本書圍繞云時(shí)代安全面臨的新形勢(shì)、新問(wèn)題、新挑戰(zhàn),全面闡述云安全建設(shè)的新思路、新技術(shù)、新方案,通過(guò)國(guó)內(nèi)外先進(jìn)的云安全技術(shù)研究,結(jié)合云計(jì)算應(yīng)用的重點(diǎn)場(chǎng)景實(shí)踐,從技術(shù)、方案、實(shí)踐角度整體介紹云安全建設(shè)的方法路徑。其中,圍繞云安全重點(diǎn)技術(shù)場(chǎng)景,打造云安全技術(shù)能力框架,全面介紹組織的云安全技術(shù)建設(shè)路徑。通過(guò)云安全評(píng)估,確保組織和云服務(wù)商將必要的安全控制集成到云環(huán)境中,驗(yàn)證云安全控制措施的有效性。在此基礎(chǔ)上,隨著組織從云計(jì)算到云原生應(yīng)用的演進(jìn),推出先進(jìn)云安全整體解決方案,并落地到5G和OT等典型應(yīng)用場(chǎng)景中,重新審視5G和OT網(wǎng)絡(luò)中新的防護(hù)對(duì)象、新的信任體系,全面展示先進(jìn)云安全方案的安全防護(hù)實(shí)踐效果。如今。進(jìn)入云和數(shù)字化時(shí)代,組織業(yè)務(wù)呈現(xiàn)出開放互聯(lián)、高效運(yùn)轉(zhuǎn)、結(jié)構(gòu)復(fù)雜、快速變化等特點(diǎn)。云上威脅滲透速度更快、輻射范圍更廣、影響程度更深,面臨"一點(diǎn)突破、全盤皆失”的嚴(yán)峻安全形勢(shì),云安全在整個(gè)安全體系中的基礎(chǔ)性、戰(zhàn)略性、全局性地位更加突出。本書對(duì)組織提升云安全能力水平,打造先進(jìn)云安全防護(hù)體系,有著非常重要的借鑒意義。
青藤云安全青藤,讓云更安全。公司成立于2014年,定位為“中國(guó)云安全整體解決方案領(lǐng)軍者”。目前,公司形成了以北京總部為中心,以武漢光谷、北京亦莊兩大研發(fā)中心為支撐,業(yè)務(wù)輻射全國(guó)34個(gè)省級(jí)行政區(qū)的發(fā)展格局。公司主要聚焦于關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的云安全建設(shè),為客戶提供先進(jìn)、創(chuàng)新、有效的云安全產(chǎn)品和方案,覆蓋云基礎(chǔ)設(shè)施安全、云應(yīng)用安全、云數(shù)據(jù)安全、云流量安全等眾多領(lǐng)域。目前,公司已為100多個(gè)國(guó)家重大活動(dòng)提供安保服務(wù)支撐,全部實(shí)現(xiàn)安全零事故。同時(shí),公司持續(xù)為來(lái)自政府、金融、運(yùn)營(yíng)商、能源、電力、制造、互聯(lián)網(wǎng)等行業(yè)的1000多個(gè)大型客戶,800多萬(wàn)臺(tái)核心服務(wù)器提供穩(wěn)定、高效的安全防護(hù)。中國(guó)信息通信研究院云計(jì)算與大數(shù)據(jù)研究所中國(guó)信息通信研究院云計(jì)算與大數(shù)據(jù)研究所(簡(jiǎn)稱“中國(guó)信通院云大所”)是中國(guó)信息通信研究院面向互聯(lián)網(wǎng)新技術(shù)、新產(chǎn)業(yè)、新模式、新業(yè)態(tài)不斷發(fā)展的勢(shì)態(tài),設(shè)置的核心業(yè)務(wù)單元。圍繞云計(jì)算、大數(shù)據(jù)、數(shù)據(jù)中心、數(shù)字健康、金融科技、審計(jì)與治理、開源和軟件安全、生物科技、政企數(shù)字化轉(zhuǎn)型等領(lǐng)域開展技術(shù)、標(biāo)準(zhǔn)研究,構(gòu)建相關(guān)技術(shù)的測(cè)試、試驗(yàn)和統(tǒng)計(jì)平臺(tái),承擔(dān)相關(guān)服務(wù)和產(chǎn)品的測(cè)試評(píng)估工作,提供相關(guān)技術(shù)標(biāo)準(zhǔn)的咨詢服務(wù)。2018年以來(lái),在人工智能、云計(jì)算、大數(shù)據(jù)、區(qū)塊鏈、數(shù)據(jù)中心、智慧健康、金融科技等領(lǐng)域牽頭和參與工業(yè)和信息化部專項(xiàng)、國(guó)家重點(diǎn)研發(fā)計(jì)劃項(xiàng)目、科技創(chuàng)新2030-重大項(xiàng)目、國(guó)家發(fā)展改革委項(xiàng)目、中國(guó)工程院項(xiàng)目、國(guó)防科技創(chuàng)新特區(qū)項(xiàng)目以及地方項(xiàng)目超過(guò)40項(xiàng)。
第1章 中國(guó)全面進(jìn)入數(shù)字化時(shí)代 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.1 數(shù)字經(jīng)濟(jì)頂層設(shè)計(jì)不斷完善. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.2 數(shù)字化成為各行業(yè)發(fā)展的必然趨勢(shì). . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.3 云成為數(shù)字經(jīng)濟(jì)發(fā)展的核心基礎(chǔ)設(shè)施. . . . . . . . . . . . . . . . . . . . . . . . . . 5
第2章 數(shù)字化時(shí)代云計(jì)算發(fā)展與安全投入 . . . . . . . . . . . . . . . . . . . . . . . 9
2.1 中國(guó)云計(jì)算市場(chǎng)發(fā)展情況. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.2 中國(guó)網(wǎng)絡(luò)安全投入情況. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
第3章 云帶來(lái)的安全新需求與新挑戰(zhàn) . . . . . . . . . . . . . . . . . . . . . . . . . 18
3.1 云環(huán)境攻擊面管理難. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
3.2 云數(shù)據(jù)安全合規(guī)要求高. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
3.3 軟件供應(yīng)鏈威脅復(fù)雜多變. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.4 人為錯(cuò)誤導(dǎo)致的安全隱患防不勝防. . . . . . . . . . . . . . . . . . . . . . . . . . . 22
第4章 云安全建設(shè)原則與基礎(chǔ)要求 . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
4.1 一把手責(zé)任制. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
4.2 云安全建設(shè)原則. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
4.3 云安全方案的基礎(chǔ)要求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
先進(jìn)云安全研究與實(shí)踐 XII
第5章 基于責(zé)任共擔(dān)的云安全評(píng)估 . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
5.1 云服務(wù)商安全能力評(píng)估. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
5.1.1 國(guó)內(nèi)外云服務(wù)商第三方安全評(píng)估 .......................38
5.1.2 云服務(wù)商安全評(píng)估的具體流程 .........................41
5.2 云服務(wù)客戶安全能力評(píng)估. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
5.2.1 云安全評(píng)估的五大原則 ...............................44
5.2.2 云安全評(píng)估的四大類別 12 個(gè)檢查項(xiàng) ....................47
5.2.3 云安全評(píng)估的具體實(shí)踐 ...............................56
第6章 典型的云安全場(chǎng)景解析 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
6.1 云配置管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
6.1.1 常見的云配置錯(cuò)誤情況 ...............................59
6.1.2 云配置管理的有效實(shí)踐 ...............................62
6.2 身份和訪問(wèn)管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
6.2.1 身份和訪問(wèn)管理流程 .................................63
6.2.2 身份和訪問(wèn)管理實(shí)踐 .................................65
6.3 API 安全管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
6.3.1 API 安全管理策略 ...................................69
6.3.2 API 安全管理實(shí)踐 ...................................70
6.4 云資產(chǎn)管理和保護(hù). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
6.4.1 云資產(chǎn)管理和保護(hù)實(shí)踐 ...............................75
6.4.2 云資產(chǎn)管理和保護(hù)工具 ...............................78
6.5 云數(shù)據(jù)管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
6.5.1 云數(shù)據(jù)管理關(guān)鍵能力 .................................80
6.5.2 云數(shù)據(jù)管理實(shí)踐 .....................................81
6.6 云漏洞管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
6.6.1 云漏洞及責(zé)任主體 ...................................84
目錄 XIII
6.6.2 云漏洞管理工具 .....................................87
6.7 云網(wǎng)絡(luò)安全. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
6.8 云安全事件的檢測(cè)和恢復(fù). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
6.8.1 準(zhǔn)備、檢測(cè)與分析階段 ...............................92
6.8.2 遏制和恢復(fù)、事后分析階段 ...........................94
6.9 軟件供應(yīng)鏈管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
6.9.1 軟件供應(yīng)鏈安全策略 .................................95
6.9.2 軟件供應(yīng)鏈安全實(shí)踐 .................................97
第7章 先進(jìn)云安全解決方案 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
7.1 安全左移,保護(hù)開發(fā)安全. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
7.1.1 基礎(chǔ)設(shè)施及源代碼的安全 ............................103
7.1.2 制品部署及推送安全 ................................106
7.2 安全右移,保護(hù)應(yīng)用程序及 API 的安全. . . . . . . . . . . . . . . . . . . . . . 111
7.2.1 云工作負(fù)載保護(hù) .................................... 111
7.2.2 Web 應(yīng)用程序和 API 的保護(hù) ..........................114
7.2.3 微隔離 ............................................117
7.2.4 運(yùn)行時(shí)應(yīng)用程序自我保護(hù) ............................120
7.3 安全下移,保護(hù)云基礎(chǔ)設(shè)施安全. . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
7.3.1 基礎(chǔ)設(shè)施即代碼的安全 ..............................125
7.3.2 云基礎(chǔ)設(shè)施授權(quán)管理 ................................128
7.3.3 云安全配置管理 ....................................130
7.4 安全上移,實(shí)現(xiàn)智能化安全運(yùn)營(yíng). . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
7.4.1 自動(dòng)化是云安全運(yùn)營(yíng)的關(guān)鍵 ..........................137
7.4.2 基于圖計(jì)算的智能化安全運(yùn)營(yíng) ........................139
第8章 云安全重點(diǎn)場(chǎng)景實(shí)踐 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
8.1 政務(wù)云安全實(shí)踐. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
XIV 先進(jìn)云安全研究與實(shí)踐
8.1.1 政務(wù)云的發(fā)展趨勢(shì) ..................................143
8.1.2 政務(wù)云安全挑戰(zhàn) ....................................149
8.1.3 政務(wù)云的安全方案 ..................................152
8.2 金融云安全實(shí)踐. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
8.2.1 金融行業(yè)云計(jì)算的發(fā)展及應(yīng)用 ........................156
8.2.2 金融云安全挑戰(zhàn)及政策要求 ..........................159
8.2.3 金融行業(yè) CNAPP 整體方案 ...........................162
8.2.4 金融企業(yè) CNAPP 實(shí)踐 ...............................166
8.3 5G 云基礎(chǔ)設(shè)施安全實(shí)踐. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
8.3.1 5G 應(yīng)用場(chǎng)景及安全挑戰(zhàn) .............................170
8.3.2 5G 云基礎(chǔ)設(shè)施安全策略 .............................174
8.4 工業(yè)互聯(lián)網(wǎng)云安全實(shí)踐. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186
8.4.1 工業(yè)互聯(lián)網(wǎng)的發(fā)展及體系架構(gòu) ........................187
8.4.2 工業(yè)互聯(lián)網(wǎng)平臺(tái)安全威脅 ............................191
8.4.3 工業(yè)互聯(lián)網(wǎng)平臺(tái)安全體系 ............................195
8.4.4 工業(yè)互聯(lián)網(wǎng)平臺(tái)安全實(shí)踐 ............................199
第9章 數(shù)字時(shí)代的云安全發(fā)展思路 . . . . . . . . . . . . . . . . . . . . . . . . . . 207
9.1 增加安全投入以匹配數(shù)字經(jīng)濟(jì)的發(fā)展. . . . . . . . . . . . . . . . . . . . . . . . 207
9.2 大力發(fā)展創(chuàng)新云安全技術(shù). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
9.3 推動(dòng) AI 在安全領(lǐng)域的應(yīng)用. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217