控要求的大型集團與互聯網企業，以公有云、私有云呈現的混合云則成為他們的最優選擇。不管是出于哪種部署模式，當企業客?從排斥業務上云到主動讓IT基礎設施上云、大幅度采用云計算服務的進程中，圍繞云計算技術滋生的系列云計算平臺安全問題，如，用?身份管理/訪問控制、網絡安全、數據安全、管理安全、虛擬化安全等，以及頻發的且損害范圍越大的安全事件。如，2017年5月，WannaCry勒索軟件攻擊在全球范圍內爆發，影響了多個國家和組織，包括醫療機構、政府機構和教育機構。2020年，SolarWinds攻擊事件被曝光，攻擊者通過向SolarWinds公司植入惡意軟件，利用SolarWinds的供應鏈傳播惡意軟件，影響了全球范圍內的政府機構、企業和組織。2021年5月，美國科洛尼爾管道運輸公司遭受的勒索軟件攻擊事件。20232年11月，國內某大型銀?的美國全資子公司在官網發布申明稱遭受了LockBit勒索軟件攻擊，導致部分系統中斷等。這類事件也推動著云安全技術產生及推陳出新。為了讓用?能更好地保護公有云、私有云及混合云上的工作負載等資源的安全，國內外云安全廠商也打造了表1所列舉的云工作負載保護平臺（CWPP）、云訪問安全代理（CASB）、微隔離（Micro-Segmentation）、云安全態勢管理(CSPM)、云原生應用保護平臺（CNAPP）、云安全資源池等系列不同的云安全技術應用，以及對應的云安全產品及解決方案，協助用?做好云上安全防護。表1主流的云安全技術技術概念提出方提出的時間云工作負載保護平臺Gartner云訪問安全代理Gartner微隔離Gartner云安全態勢管理Gartner云安全資源池云原生應用保護平臺Gartner在云計算的時間發展曲線上，在不同的時間段?，不同的云安全廠商提出的系列云安全技術及安全產品在適用于各自國家?業用?特點的基礎上，也會因為國家不同、采用的實現技術理念3不同等因素而呈現差異。不管是初入云安全賽道的安全新手，還是上云前、上云過程中的大、中、小型企業的安全運維人員\安全決策者，或者是專注在網絡安全?業其他賽道?的資深安全人，都可通過此份白皮書加深對云工作負載保護平臺、云安全態勢管理、云訪問安全代理、云原生應用保護平臺等主流云安全技術提出的背景、演進的歷史及未來可能的發展趨勢的了解，在積累云安全知識儲備的同時，做出更好的安全決策與技術選擇。41.?年云計算安全威脅演進云計算技術的快速迭代更新推動著云技術架構和應用模式不斷演進，使得云服務面臨的安全?險日益多元化、復雜化、擴大化，云正在成為安全攻防的主戰場。根據CybersecurityInsiders《2023云安全報告》對上千網絡安全專業人員的調查顯示，隨著采用云計算的組織不斷增多，39%的受訪者將其50%以上的工作負載放置在云中，大多數組織都面臨著以下困難：云安全部署方面的技能差距（58%以及確保多云環境中的數據保護（52%）。安全顧慮仍然居高不下，76%的受訪者極其或非常擔心云安全。下面對過去?年來的一些云計算安全威脅演進情況進?分析，以揭示其發展變化及對安全防護的影響。1.1安全事件層出不窮全球各類針對虛擬化架構的逃逸攻擊、資源濫用、橫向穿透、APT攻擊等新安全問題層出不窮，且攻擊活動越來越有組織性；全球網絡戰威脅日趨明顯，各國持續加大網絡空間的軍事投入，重要業務平臺面臨國家級網絡攻擊?險，我國面臨的網絡戰威脅愈加嚴峻。近年來，網絡空間全球治理已經“從一個技術問題躍升為大國政治博弈的新熱點”。在國際上的典型代表事件包括了2013年的斯諾登泄露事件，而影響國內的典型代表事件包括：1．2022年，美商務部產業與安全局發布針對網絡安全領域新的出口管制規定《信息安全控制：網絡安全物項》，以國家安全和反恐為由，要求美企與我國政府相關組織網絡安全產業合作需經審核，并限制漏洞檢測分析等技術產品出口我國；2．2022年，西北工業大學遭美國NSA網絡攻擊，經計算機病毒應急處理中心與360公司分5析發現，校園信息網絡中存在多款源于境外的??與惡意程序，對我國網絡造成嚴重危害；3．2023年，武漢應急管理地震監控設備通告稱遭受美國情報局的網絡攻擊，經國家應急處理和360安全團隊分析，發現監控設備中存在惡意竊取程序，監控設備中的地質數據泄露則會嚴重危害我國的國土防御安全。APT活動近兩年呈現了大幅增?的趨勢，高級威脅對抗已然進入白熱化階段。一是攻擊總量飆升，APT事件的攻擊數量逐年遞增，同樣我國遭受的APT攻擊也越來越多，重點事件包括來自美國NSA-TAO的攻擊事件、來自越南海蓮花組織的系列攻擊活動、針對國內高校的多起APT竊密攻擊活動、以及針對我國大型企業的大量勒索式攻擊活動；二是攻擊組織激增，安全報告披露涉及162個APT威脅組織，2023年新增65個APT威脅組織，均比2022年大幅增加。全球范圍內APT攻擊活動依然緊跟政治、經濟等時事熱點，攻擊目標集中分布于政府、教育、金融等?業領域；三是攻擊手段多樣化，為了確保攻擊流程的成功實施，APT攻擊者在代碼執?手法上不斷創新（如利用驅動程序內核模塊來直接讀和寫內存區域）和采用繞過技術，使用非常規的TTP（戰術Tactics、技術Techniques、過程Procedures）去實施攻擊，APT攻擊顯得更有效率和難以防1.2云上資產激增擴大攻擊面隨著容器、云原生、Serverless、API等云上技術的升級和變化，加上云基礎架構上國產化、多云化、云邊一體等新模式的增加，再結合AI升級帶來了算網一體、模型服務等新的業務訴求，導致云上資產的類型擴充、云上資產的架構變更，從而使得整體云上資產管理復雜度大大提升，6圖1-云架構模式多元復雜云上資產的激增引發了以下幾個安全場景的演變：1．云上資產類型越來越多，資產間關系從一維線性向多維拓撲進?調整；2．除去原有的服務器資產，大量的API應用、編排工具、容器及容器上應用資產類型不斷增加；資產類型的增加，結合整體業務發展，資產關系也從簡單的服務器到服務器訪問變成主機、容器、應用及API等多層級聯動的復雜拓撲結構；3．隨著云上資產的?險關聯程度越來越高，很有可能因為一個資產的?險，導致多個資產甚至一個集群出現大面積安全威脅；4．隨著不同?業的數字化發展以及云架構的升級，垂直?業云和多層級云架構模式也大大增加了資產管理的復雜度。為了應對這樣的安全場景，用?很可能需要采購多套安全產品，來完成對不同維度、不同層級的資產信息和資產?險梳理。但這樣的模式使得用?的安全運營成本指數級增加，最終落為以下幾個問題：1．資產信息不清：云上到底有哪些類型資產、資產所處的云架構在哪?、資產間的關系和影響如何、資產的暴露面在哪?；72．?險信息和關聯影響不清：云上資產到底有多少?險，這些?險到底有什么影響，會對主機上的哪些應用以及哪些業務有影響；3．攻擊暴露面不清：結合上述的信息綜合分析，從整個云安全管理來看，暴露的攻擊面有哪些，被攻擊后的影響范圍是什么，也需要進?整體分析。1.3云原生環境的安全?險日益增加最近幾?年，可以發現每隔?年都會有新的技術出現，甚至改變IT基礎架構，比如2000年的“虛擬化”，2010年的“云計算”，以及當下火熱的“云原生”。業界普遍認為“云原生”將是云計算的下半場。同時，云原生安全是未來云安全的重要發展方向。根據知名云原生安全公司sysdig在2022年發布的《云原生安全和使用報告》顯示，在容器編排平臺市場，K8s的占比高達96%，已然成為容器編排平臺的“事實標準”。此外，在容器運?時引擎方面，Docker的占比約為46%，而containerd、cri-o也有著較高的市場份額。下面就K8s云原生工作負載的安全威脅進?分析。在容器的全生命周期，主要的安全問題在于：不當的配置及漏洞；在項目構建階段，主要的安全問題在于：CI/CD安全、鏡像安全；在容器運?階段，主要的安全問題在于：計算、網絡、存儲以及應用等方面的安全問題。圖2展示了容器云的安全威脅概況。8圖2-容器云的安全威脅概覽這些安全問題體現在用?視?中就成為了：云計算環境是否可信。為保障云計算全周期的安全可信，業界從人員操作規范、云基礎設施、上云業務應用、第三方云安全產品等?度建立了一些安全標準。“云原生K8s工作負載的攻擊模式圖”呈現了攻擊者在云原生K8s工作負載中的典型攻擊路線，攻擊者可以通過應用、容器、主機、內部集群等等攻擊對象，實施組合式攻擊，如圖3所示。圖3-云原生K8s工作負載的攻擊模式圖云原生應用的漏洞攻擊面激增。云原生應用資產可分為五大層級，分別是：Cloud、Cluster、9Image、Container、APP，各個層級均可能成為攻擊的入口點。層級說明Cloud——云，一般指數據中心的基礎設施。基礎設施一般指運?著Linux操作系統的宿主機集群，并通過專業的數據交換機進?連接。常?的安全問題主要集中在操作系統本身、Web中間件以及rootfs等方面的漏洞。例如，特定版本內核或者某些驅動模塊本身包含有漏洞，CVE-2016-5195（“臟?漏洞”）就是該類型漏洞的典型代表。copy-on-write(COW)功能寫入只讀內存映射，導致本地攻擊者可利用該漏洞獲取權權限提升漏洞）就是該類型漏洞的典型代表，攻擊者可利用該漏洞通過精心設計環境變量誘導pkexec程序執?任意代碼；再如，一些Web中間件像Tomcat、Weblogic等軟件自身的漏洞，CVE-2020-2551（WeblogicIIOP反序列化漏洞）就是該類型漏洞的典型代表，攻擊者可利用IIOP協議執?遠程代碼。此外，在基礎設施部署過程中，某些不安全配置的引入也可導致的漏洞等，例如對外暴露了某些不安全的端口。Cluster——集群，一般指承載云原生環境的編排引擎集群。當前云原生體系建設所使用的編排引擎主要是以Kubernetes為基礎的各種發?版本。作為Kubernetes來說，其本身是由多個組件構成的集群系統。這些組件包括但不限于kubelet、Docker、containerd、cri-o、etcd、kube-apiserver、kube-controller、kube-scheduler以及kube-proxy等等。這些組件一般都是云原生安全領域重點研究的對象，并確實爆出過一些影響范圍廣以及威脅較高的漏洞。比較典型的漏洞是CVE-2019-5736（DockerrunC容器逃逸漏洞該漏洞源于程序沒有正確地處理文件描述符，攻擊者可利用該漏洞覆蓋主機runC的二進制文件并以root權限執?命令。同時，由于集群部署的過程中涉及到大量的配置以及權限分配過程，難免會留下一些薄弱的配置選項，一些常?的安全?險包括但不限于Kubernetes組件或容器運?時組件未鑒權、允許非安全通道訪問的的KubernertesDashboard服務。它們均可能是導致集群的被攻擊面擴大的主要因素。Image——鏡像，一般指容器運?的基礎鏡像。鏡像安全問題要一分為二分析，分為靜態容器鏡像與活動容器鏡像。當前云原生體系上的業務應用是以容器的方式進?部署，容器引擎服務支持使用不同的鏡像啟動相應的容器。為了提高容器鏡像數據的復用度，容器鏡像一般都采用分層文件系統的方式進?組織。而大部分被復用的數據主要來自于互聯網或者某些未知的地方。一些攻擊者可能會通過某些精心配置的上游鏡像投放來實現對系統的滲透，這些方案包括植入某些可進?漏洞利用的工具或者動態庫、Webshell、病毒??，甚至是添加一些不安全的配置到上游鏡像中；同時，對私有倉庫的入侵也可能會導致鏡像被污染或者投毒。同時，開發者無心導致的應用漏洞也可能將安全?險帶給容器。4．ContainerContainer——容器，一般指容器鏡像是以容器的形式運?起來后的狀態。與傳統的IT環境類似，容器環境下的業務代碼本身也可能存在Bug甚至安全漏洞。無論是SQL注入、XSS和文件上傳漏洞，還是反序列化或緩沖區溢出漏洞，它們都有可能出現在容器化應用中。與此同時，容器中的Web應用容器若對外開放端口，則很有可能被黑客直接利用。容器雖然天然地與主機內核有著一定的隔離，這使得它們有著一定的安全性。但是攻擊者可能輕易打破容器的隔離性。比如若某容器被配置了“-privileged”等不安全的配置選項，將不受Seccomp等安全機制的限制，容器內root權限將變得與宿主機上的root權限無異。此外“容器逃逸”問題仍然是運?時容器最為嚴重的安全?險。因相關程序漏洞導致的容器逃逸（比如CVE-2019-5136）,或內核漏洞導致的容器逃逸（比如CVE-2016-5195）等漏洞?險仍然是需要重點關注的問題。容器逃逸攻擊的實施往往并非一蹴而就，往往是一系列以“權限提升”為目的的攻擊步驟的組合，并且達到容器逃逸目的可能的途徑也是多樣化的。例如，據SysdigSecure《2021容器安全和使用報告》中的“默認啟用的Falco安全策略觸發的報警”統計，“在/etc下執?寫操作”“啟動特權容器”以及“在root下執?寫操作”是最常?的違規事件，它們均可能是容器逃逸攻擊的一環。APP——應用，一般指各類微服務應用。由于研發人員在開發的過程中，會不可避免地使用一些開源項目的代碼或者組件，這些代碼和組件可能存在漏洞；同時，研發人員在代碼研發的過程中若使用不安全的編碼方式，可能給微服務應用引入漏洞，進而造成微服務應用對外暴露漏洞，被黑客遠程利用。這些安全問題都應該得到重視，并在正式發布之前進?安全加固，踐?“安全左移”。據統計，6%的云客?已經落地了開發安全運營一體化（DevSecOps37%的云客?將計劃采用DevSecOps。此外使用了基礎設施即代碼、Serverless和持續集成持續部署（CI/CD）的云客?占比分別為44%、48%和44%。此外，和Serverless相比，容器的占比雖然只有4%，但其安全防御的形勢嚴峻。近兩年Sysdig的《云原生安全和使用報告》的幾項統計可?一斑：（1）87%的容器鏡像包含“高危”或“嚴重”漏洞；（2）Java包?險最大，占運?時暴露漏洞的60%以上；最為常?；（4）62%的容器被檢測出包含shell命令、76%的容器使用root權限運?。整體而言，云原生應用較之傳統的云上應用可受的攻擊面更廣，比如K8s、容器以及激增的API均可能成為攻擊對象；同時，云原生應用可能受攻擊的階段更廣泛，在容器應用的開發、構建、運?的全生命周期均面臨著?險，這對DevSecOps的建設提出了更為嚴格的要求。1.4漏洞威脅持續涌現漏洞是在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷，從而使攻擊者能夠在未授權的情況下訪問或破壞系統。配置不當也是一種漏洞的形式。根據CybersecurityInsiders《2023云安全報告》對上千網絡安全專業人員的調查顯示，24%的受訪者經歷過與公有云相關的安全事件，其中主要事件類型包括配置錯誤（19%）和漏洞利用（16%）。隨著全球數字化、網絡化和智能化進程的推進，網絡安全漏洞數量、嚴重程度以及受關注度都在急劇飆升，數字經濟發展在網絡安全領域所面臨的挑戰在不斷升級。在漏洞攻擊態勢方面呈現了以下幾個特點：1．高?險漏洞數量突破新高：根據CNNVD發布的《2022年度網絡安2018至2022年連續五年漏洞數量呈持續增??勢，2022年新增漏洞數量達24801個，達歷年最高，較2018年增?52%，超高危數量較2018年翻一倍。2018至2022年漏洞新增數量和超高危漏洞數量統計如圖4所示；圖4-2018至2022年漏洞新增數量和超高危數量對比2．供應鏈攻擊暗流涌動：漏洞攻擊不再僅僅關注特定組織的安全，還包括與供應鏈有關的問題。攻擊者越來越傾向于針對供應鏈中的弱點進?攻擊，以獲取對更廣泛目標的訪問權限。這種策略可能使攻擊者更容易繞過目標組織的直接安全防護，而是選擇攻擊供應鏈中的較弱環節，如第三方供應商或合作伙伴；3．漏洞攻擊平?化：隨著黑客工具和漏洞利用框架的廣泛傳播，攻擊者能夠更輕松地尋找并利用漏洞。這些工具的易用性和效率也在不斷提高，大大降低了漏洞攻擊的?檻，不具備高度能?水平的人員也能進?攻擊；4．漏洞處置困難：普通運維人員在進?漏洞研判及漏洞修復的過程中，面臨諸多困難。首先，在面臨海量漏洞情報的研判時，往往無從下手，無法聚焦重點的高危漏洞；其次，在漏洞修復的過程中也存有不少痛難點，比如：軟件開發商發布正式的補丁程序緩慢，難以快速修復；傳統補丁需要系統重啟或關閉應用程序才能生效，可致系統停機、業務中斷；一些軟件已經停止維護或不再更新，無法得到官方補丁支持；系統依賴于存在已知漏洞的第三方組件，在漏洞修復時，需要協調不同組件的更新和修復。1.5勒索軟件構成重大安全挑戰勒索病毒在云側、端側、傳統網絡環境中肆意蔓延。更令人擔憂的是很多企業生產系統和備份系統都用同樣的管理員登錄憑證（如密碼攻擊者可同時加密生產系統并摧毀備份數據。云廠商在做好勒索病毒防范工作的同時需要完善數據備份策略，例如離線備份。在過去的?年間，勒索病毒由“萌芽期”進入了“成型期”并趨于產業化、多樣化。1989年，AIDStrojan是世界上第一個被載入史冊的勒索病毒，從而開啟了勒索病毒的時代。早期的勒索病毒主要通過釣?郵件、掛?、社交網絡方式傳播，使用轉賬等方式支付贖金，其攻擊范疇和持續攻擊能?相對有限，相對容易追查。CryptoLocker、CTBLocker等。此類惡意程序大多零散發生，并且大多數情況下，這些惡意軟件本身并不具有主動擴散的能?。自2016年開始，然而隨著漏洞利用工具包的流?，尤其是“TheShadowBrokers”（影子經紀人）公布方程式黑客組織的工具后，其中的漏洞攻擊工具被黑客廣泛應用。勒索病毒也借此廣泛傳播。典型的例子就是WannaCry勒索蠕?病毒的大發作，這起遍布全球的病毒大破壞事件是破壞性病毒和蠕?傳播的聯合?動，其目的不在于勒索錢財，而是制造影響全球的大規模破壞?動。在此階段，勒索病毒已呈現產業化、家族化持續運營的特點。在整個鏈條中，各環節分工明確，完整的一次勒索攻擊流程可能涉及勒索病毒作者、勒索實施者、傳播渠道商以及代理。4．運營規范期自2018年開始，常規的勒索??技術日益成熟。已將攻擊目標從最初的大面積廣撒網無差別攻擊，轉向精準攻擊高價值目標。比如直接攻擊醫療?業、企事業單位、政府機關服務器，包括制造業在內的傳統企業面臨著日益嚴峻的安全形勢。如今越來越多的黑產組織進?聯合，通過IAB的業務植入勒索病毒，可以說IAB的出現為RaaS提供了極大的便利，如圖5所示。圖5-RaaS勒索模式圖5．勒索獲利演化期隨著勒索產業的不斷完善，勒索組織也在思考如何有效的收取贖金。最開始只有一重勒索，攻擊組織加密關鍵數據，在獲取贖金后恢復數據；隨后變為二重勒索，在加密數據前將關鍵數據回傳，在攻擊者不想繳納贖金時威脅泄露數據，以此獲取利益；在二重勒索之后又有三重勒索，勒索團伙還在拓展獲利方式，即被攻擊方拖延不交贖金時，對其發起DDoS攻擊，干擾其正常運?，逼迫其繳納贖金；在前面三重勒索的基礎上，勒索團伙將目標看向了數據關聯方，如受害者客?（比如醫療數據中的就診人）、公司競爭對手（售賣關鍵數據給對手）、商業合作伙伴（施加壓?）等，以此逼迫繳納贖金的同時，獲取更多的利益。1.6新型的高級攻擊手法防不勝防隨著以云原生技術為新技術代表的應用越來越廣泛，云原生工作負載面臨的新型高級威脅也層出不窮。許多攻擊者已經不再滿足于傳統的網絡攻擊手段，進一步采用傳統與新型高級攻擊手法的組合技術。這些攻擊技術多年來一直被用于有針對性的攻擊，并在近幾年開始大規模部署。以下是近10年來的新型高級攻擊技術的發展情況：1．高級持續威脅（APT）：隨著云計算的興起，高級持續威脅（APT）攻擊逐漸成為主流。APT攻擊者擅?使用先進的技術手段，如零日攻擊、社工等方式進?定向攻擊，以隱蔽和?期的方式滲透目標系統，并竊取敏感數據；2．云錯誤配置?險：云基礎設施非常復雜并且難以正確配置，云錯誤配置導致的攻擊數不勝數。云錯誤配置的?險首先在于其配置問題的解決周期?，沒有專業知識的運維人員無法很好地處置配置問題，這樣會使漏洞暴露時間更?，攻擊者的可乘之機更多。在這樣?期暴露的脆弱的云環境，攻擊者常常利用存儲配置錯誤、憑證配置錯誤、容器和編排環境相關配置錯誤，通過未授權訪問，或者非法獲取敏感數據獲取云環境對應權限；3．虛擬化和容器技術攻擊：隨著云計算中虛擬化和容器技術的廣泛應用，攻擊者也開始瞄準這些新技術進?攻擊。他們利用虛擬機或容器環境中的漏洞、錯誤配置或未授權訪問，實現對云基礎設施和敏感數據的入侵和竊取；4．供應鏈攻擊：供應鏈攻擊是指通過入侵或操縱云服務供應鏈中的環節，攻擊云服務提供商和其客?。攻擊者可以主動尋找錯誤配置的CI/CD管道或者工具，從而修改云應用、篡改軟件更新或在供應鏈中插入惡意代碼，亦或者通過“錯字搶注”等方式進?依賴包混淆和構建惡意的軟件包被動地誘騙用?下載，最終達到獲取對云服務的控制權或竊取敏感信息的目的；5．加密劫持攻擊：加密劫持攻擊是未經授權使用他人的云資源來挖掘加密貨幣。這通常是通過在受害者的云資源上安裝惡意軟件來完成的，該惡意軟件利用受害者的處理能?在受害者不知情或不同意的情況下挖掘加密貨幣。加密劫持攻擊通常是基于云資源配置和供應鏈攻擊或者網絡釣?誘騙用?下載惡意軟件，劫持云資源并不斷申請并擴大云資源規模用于挖掘加密貨幣。加密劫持通常不涉及用?個人數據的泄露，但是會造成用?大量的云資源開銷，并有可能導致云資源硬件的損耗，降低使用壽命；6．AIGC降低了網絡攻擊的?檻：AIGC（ArtificialIntelligenceGeneratedContent，生成式人工智能）技術的快速發展為網絡攻擊者提供了新的機會。利用AIGC技術分析軟件應用、生成惡意代碼將降低安全入侵的技術?檻、降低高級安全入侵的實施成本、提升安全入侵自動化能?、提升安全入侵的效率，從而增加網絡攻擊威脅性；7．針對虛擬化底層或者宿主機本身的攻擊：針對虛擬化底層或宿主機本身的攻擊，是指一類專?針對虛擬化架構中基礎層面及其支撐物理主機的惡意?動。這類攻擊通常旨在利用虛擬化平臺的漏洞、配置錯誤或其他弱點，影響到整個虛擬化環境的安全性和穩定性，比如這幾年針對VMware、KVM等宿主機的攻擊。宿主機層容易受到高危漏洞或者勒索攻擊。攻擊者常用的高頻漏洞包括但不限于：RedHatlibvirt資源管理錯誤漏洞（CVE-2020-25637）、QEMUKVM虛擬機vSphereClient輸入驗證錯誤漏洞（CVE-2021-21985）以及Apa（CVE-2021-44228近年來，針對虛擬化底層或虛擬機本身的勒索攻擊事件頻現，以發生在2023年2月的ESXiArgs對全球VMwareESXi服務器進?攻擊的事件為例。勒索軟件團伙ESXiArgs通過利用VMwareESXi服務器中的RCE漏洞（CVE-2021-21974進?了一次大規模的自動化勒索軟件攻擊?動，影響了全球超過3000臺VMwareESXi服務器。雖然VMware公司在2021年初就發布了針對這個漏洞的補丁，但攻擊仍然導致眾多的服務器被加密。攻擊者要求每個受害者支付約2比特幣（當時約值45,000美元）。回首過去?年的云計算安全威脅，我們可以深切地感受到，云計算安全威脅呈現了以下的新變化：一是網絡攻擊活動持續，攻擊手段不斷翻新，防不勝防；二是網絡空間軍備競賽不斷加劇，信息和數據被武器化，國家間對抗日趨顯化；三是人工智能等顛覆性技術發展及應用所帶來的潛在安全?險。它們也對安全產品的研發與安全服務的提供提出了更為嚴格的實戰性要求。2.云安全技術的過去、現在與未來2.1主機安全20世紀80年代，最早的主機安全技術聚焦在AV(AntiVirus，防病毒)，防病毒技術集中于病毒的哈希比對、特征碼匹配以及啟發式殺毒。起初的病毒哈希比對需要建立病毒哈希庫，簡單快捷，但是不能檢測未知病毒樣本。特征碼匹配使用靜態掃描技術，若掃描對象與病毒特征碼匹配，則判斷為病毒。啟發式殺毒是通過檢查程序代碼指令中可疑屬性來檢測病毒的方法。隨著20世紀90年代互聯網的普及，計算機系統暴露在廣泛的網絡攻擊之下，危險漏洞的數量也持續增?，惡意軟件開始肆意傳播，HIDS（Host-basedIntrusionDetectionSystem，基于主機型入侵檢測系統）技術隨之出現。HIDS側重基于主機內部活動的檢測，集中于真實攻擊者入侵主機后可能在系統層面做的惡意?為，比如可疑命令、異常登錄、反彈shell、上傳webshell等。21世紀初，網絡和系統安全的需求不斷增?，主機安全產品如?后春筍。EPP（EndpointProtectionPlatform，端點保護平臺）整合了多種安全功能，包括防病毒、防火墻、應用程序控制、設備控制等，形成了綜合的解決方案。防御基于文件的惡意軟件攻擊，檢測惡意活動，并且提供響應動態安全事件和警報所需的調查和補救能?。EPP的檢測能?各有不同，但是高級的解決方案會使用多種檢測技術，從靜態IOC到?為分析。反病毒的啟發式監控結合威脅情報信息提升了EPP的反病毒能?，但從技術上講都是被動防御能?的疊加。當針對性強、持續時間久、威脅程度高的APT攻擊增多，被動防御已不能滿足安全需求。Response，端點檢測與響應）、XDR（ExtendedDetectionandResponse，擴展檢測與響應）和CWPP（CloudWorkloadProtectionPlatform，云工作負載保護平臺）等云安全解決方案。EDR解決方案面向的是端點設備，記錄和存儲終端系統層?為，使用各種數據分析技術檢測可疑系統?為，提供上下文信息，封堵惡意活動并提供修復建議以恢復受感染系統。EDR解決方案通常具備四種功能：1）檢測安全事件，對終端的持續監控；2）在終端遏制威脅事件，以威脅事件為起點實現自動根因分析；3）調查安全事件，高級關聯分析應對針對性和復雜性攻擊；4）提供修復指導，主動發現和追蹤存在的威脅，在威脅產生影響之前做出響應。XDR解決方案是對EDR的擴展和補充，它將EDR的安全覆蓋范圍擴充到了用?、端點設備、電子郵件、應用程序、網絡、云工作負載和數據，集成EDR解決方案的功能對更為廣泛的業務場景進?威脅檢測和響應。在2016年3月份，Gartner的分析師在《CWPP市場指南》中首次對CWPCWPP市場是一個以工作負載為中心的安全防護解決方案，它是一種典型的基于代理（Agent）的技術方案。這類解決方案滿足了當前橫跨物理和虛擬環境、私有云和多種公有云環境的混合式數據中心架構條件下服務器工作負載防護的獨特需求。還有的甚至也同時支持基于容器的應用架構。近年來，CWPP產品的定義、基本產品特性以及廠商都發生了一定的變化，無論工作負載位置和粒度如何，為運維人員提供已知的可?性和可控性，針對云上工作負載提供多維度全方位保護能?。當前的CWPP解決方案通常具備以下核心能?：安全基線掃描、漏洞管理、可信應用控制、系統完整性監控與控制、入侵檢測、?為監控、微隔離。主機安全技術的演進歷程反映了計算機技術和網絡威脅的演化。產業互聯網時代，5G、AI、云計算等新一代信息技術與應用不斷深化，加速了各?業數字化和產業升級的進程。安全關乎國家和企業的生產和發展。面對復雜的網絡安全形勢，主機安全作為國家和企業安全最后也是最重要的一道?，從早期的防火墻到現代的綜合云安全解決方案，從AV、HIDS到EPP、EDR、XDR、CWPP，通過持續的產品優化和技術完善建立全面適配、全生命周期防護的主機安全體系。隨著云計算和虛擬化的快速發展，云服務時代已經來臨，越來越多的企業將業務和數據逐步往云上遷移，業務會以數字化的形態運轉在虛擬化的云主機上。虛擬化使得傳統的固定防御邊界已經不復存在，傳統的安全產品已經不適合用于云環境中。從日益新增的現代攻擊威脅來看，安全的核心戰場逐漸從網絡側南北向邊界向內轉移到東西向的主機側。云環境下的主機安全面臨著全新的威脅與挑戰，安全形勢日趨嚴峻。在云計算架構下，擔負信息系統各類關鍵數據和核心業務系統的主機系統，一旦受到攻擊，整個信息系統中最具價值的部分將面臨失竊和被破壞的?險。因此，（云）主機安全已成為云計算時代公認的信息安全核心環節。我們將本章節的討論重心放在CWPP解決方案上。Gartner在提出CWPP理念的同時也給出了“安全能?金字塔”，以核心級、重要級、擴展級描述了CWPP所應具備的安全能?，如圖6所示。CWPP金字塔結構為什么這么設計呢？我們可以看到CWPP最為核心的五層基座是所有工作負載保護的基礎和共性，而在核心級之上則體現了CWPP解決方案的靈活性，由于市場產品的發展，CWPP的能?已經在現有產品中得以體現（如：EDR、防病毒、入侵檢測）其可以被分解為多個原子化能?，利用現有產品集成相應的防護能?。CWPP涵蓋了工作負載整個生命周期的安全需求，涉及的控制點很多，因此Gartner也將CWPP的能?做了分層，明確了主要能?和次要能?。從能?分層圖上可以看出CWPP的核心保護策略是“防護”，包括漏洞利用預防/內存保護、應用控制/白名單、系統信任保護、微隔離、加固、配置和漏洞管理等。從CWPP的技術落地路線上看，“有代理”和“無代理”的實現方式最為主流。下面對這兩種技術路線的現狀進?介紹。按照部署方式來劃分，面向云計算的主機安全防護軟件工作機制可以分為有代理、無代理兩種方式：1.有代理技術路線：其基本思想是云計算中所有服務器上，無論是物理主機還是虛擬主機操作系統上，均加載一個完整版本的安全防護客?端，即代理軟件。服務器的防護工作主要由該代理獨立完成。有代理技術由于在每臺主機上安裝代理，所以具備實時監測、實時阻斷以及采集數據更全面等優點，可以深入地與主機層的文件、進程、網絡和應用形成聯動；具體來說，代理程序可以實時地對工作負載進?監控，進?資產安全管理、?險評估處置、安全策略管理、入侵檢測以及響應處置。這種實時監控能?有助于在威脅發生時迅速作出反應，防止潛在的安全事件升級。同時，由于代理程序通常設計為輕量級，并且可以在多種操作系統和云平臺上運?。這使得有代理技術能夠靈活地適應不同的云環境和工作負載，提供一致的安全保護。從技術應用情況來看：目前國外、國內大規模部署應用的還是有代理技術方案，比如：國外的PrismaCloud、CrowdStrikeFalcon、AquaSecurity和國內的亞信安全信艙等。2.無代理技術路線：其基本思想是以拒絕訪問為主的防御方案，而非有代理方式采用檢測后進?刪除或者隔離。在這種方式下，通常需要在云計算服務器集群中的每一臺物理主機上安裝一個上惡意代碼掃描、配置核查和安全庫升級工作，而虛擬機上無需安裝任何代理。無代理技術由于不需要在每臺主機上面安裝代理，所以具備輕量級和高效性，適應性和靈活性等獨特的優勢，同時對云環境像國內私有云環境，和目前云原生環境都具備很好的適應性。具體來說，無代理技術通常采用輕量級的方式進?實現，不需要在網絡中額外添加代理節點，因此能夠減少網絡負載和延遲，提高系統的整體性能和效率。采用分布式、智能化的安全策略引擎，能夠根據網絡環境和安全需求動態調整安全策略，更好地適應不同的網絡拓撲和應用場景，提供更靈活的安全防護。無代理技術更容易與云原生架構相適配，能夠在云端實現對云環境配置的實時監測和分析，保護云環境中的數據安全，滿足云計算環境下的安全需求（如CSPM技術）。從技術應用落地情況來看：國內無代理的相關技術主要是CSPM，不具備實時殺毒、虛擬補丁等能?，但亞信安全的無代理一開始就是以國內環境現狀為基礎，基于私有云設計所以具備實時殺毒、虛擬補丁等實時能?；國外WIZ、Orca等少數CSPM廠商開發了使用Snapshot快照技術的無代理安全方案，試圖解決無代理安全方案在云工作負載級的實時檢測、防護和響應方面的先天局限性，主要技術原理是通過云提供商SDKAPI定時采集（比如：24小時采集一次快照）運?時存儲層訪問云工作負載（比如：AmazonElasticBlockStorage，EBS提供EC2實例一起使用的塊級存儲服務等）。基于快照數據提取進程、進程二進制文件、進程網絡?為、進程文件?為、操作系統配置等數據，使用大數據、機器學習、YARA掃描等分析、檢測技術進?威脅發現等。下面對“有代理”以及“無代理”的主要應用場景和選擇原則進?介紹：1．“有代理”安全方案的主要應用場景：該安全方案是一種在國內、外已經廣泛部署和經過多年實戰驗證的“通用的、成熟的和有效的”方案，應用場景可以覆蓋公有云、私有云和混合云等多種場景；2．“無代理”安全方案的主要應用場景：在下述安全防護場景更適合應用新一代“無代理”安全方案：1、“有代理”安全方案在租?無宿主機高級內核權限特殊場景下存在無法部署的問題（比如：租?購買的Serverless和容器云2、對高性能低延遲技術要求極其嚴苛的場景（比如：?聯網平臺3．“有代理+無代理”安全方案的主要應用場景：如今，有不少頭部云安全廠商推出了“有代理+無代理”的組合方案，這樣的組合方案兼收并蓄了兩種技術路線的優點（“有代理”模式具有實時監測、實時阻斷以及采集數據更全面等優點，可以深入地與主機層的文件、進程、網絡和應用形成聯動；而“無代理”模式具有安裝部署快、侵入性低等優點。適應更復雜的業務場景，賦予用?更完備的選擇。在國外，已有大量的廠商逐步踐?CWPP理念。對于CWPP面向的工作負載范圍不同廠商有著不同的闡釋。Aqua和Wiz作為云原生的代表廠商其CWPP更多的專注于云原生環境即虛擬機、容器、容器編排和無服務器；Cloudnosys作為公有云的合作伙伴將重心放在了公有云主機的保護上，對公有云AWS、Azure、GCP進?很好的兼容；PaloAltoNetworks將工作負載解隅對于主機、容器、無服務器進?產品拆分，并將這些產品聚合作為自己的CWPP解決方案。在國內，大多數廠商將工作負載類型解隅，面對云主機、虛擬機、容器及無服務提供差異化的安全防護。國內CWPP面向工作負載范圍大多局限于云主機、虛擬機層面，而對于容器、容器編排平臺、無服務的防護通常需要額外的安全產品。國內近年來出現了一些充分實踐CWPP理念的云安全解決方案。亞信安全信艙是其中的典型代表。信艙結合了“有代理+無代理”的技術路線，是一款專為用?虛擬環境和云環境打造的一站式云主機安全防護方案。信艙基于CWPP模型設計，滿足了用?對云主機安全防護上的需求，如病毒防護、威脅檢測、入侵防護、補丁管理、微隔離、Web防護及網?防篡改等。同時也滿足用?對云主機運維上的需求，如針對云主機的完整性監控、資產管理、漏洞?險管理、基線檢查、主機資源監控等。信艙實現了云主機系統的全面防護，幫助用?滿足等保合規性的安全要求，構建虛擬化平臺基礎架構的縱深安全防護體系。隨著IT產業和云服務市場的迅速升級和擴張，主機面臨的潛在威脅仍將不斷增加。盡管AI算法的廣泛應用顯著提高了安全產品的抵抗能?，但依然存在對抗變種攻擊和未知威脅的無法預測等問題，這依然是難以解決的挑戰。網絡安全市場整體呈現較強的碎片化特征，云主機安全細分市場或成為網絡安全領域第二個防火墻賽道。因此亞信安全認為，多元化的檢測手段、多產品聯動響應和告警信息去噪將成為主機安全技術發展的關鍵趨勢。多元化的檢測手段：未來的主機安全技術將不再依賴于單一的檢測方法，而會整合多種手段。它將利用主機的進程、網絡和文件?為信息，結合實時威脅情報，從多個?度分析主機?為，以檢測未知的攻擊?為。這將有助于識別零日漏洞和高級持續性威脅，提高對新型攻擊的抵抗能?；多產品聯動響應：未來的主機安全技術將強調多個安全產品之間的協同工作，以提供更強大的威脅響應和緩解措施。各種安全工具，如入侵檢測系統（IDS）、終端檢測與響應（EDR）、殺毒軟件、云原生產品、網絡流量產品等，將共同工作，以識別和應對多層次的威脅；告警信息去噪：未來的主機安全技術將更加注重降低告警信息的噪?，以減少誤報。這將通過使用高級機器學習算法、?為分析和上下文感知技術來實現。告警信息的去噪將使安全團隊能夠更專注于真正的威脅，從而提高響應效率；往云原生應用程序保護平臺（CNAPP）的形態演化：工作負載的載體也在快速變化，從物理機、虛擬機、容器到serverless，負載的生命周期越來愈短，CWPP的部署形態也要隨之變化，尤其是在容器和serverless的業務架構下，CWPP將左移與CSPM融合，變成新的產品形態：云原生應用程序保護平臺（CNAPP）。2.2虛擬化層和宿主機安全虛擬化層和宿主機安全主要是指保護虛擬化平臺自身及其管理功能免受惡意攻擊的安全措施。虛擬化層的核心是hypervisor（虛擬機管理程序它位于物理宿主機操作系統之下，負責創建和管理多個虛擬機實例。虛擬化層的安全工作重點在于：漏洞管理、隔離性保證、管理接口安全、訪問控制及勒索防護等。在虛擬化環境中，宿主機和虛擬化層的安全保護對象并不是用?通常理解的物理服務器，而是虛擬化基礎設施的關鍵組成部分。下面對宿主機與虛擬化層的安全保護對象及措施進?介紹。(1)安全保護對象：宿主機是虛擬化環境中的物理服務器，負責承載和管理多個虛擬機實例的運?。其安全保護對象包括主機操作系統、虛擬化軟件（如VMwareESXi、KVM等）以及宿主機上的關鍵資源和服務。(2)安全保護措施：針對宿主機的安全保護，需要實施包括但不限于以下措施：強化主機操作系統的安全配置，包括及時打補丁、關閉不必要的服務等；實施訪問控制策略，限制對宿主機的物理和遠程訪問權限；安裝和配置防火墻、入侵檢測系統（IDS）等安全軟件，監控和防范潛在的安全威脅；實施數據加密、身份認證、安全審計等安全機制，保護宿主機上的敏感數據和關鍵操作。2．虛擬化層（VirtualizationLayer）安全(1)安全保護對象：虛擬化層是虛擬化環境中的關鍵組件，負責虛擬機的創建、管理和調度，以及物理資源的分配和監控。其安全保護對象包括虛擬機管理程序（VMM/Hypervisor）、虛擬機配置信息、虛擬機間的隔離等。(2)安全保護措施：為了保護虛擬化層的安全，需要實施以下措施：加固和保護虛擬機管理程序，防止未經授權的訪問和惡意篡改；實施虛擬機間的隔離機制，防止惡意虛擬機之間的相互影響和攻擊；加強對虛擬機配置信息的保護，包括加密存儲、訪問控制等措施；配置安全監控和審計機制，實時監測虛擬化層的運?狀態和安全事件，及時發現和應對潛在威脅。目前，一些個別廠商將針對虛擬機防護的解決方案直接應用于宿主機層面，以用來防護宿主機和虛擬化層。然而，這種做法是不正確的。宿主機與虛擬機之間存在顯著差異，包括允許的程序和服務、運?的服務和組件等方面。例如，在使用VMwareESXi或KVM的環境中，宿主機上運?的服務和組件與虛擬機上運?的程序存在明顯的差異，因此，直接將針對虛擬機的解決方案應用于宿主機可能會導致對宿主機及其虛擬化層的不完整或不準確的防護。特定于虛擬化層的安全需求和特征需要被充分考慮，以確保宿主機和虛擬化層得到有效的安全保護。另外，這些方案只能防護KVM類別的宿主機，針對VMwareESXi無法防護，也無法防護云安全環境的其他組件，比如管理平臺，VMwareNSX等等組件，如圖7所示，針對ESXi、VMwareNSX組件、vCenter，共享存儲設備等都應該具備惡意病毒查殺、勒索防護、虛擬補丁防護、配置檢查等能?。在虛擬化環境中，宿主機和虛擬化層的安全至關重要，一旦被攻擊，那么運?在此環境中的所有應用數據都面臨著篡改泄露的?險，從而使云上的業務變得不再可信，對用?造成巨大的損失。目前，宿主機與虛擬層的安全防護有著多項的難點與挑戰。下面依次對宿主機安全與虛擬化層安全的防護難點進?介紹。1．宿主機安全防護難點宿主機的安全防護面臨諸多挑戰，包括以下方面：(1)安全升級難度大：宿主機通常承載著多個虛擬機實例，因此在進?安全升級時需要考慮到整個虛擬化環境的穩定性和連續性。由于可能存在對虛擬機實例的影響，安全升級的難度較大，所以客?會怕影響業務而拒絕升級云平臺，導致相關的漏洞和?險一直存在；(2)虛擬化和宿主機安全防護技術?檻高：宿主機安全需要綜合考慮物理服務器、虛擬化軟件和虛擬機間的隔離等多個方面的安全問題，技術?檻較高。有效保護宿主機安全需要涉及到底層操作系統的安全配置、虛擬化軟件的安全設置以及與虛擬機之間的隔離等方面。2．虛擬化層安全防護難點虛擬化層作為虛擬化環境的核心組件，其安全防護同樣面臨一些挑戰：(1)多租?環境的安全隔離：虛擬化層需要確保在多租?環境下，不同虛擬機實例之間能夠得到有效的安全隔離，防止惡意虛擬機對其他虛擬機或宿主機的攻擊。實現有效的安全隔離需要考慮到虛擬機之間的資源共享、網絡通信等方面的安全問題；(2)虛擬化技術的復雜性：虛擬化技術本身具有一定的復雜性，包括虛擬機管理程序（VMM/Hypervisor）的安全性、虛擬機配置信息的保護、虛擬化軟件的漏洞管理等方面。針對虛擬化層的安全防護需要充分理解虛擬化技術的工作原理和安全特性，才能有效應對潛在的安全威脅。因此，保護宿主機和虛擬化層的安全需要綜合考慮到安全升級難度大、虛擬化和宿主機安全防護技術?檻高等因素，采取針對性的安全策略和措施，以確保虛擬化環境的安全穩定運?。國內外在虛擬化層和宿主機安全方面的研究和實踐日益深入。在國外，一些先進的安全公司和研究機構在虛擬化安全領域取得了一定的成果，提出了一些創新性的安全解決方案。業界巨頭如VMware、Microsoft、Citrix等虛擬化方案提供企業在虛擬化安全方面積累了豐富的經驗和技術優勢，不斷推出內置高級安全特性的虛擬化產品和服務。同時，國際標準化組織和研究團體也積極制定和完善針對虛擬化安全的標準規范，促進全球范圍內虛擬化安全水平的整體提升。在國內，隨著云計算和大數據技術的發展，虛擬化安全已成為網絡安全的重要組成部分。國內企業和研究機構投入大量精?研發適應虛擬化環境的安全技術和解決方案，如強化虛擬機逃逸漏洞的研究與防御、開發面向虛擬化環境的態勢感知和安全管理系統、推動虛擬化平臺國產化進程以降低對外部依賴的?險。例如，亞信安全致?于研發針對虛擬化環境的安全產品和服務，逐步填補了國內虛擬化安全領域的空白。但盡管如此，這幾年針對虛擬化層或者宿主機的攻擊越來越頻繁，特別是針對VMwareESXi和KVM宿主機的勒索攻擊頻發，但目前國內外都還沒有一套完整的方案能夠對VMwareESXi和KVM宿主機進?全方位防護的方案。隨著虛擬化技術的進一步深化和普及，未來虛擬化層和宿主機安全的發展趨勢預計將呈現以下幾個方向：1．智能化與自動化：安全防護將進一步智能化和自動化，利用AI和機器學習技術提高威脅檢測和響應能?，減少人工干預的需求；2．內生安全：虛擬化技術將與安全技術更加深度融合，形成內生安全體系結構，即從設計之初就融入安全特性，實現虛擬化環境的原生安全，同時由于虛擬化層或者宿主機承擔了客?眾多的業務，所以需要安全和業務并重，任何情況下不能影響運?在宿主機上的虛擬機的運?，所以對安全解決方案的輕量、資源占用、穩定性等提出了極其嚴格的要求；3．跨虛擬化平臺統一安全管理：隨著混合云和多云環境的普及，跨不同虛擬化平臺的安全管理和政策一致性將成為關鍵點，比如能夠同時針對VMware、KVM等宿主機環境進?統一管理；4．合規性與隱私保護：隨著數據安全法規的日益嚴格，虛擬化環境的數據安全與隱私保護技術也將得到顯著提升，包括數據加密、密鑰管理以及滿足GDPR、CCPA等國際標準的要求。2.3微隔離在面對云環境下的安全防護需求時，傳統防火墻、WAF、IPS等端點安全和網絡安全手段已經無法滿足需求。IP地址不再具備資源的標識信息價值，而是作為一個通信用的臨時性變量而存在。以邏輯標識為基本元語的微隔離則開始流?，它通過在主機上安裝代理程序的方式進?網絡隔離，有效地隔離了安全?險，保護了業務的安全性和隔離性，即使在某一工作負載被黑客入侵，造成應用、數據不可靠時，也能保證其他工作負載中的業務安全運?與數據的可信、可靠。微隔離技術可以有效地防止攻擊者進入數據中心網絡內部后的橫向平移、收斂攻擊面，爭取到更充分的安全漏洞及安全事件的處置時間。這好比潛艇在水下航?時，不僅艙內的空氣與外界完全隔絕，艙與艙之間也都有水密?相通、相隔，這是防備一旦有某一艙進了海水，其他艙室還是安全的，如圖8-微隔離工作場景類比在2015年，國際專業咨詢機構Gartner首次提出了“微隔離”相關的概念，并將其定義為“軟件定義的隔離”（software-definedsegmentation）。這一時期的微隔離主要側重于在數據中心和云環境中創建相互隔離的區域，將工作負載彼此隔離并單獨保護。2016年，Gartner進一步提出“微隔離”（Micro-Segmentation）的概念，也就是我們現在所熟知的微隔離（微分段）。他們倡導，微隔離應當為企業提供流量的可?性和監控。微隔離產品可以通過可視化工具幫助安全運維與管理人員了解內部網絡信息流動的情況，以便更好地設置策略并協助糾偏。在2020年，美國NIST在其發布的零信任標準中提出，企業可以選擇使用軟件代理即Agent來實現基于主機的微隔離。這種基于主機的微隔離成為了零信任架構的基礎組件，主要負責實現內部防護信任。它可以在所有資產進?身份驗證和授權后，對任意兩個點之間的業務關系與訪問控制問題進?細粒度的控制，從而縮減網絡攻擊面。出現微隔離技術的原因有以下4點：1．云化場景和混合云架構下的安全防護需求：隨著云計算的廣泛應用，越來越多的應用程序和業務在云端運?，同時企業也常常使用混合云架構來滿足不同的業務需求。這種環境下，傳統的粗粒度網絡隔離方式（如VLAN、VPC等）無法滿足細粒度的網絡隔離需求，因此需要更精細的網絡隔離技術，即微隔離技術；2．基于數據中心網絡隔離的安全防護需求：數據中心內部網絡架構從傳統的IT架構向虛擬化、混合云和容器化升級變遷，內部隔離變得迫切困難。數據中心承載的業務多種多樣，而且隨著云計算的興起，業務上云成為趨勢。早期數據中心的流量，80%為南北向流量，而云計算時代已經轉變成80%為東西向流量。云環境中南北向的網絡數據通過防火墻的策略規則可以做到網絡隔離，但東西向的數據，就會繞開防火墻，無法做到業務精細化隔離控制。云上虛擬機、容器技術的使用使得對內部流量訪問控制的安全策略總數呈指數增?。同時，云環境中虛擬機隨時漂移、復制、克隆、擴展，以靜態參數編寫的安全策略無法跟上動態的云；3．零信任安全架構的推動：零信任安全架構主張所有資產都必須先經過身份驗證和授權，然后才能與另一資產通信。微隔離技術作為零信任安全架構的重要組成部分，實現了最細粒度的訪問控制，面向業務應用而非單一IP地址的方式實現數據中心資產東西向之間的身份驗證和授權訪4．對東西向、南北向流量有效防護的需求：業務網絡通常會被劃分為南北向流量和東西向流量，南北向流量通常指的是客?端和數據中心服務器的流量；東西向流量指的是數據中心內負載均衡、服務器、容器、業務系統之間的流量。如何針對南北向和東西向流量進?訪問控制和安全防護對于企業來說是一大難點。表2對比了云防火墻、安全組以及微隔離等技術方案，通過對比可知，微隔離對于東西向及南北向的網絡流量防護具有較好的綜合表現。表2云防火墻、安全組及微隔離的技術方案對比技術方案名稱含義簡介核心價值云防火墻云防火墻屬于OSI模型第七層應用層防御策略，它能夠過濾和防護應用程序和網絡的HTTP流量，通常使用黑白名單、安全策略、機器學習等技術實現。云防火墻提供網絡間訪問控制能?安全組安全組可以說是一種虛擬防火墻，安全組重點關注單節點訪問控制它實現了云實例間的訪問控制。通過在云實例上配置安全組，針對入方向規則指定來源、端口和協議，針對出方向規則指定目的地、端口和協議，安全組能夠實現對云實例出入方向流量進?限制。微隔離微隔離技術的提出就是為了實現內部網絡流量可視化，通過訪問控制降低內部網絡中攻擊?為的“爆炸半徑”。內部網絡流量具體指的是云數據中心的業務服務器以及容器之間的流量。微隔離提供內網中不同業務間的網絡隔離能?目前微隔離有三種主流技術選擇：云原生微隔離、基于虛擬化層（Hypervisor）微隔離和主機代理微隔離。針對這些技術選擇的對比分析如表3所示。表3微隔離技術路線比較技術路線支持架構優點缺點云原生微隔離僅支持虛擬化平臺原生技術，購買增值模塊后在平臺可進?配置環境，無法適用；用?一旦更換云服務商，很難簡單快速遷移微隔離策略（Hypervisor）微隔離支持虛擬化與服務器虛擬化技術（如Vmware）的大規模部署保持一致不支持移動或臨時工作負載、不支持異構混合云部署主機代理微隔離統服務器、任意虛擬化平臺、容器無需依賴底層架構，只支持PC、混合云環境的微隔離方案，且主機遷移時安全策略能隨之遷移在初次實施時需要通過批量工具進?部署在國際范圍內，微隔離作為一種先進的網絡安全實踐受到了廣泛關注和采用。大型企業積極將微隔離、SASE和零信任納入其網絡安全戰略，以限制橫向傳播的攻擊。微隔離在SASE中扮演了重要?色，通過在網絡內劃分小的隔離區域，實現了對應用和資源的微觀級別的訪問控制。此外，云服務提供商也在其服務中融入微隔離的理念，為云上工作負載提供更強大的安全保障。安全?業對微隔離的有效性普遍表示認同，一些廠商和解決方案提供商提供了專?支持微隔離的工具，為企業提供更加靈活和強大的網絡安全防護。在國內，隨著網絡攻擊的不斷升級，企業對網絡安全的關注度逐漸提升。一些大中型企業開始認識到保護網絡邊界不足以滿足日益增?的安全挑戰，因此對微隔離等內部網絡安全策略的采用逐漸增多。政府發布的網絡安全法和相關政策也對企業提升網絡安全水平起到推動作用。然而，采用程度仍因企業規模、?業差異以及技術基礎設施等因素而有所不同。金融、電信和科技領域的企業可能更早關注和采用微隔離等先進的網絡安全實踐。不過，微隔離技術在實施過程中面臨一系列的困難和挑戰，這些因素可能導致使用起來的?檻較高、周期較?。首先，微隔離要求深入理解網絡架構、安全策略和應用程序，對復雜的網絡環境增加了技術難度。其次，考慮到業務連續性的重要性，需要在實施微隔離時制定周密的計劃，以確保業務不受到過多的干擾。調整既有基礎設施以適應微隔離可能是一個顯著的挑戰，尤其對于歷史悠久或基礎設施相對穩定的企業而言。此外，人員培訓和安全意識提升也是一項必要的任務，引入新技術需要相關人員具備新的技能和知識。成本和投資也是實施微隔離時需要考慮的重要因素，包括硬件、軟件、培訓以及可能的系統升級。最后，確保微隔離符合合規性和法規要求是必要的，這可能需要額外的工作和文件。未來，隨著國內企業對網絡安全認知的不斷提高，微隔離有望在更廣泛的范圍內落地并取得進一步的推廣。目前國內外微隔離的廠商主要采用基于主機代理的微隔離技術，核心功能主要包含了：工作負載管理、可視化展示、安全策略管理、異常流量監控、外部協同防護、安全審計與分析、安全告警等。信艙-自適應微隔離產品基于CWPP技術方案及主流三種技術路線（基礎設施隔離、虛擬化層隔離、工作節點Agent隔離主要采用通過在公有云、私有云、混合云模式下的工作負載安裝Agent，采集工作負載之間的網絡流量，以可視化展示網絡訪問關系，實現根據業務需求設置訪問控制策略，工作負載支持主機服務器、虛擬主機及容器等節點模式。當然微隔離的發展也面臨著一些挑戰。首先，微隔離技術的普及程度還有待提高，很多企業和組織對于微隔離技術的認知度和接受度還相對較低。其次微隔離技術的實施和維護也需要專業的知識和技能，這也限制了微隔離技術的普及和應用。隨著市場的推動和技術的發展，微隔離的技術也將趨于完善。未來微隔離技術的發展趨勢預計將呈現以下幾個方向：1．技術成熟度提升：隨著微隔離技術的不斷發展，預計未來幾年微隔離技術將逐漸成熟，并成為網絡安全領域的重要基礎設施之一。廠商和用?對微隔離的認知也將得到提高；2．融合多種技術：目前，微隔離技術是基于軟件定義的技術路線。隨著人工智能、機器學習等技術的不斷發展，微隔離技術可能會引入更多新技術，以提高其智能化程度和自動化水平；3．一體化覆蓋主機和容器的訪問控制：隨著云原生技術架構加速落地，云原生場景下主機和容器微隔離利用eBPF技術從底層技術創新實現一體化同時覆蓋主機和容器的訪問控制，避免一個packet重復檢測等影響性能問題；4．微隔離的數據面實現技術創新發展：當前使用傳統?舊網絡防火墻技術（比如：nffilter、iptables等）存在較大局限性，將催生新一代云原生防火墻，比如從發送側進?訪問控制策略檢查，達到非法訪問無需封包、路由經過虛擬網絡設備等，極大緩解云原生場下的微隔離對網絡吞吐、延遲和資源占用的影響；總之，微隔離技術的未來發展前景廣闊，將不斷融合多種技術、增強可視化能?、云原生化和容器化、擴展應用領域等。同時，也需要不斷克服市場需求、技術進步、法規政策等方面的影響和挑戰，以實現更加成熟和完善的應用和發展。2.4云安全態勢管理研究機構Gartner在2015年左右開始提出“云安全態勢管理”（CloudSecurityPostureManagement，CSPM）理念，旨在幫助企業更好地維護云環境的正確配置，保障其云上業務的合規開展。根據Gartner報告的分析結論：“95%的云上安全?險是由于錯誤配置導致”，因此，CSPM的核心定位就是通過云提供商的API連接所有的云平臺，一是自動發現、識別、管理云上資產，解決用?多云環境下難以統一管理資產的難題；二是通過自動化監視和檢測各種云環境/基礎結構中的配置錯誤，解決當前大多數錯誤仍是由云配置錯誤和人為錯誤導致的問題。CSPM技術經歷了多個階段的演進，旨在應對不斷變化的云安全挑戰。最初，CSPM主要關注配置審計和合規性檢查，確保云資源符合安全最佳實踐和合規標準。隨著云環境復雜性的增加，漏洞掃描和?險評估成為CSPM的關鍵功能，使其能夠識別潛在漏洞和安全?險。隨著技術的不斷發展，CSPM逐步引入了自動化響應和修復功能，使系統能夠自動糾正檢測到的安全問題，降低潛在威脅的?險。多云支持和整合成為另一個關鍵方向，使CSPM能夠跨多個云平臺進?管理和監控，并提供統一的安全視圖。現代CSPM工具還整合了威脅情報，從外部數據源獲取實時的威脅信息，幫助及時識別并應對新型威脅。一些解決方案還引入了人工智能和機器學習技術，以提高數據分析的準確性。持續合規性監控也成為CSPM的重要特性，確保云資源在其生命周期中持續符合安全和合規標準。CSPM技術通過這些演進階段，為組織提供了全面的云安全管理和保護，使其能夠適應不斷變化的威脅和安全要求。CSPM在國外市場已經屬于?業熱點且發展成熟。從2014到2018年，正是北美企業大量上云（到2018年美國企業的上云率在85%以上且云上安全處于逐漸完善階段，安全?險層出不窮，其中最受重視的安全?險之一就是“云資源配置”，直至2019年Gartner的分析報告中，依然強調：“幾乎所有對云服務的成功攻擊，都利用到了用?的云資源錯誤配置和錯誤管理”。Gartner連續多年都將CSPM與CWPP、CASB一起作為Gartner所重點推崇的云安全解決方案推出。另外，從資本層面看，國外CSPM廠商在過去幾年經歷大規模的并購事件包括：目前國外提供成熟的云安全解決方案的企業中均可?CSPM產品的身影，例如CrowdStrike、PaloAlto、Zscaler、WIZ等。CSPM產品在國內還處于剛起步階段，相對海外并購以快速布局，國內以自研為主，產品演進路徑包括從資產管理出發、從CWPP出發以及從DevSecOps出發這三大?類。從國內外CSPM落地產品來看，它們呈現的主要特點有：1．主流云服務商提供解決方案：騰訊云、阿?云等主流云服務商已經推出了包括CSPM在內的云安全解決方案。這些解決方案為用?提供了對云資源配置的審計、監控和管理功能，以確保其云環境的安全性；2．服務功能逐步豐富：CSPM服務的功能逐步豐富，不僅限于配置審計和合規性檢查，還包括漏洞掃描、?險評估、自動化響應和修復等高級功能。這些功能提升了用?對云安全的整體控3．多云管理需求增加：隨著企業在多個云平臺上部署應用，對于能夠跨多云環境進?管理的CSPM解決方案的需求也在增加。服務提供商致?于提供整合多云支持和一體化管理的解決方案；4．?業合規性要求推動市場：部分?業對合規性有著嚴格的要求，推動了CSPM技術的需求。服務商逐漸整合合規性檢查功能，以滿足不同?業和地區的法規要求。亞信安全CSPM產品的演進是從CWPP出發的。產品致?于構建多云安全管理平臺，為“混合云、多云”客?提供云環境的配置安全、國內外云上業務合規，以及多云運營分析的一體化安全管理平臺，通過云提供商的API或SDK連接所有的云平臺，持續檢測并修復從構建時到運?時的錯誤配置。產品部署靈活，同時提供私有化產品部署和CSPMSaaS安全服務。為“混合云、多云”客?提供云環境的配置安全、國內外云上業務合規，以及多云運營分析的一體化安全管理平臺，通過云提供商的API或SDK連接所有的云平臺，持續檢測并修復從構建時到運?時的錯誤配置。產品部署靈活，同時提供私有化產品部署和CSPMSaaS安全服務。云計算已經成為國內企業數字化轉型發展的基礎。而云安全態勢管理（CSPM）則被認為是確保云計算基礎設施安全的最有效工具之一，它不僅能夠持續監測云環境中的系統配置和完整的云上資產底數，及時顯示任何可能導致資產失陷、數據泄露的錯誤配置，還可以通過自動化手段幫助企業優化云中的應用服務和資源配置，并有效阻止攻擊者侵入系統。為了應對不斷發展的云安全威脅和挑戰，未來CSPM技術發展趨勢主要包括下述兩個方面：1．云原生化和安全左移：隨著國內企業轉向基礎設施即代碼（IaC）、云原生、DevSecOps等方向的落地加速，下一代CSPM解決方案必須支持“安全左移”，適配云上的DevOps環境配置安全、容器環境配置安全、K8S編排平臺配置安全，以及兼容適配“異構多芯、混合調度”信創環境等，并且按照“環境安全一體化”的理念精確識別針對這些技術的特定威脅。下一代CSPM方案需要充分利用云原生技術，更好適應云環境的特征，例如虛擬化、容器化和無服務器計算，以可擴展、更有效和更便捷的方式來解決現代云部署的獨特挑戰，從而與現有基礎設施無縫協同工作；2．基于?險的漏洞管理技術創新：實際落地中客?普遍遇到“漏洞數量過載”的困境。隨著檢測的工具越豐富、手段越多，漏洞數量就越巨大，因此導致DevSecOps遇到的第一個問題就是“大多數安全人員和開發人員都感到被迫要在安全性上妥協，以滿足最后交付期限的要求”。開發人員無法突破產品的Deadline，所以需確定漏洞優先級，并處理最需要解決的問題就勢在必?。采用基于?險排序的管理理念，結合運?時的上下文信息創新真實?險評估算法，分析攻擊路徑和排序漏洞處理優先級，幫助安全團隊專注于數量少得多的優先攻擊路徑或警報組合、危及公司最重要的資產的漏洞、配置缺陷等是影響CSPM產品實際應用效益發揮的關鍵。2.5云訪問安全代理CASB（CloudAccessSecurityBroker，云訪問安全代理）最早是2012年由Gartner提出的概念，CASB主要針對的問題是公有云帶來的數據管控問題，以及其衍生出的影子IT（ShadowIT）和BYOD（Bringyourowndevice，自帶設備辦公）問題。Gartner因此詳細指出了CASB需要滿足的特性：1．可?性：CASB提供影子和認可的IT發現，以及組織的云服務使用情況和從任何設備或位置訪問數據的用?的綜合視圖。領先的CASB通過云服務安全態勢評估數據庫進一步實現這一目標，以提供對云服務提供商的“可信度”的可?性；2．合規性：CASB協助數據駐留并遵守法規和標準，并識別云使用情況和特定云服務的?險。組織仍然需要證明他們能夠滿足內部和外部合規要求，并展示他們如何展示五個W：誰、什么、何時、何地和為什么。CASB還可以通過控制對云的訪問來提供幫助；3．數據安全：CASB能夠強制執?以數據為中心的安全策略，以防止基于數據分類、發現和對敏感數據訪問或權限升級的用?活動監控的不需要的活動。策略通過審核、警報、阻止、隔離和刪除等控制應用。一些CASB提供了在云服務中的現場和文件級別加密/標記化和編輯內容的能?。加密密鑰管理可以與任何本地產品集成。數據丟失防護(DLP)功能既包含在CASB產品中，也可通過ICAP集成從本地網絡DLP產品中獲得。一些CASB以及現在涵蓋云使用用例的傳統本地DCAP提供商也在本地解決以數據為中心的審計和保護(DCAP)功能；4．威脅防護：