云安全技術參考體系結構（譯文）

網絡安全和基礎設施安全局 程支豪 譯

（中電錦江信息產業有限公司，成都 610051）

“海外報告”欄目針對國際重點報告原文進行摘譯、編譯，旨在幫助讀者了解網信領域國際發展形勢及最新動態，內容僅代表原文作者見解，不代表本編輯部立場和觀點，僅供學術交流使用。所刊內容如涉及版權問題，請聯系本編輯部。

0 引言

2022年6月23日，美國國土安全部（Department of Homeland Security，DHS）部長、網絡安全和基礎設施安全局（Cybersecurity and Infrastructure Security Agency，CISA）局長、預算和管理辦公室（Office of Management and Budget，OMB）主任、聯邦風險和授權管理計劃（Federal Risk and Authorization Management Program，FedRAMP）執行局長協商，制定并發布了《云安全技術參考架構》2.0版本，為機構利用云安全態勢管理（Cloud Security Posture Management，CSPM）收集和報告云遷移以及數據保護提供方法和建議。

1 簡介

“改善國家網絡安全”的第14028號行政命令（2021年5月）標志著對美國聯邦網絡安全現代化戰略優先級的再次重申。在其他政策要求中，第14028號行政命令將零信任作為理想的安全模型，并要求CISA對其當前的網絡安全計劃、服務和能力進行現代化改造，以使其在云計算環境中充分發揮作用。雖然第14028號行政命令標志著政策的轉變，但近年來做出的許多努力仍支持該行政命令的主要原則，如下文所述。

（1）“改進關鍵基礎設施網絡安全”的第13636號行政命令（2013年2月）。擴大信息共享項目，例如增強網絡安全服務，向美國公司提供機密和非機密的網絡威脅信息。

（2）“加強聯邦網絡和關鍵基礎設施的網絡安全”的第13800號行政命令（2017年5月）。授權各機構利用美國國家標準與技術研究院（National Institute of Standards and Technology，NIST）發布的網絡安全框架實施風險管理措施，以降低未經授權獲取政府信息技術資產的風險。第13800號行政命令還指示各機構在IT采購中確定共享服務的優先次序。通過這種方式，第13800號行政命令同等重視有效的風險管理和IT現代化，指導機構在遷移到云環境的同時需要實施有效的數據保護。第13800號行政命令更加強調了網絡安全框架的重要性，并為美國聯邦政府更快地采用云遷移奠定了基礎。

（3）“保障信息和通信技術及服務供應鏈的安全”的第13873號行政命令（2019年5月）。強調通過保障供應鏈來保護IT關鍵基礎設施。通過這種方式，突出了供應鏈和IT采購對于政府運作和機構任務履行的重要性。

近期，威脅云計算環境的網絡漏洞已經產生了廣泛的負面影響，需要國家及時地做出反應。這表明，“一切照舊”的方法不能用來保護國家免受網絡威脅。此外，云遷移需要文化改變、優先級和設計方法，這些都必須得到整個組織的接受、驅動和支持才能取得成功。

云安全技術參考架構以上述舉措為基礎，通過專注于云現代化工作，支持美國聯邦機構在快速發展的環境和技術中持續進步，即共享服務、在云中設計軟件和云安全態勢管理。

2 宗旨和范圍

云安全技術參考架構的目的是在機構持續采用云技術時以協調和深思熟慮的方式指導他們。這種方法將使美國聯邦政府具備識別、檢測、保護、響應和從網絡事件中恢復的能力，同時提高整個政府、企業的網絡安全。如第14028號行政命令所述，本行政命令旨在告知各機構在開始實施零信任架構時采用基于云服務的優勢和固有風險。云安全技術參考架構還說明了用于代理數據收集和報告的云遷移和數據保護的推薦方法。

該技術參考架構旨在以下列方式為采用云服務的機構提供指導。

（1）云部署。為機構安全地部署、集成、維護和操作云服務提供指導。

（2）適應性解決方案。提供靈活和廣泛適用的體系結構，以標識云功能和與供應商無關的解決方案。

（3）安全體系結構。支持建立云環境，并為代理操作提供安全的基礎設施、平臺和服務。

（4）DevSecOps。支持一個安全、動態的系統設計和工程周期，該周期通過構建、學習和迭代解決方案來優先考慮能力的設計、開發和交付。

（5）零信任。支持代理機構計劃采用零信任架構。

這一技術參考架構分為3個主要部分。

（1）共享服務。涵蓋評估云服務安全性的標準化基線。

（2）云遷移。概述云遷移的策略和考慮因素，包括對常見遷移場景的解釋。

（3）CSPM。定義CSPM，并列舉用于云環境中的監視、開發、集成、風險評估和事件響應的相關安全工具。

雖然每個主要部分都涉及云安全方面，但它們具有共同的協同作用，可支持實現云安全現代化的總體目標。了解共享服務的特性以及管理和保護這些服務的職責劃分，對于機構的云遷移和安全態勢管理至關重要。遷移到云可以幫助各機構通過改進其操作和安全性來跟上不斷發展的技術潮流。最后，CSPM功能將允許機構在規模和基礎結構上動態地保護其云資源。

云安全技術參考體系結構的組成和協同作用如圖1所示。

圖1 云安全技術參考體系結構的組成

3 共享服務層

報告介紹了共享服務以及其對機構和供應商的安全影響，概述了云服務模型并解釋機構如何利用FedRAMP服務支持其云遷移。云服務模型的特性依賴于采購期間設置的合同條款（云獲取不在這一技術參考體系架構的范圍內）。

3.1 云服務模型

在將基礎設施、應用程序或服務移動到云中時，有許多條路可選。NIST定義了3個基本的云服務模型，包括軟件即服務（Software as a Service，SaaS）、平臺即服務（Platform as a Service，PaaS）、基礎設施即服務（Infrastructure as a Service，IaaS）。

（1）SaaS。使用者是在底層云基礎設施上運行的提供商應用程序的用戶。應用程序可以通過各種客戶端平臺訪問，使用者無須管理或控制底層基礎結構。

（2）PaaS。使用者能夠在云基礎設施上使用提供者提供的語言、庫、服務和工具來部署自定義應用程序。使用者無須管理或控制底層基礎設施，但他們可以控制已部署的應用程序，并可能控制承載應用程序的提供者提供的環境配置設置。

（3）IaaS。使用者能夠提供計算資源來部署和運行環境及應用程序。由云提供商管理底層基礎設施，而使用者則可以控制計算資源，包括某些選定的網絡組件的控制（例如主機與基于網絡的防火墻）。

通過共享安全模型來表示哪一方對技術、安全、數據等負有什么責任。不同服務模型的責任如圖2所示，確保SaaS產品安全的責任在很大程度上取決于服務提供者。然而，這也意味著使用服務的代理對服務提供者給予了更多的信任。這與IaaS形成鮮明對比，在IaaS中，許多責任將落在代理身上，一些責任由云服務提供商（Cloud Service Provider，CSP）承擔，其余責任是共同分擔的。CSP對這種共享安全關系的定義可能會受供應商的影響。

圖2 不同服務模型的責任

3.2 FedRAMP簡介

2011年，OMB發布了一項標題為“云計算環境中的信息系統安全授權”的首席信息官備忘錄，其中建立了FedRAMP，旨在為聯邦政府使用云服務提供一種具有成本效益、基于風險的方法。FedRAMP授權機構使用現代化云技術，重點是對聯邦信息進行安全保護。FedRAMP是一個政府項目，通過為聯邦機構提供云技術安全和風險評估的標準化方法，促進整個聯邦政府采用安全云服務。

FedRAMP的適用場景如下文所述。

（1）執行部門和機構采購的商業和非商業云服務，由支持各部門和機構的運營和資產的信息系統提供，包括由其他部門或機構、承包商或其他來源提供或管理的系統。

（2）所有由NIST定義的云部署模式，例如公共云、社區云、私有云和混合云。

（3）所有由NIST定義的云服務模型，例如以基礎設施為服務、以平臺為服務、以軟件為服務。

3.3 FedRAMP下的安全考慮

FedRAMP的作用是為聯邦機構提供云技術安全和風險評估的標準化方法。即使在獲得授權之后，CSP和機構也應該了解當前的安全要求和需要考慮的因素。

FedRAMP下的安全考慮事項包括連續監視、事件響應和授權邊界的FedRAMP要求。

4 云遷移

報告介紹了機構在云設計、實施和維護數字服務時的計算平面和注意事項。為確保高效、安全地過渡到云服務，各機構應從以下方面入手。

4.1 云設計軟件

各機構可以利用云的靈活性來組合服務以支持他們的工作。在軟件開發生命周期（Software Development Life Cycle，SDLC）中，各機構應盡早在基于云的數字服務中采取安全措施。促進DevSecOps自動化安全測試的機構將能夠開發可擴展、可重復、可靠和與零信任理念相一致的體系架構。這個過程需要通過跨機構團隊協作來構建數字服務。DevSecOps可以與IT部門支持的集中式SaaS相結合，以支持發布軟件的安全性測試?；谠频臄底址湛梢钥缭絀aaS、PaaS和SaaS，這些服務模型以及內部模型在不同系統的不同層次上有所不同。

4.2 創建云遷移策略

云遷移是將業務操作和任務轉移到云計算中的過程。對于許多機構來說，這意味著從可能不再支持其需求的舊有基礎設施轉向能夠為機構的應用程序提供更靈活和更具成本效益的解決方案支持的現代基礎設施。云環境本質上涉及從本地解決方案的思維轉變。某些云函數可以以本地函數無法操作的方式運行，例如代碼（Infarftruce as Code，IaC）概念等基礎設施。這些概念包括基于服務需求彈性的動態供應和取消資源，或基于時間的維護，以出于安全目的取代部分基礎設施。

云遷移涉及很多準備工作，并取決于應用程序生態系統的大小、當前應用程序和系統的時代、用戶基礎和數據量。各機構應考慮其應用程序生態系統中數據的年代和數量，隨著時間的推移，數據的積累會給云遷移帶來更多的挑戰。當代理機構決定遷移他們的應用程序時，應該權衡采用基于云的技術優勢、風險和挑戰。

4.3 云遷移場景

每個云遷移都與原始應用程序一樣具有獨特性，因此就如何執行遷移給出通用的建議是很有挑戰性的，遵循以下步驟可以增加成功的機會。

（1）計劃。確定要使用的策略、CSP和服務類型以及應用程序的路線圖。

（2）設計。創建應用程序的體系結構，重點關注系統的分布式特性。試用CSP的原生云特性。

（3）試點。創建一個最小可行產品（Minimum Viable Product，MVP）以證明應用程序將在云中工作。

（4）轉移。做好云版本產品的準備，包括轉移任何需要的數據。

（5）維護。繼續改進云應用程序，無論是從產品特性的角度還是從性能的角度。

4.4 采用DevSecOps理念

DevSecOps是一種開發、安全和操作的組合，是一種軟件開發理念，它將編寫代碼與測試、安全和部署代碼緊密結合在一起。傳統的DevSecOps循環如圖3所示，它可以打破開發人員、安全工程師、操作工程師和質量保證專業人員等傳統角色之間的界限，并讓他們作為一個團隊發揮作用。這是通過組成具有跨角色功能的團隊來實現的，以成功地開發、啟動和維護所有服務。

圖3 傳統的DevSecOps循環

DevSecOps應該是各機構在云中開發、安全和交付應用程序的主要方法。DevSecOps通常利用連續集成（Continuous Integration，CI）、連續交付（Continuous Delivery，CD）、基礎設施作為代碼（IaC）、安全測試和最小特權原則來利用自動化和產生可靠的、可預測的規?；瘮底址?。

4.5 集中化公共云服務

當開發人員在云中遷移、創建和部署應用程序時，他們的代理可以通過管理和維護共享服務來提供幫助。通過提供共享服務，開發人員可以將更多的時間集中在任務上，而花更少的時間用于維護任務。這些服務分為機構PaaS、發展工具和服務、面向公眾的服務、安保服務4個領域。

4.6 投資于人

通過CSP構建可伸縮的、可重復的體系架構需要更改流程和過程，不僅要對部署工具和應用程序的工作人員進行調整，還涉及對工具和用戶的調整。機構需要投資于人員來交付基于云計算的項目，他們還需要重新設計程序，對所有工作人員進行教育，并提升準入門檻和可靠性。

5 云安全態勢管理

報告介紹了CSPM以及相關的安全功能和成果，還重點介紹了遷移到云時的關鍵注意事項，并解決了配置云服務和降低云風險的組織需求。此外，CSPM還考慮了這些功能如何促進零信任架構的實現。

5.1 定義CSPM

“云安全態勢管理”一詞是最近發展起來的，不同的實體對其定義不同。這些定義中有許多是相似的，以至于對這個詞的真正含義留下了一些歧義。該術語的定義和其他定義的這種區別可能需要利益相關方之間進行進一步的澄清，以確保對其含義達成共識。

就本文檔而言，CSPM是指通過識別、警告和減少云漏洞來持續監視云環境的過程，以達到降低風險和提高云安全性的結果。這一定義包括各種結果和支持結果的能力。

在本報告中，CSPM功能力求支持的活動成果包括：治理和遵約、標準和政策、特權和身份訪問管理、數據保護、基礎設施和應用保護、系統健康和資源監測，以及事故反應和恢復。

功能包括：安全和風險評估、持續監測和報警、身份、證書和訪問管理、DevSecOps集成，以及基于人工智能和機器學習的安全能力。

此外，雖然本報告強調云的采用和零信任遷移之間的關系，但這并不意味著遷移到云服務會立即轉化為零信任架構。云服務能夠實現零信任，部分原因在于云的分布式特性需要額外的配置和管理支持，以便實現零信任體系結構所需要的對資產、用戶和數據的安全性和可見性。

5.2 CSPM結果

CSPM的使用支持各種網絡安全結果，其中一個子集將在本節中詳細介紹。這些結果大致分為幾個類別，對應于各機構應該處理的不同安全流程。通過實現這些不同的結果，各機構可以為其云部署的安全建立強有力的基礎，并在部署、運營期間以及事故后的響應和恢復中應用保護措施。

結果包括：治理和遵約、標準和政策、特權和身份訪問管理、數據保護、基礎設施和應用程序保護、系統健康和資源監測，以及事故響應和恢復。

5.3 采用CSPM功能

機構希望可以將現有的本地基礎設施、數據和流程遷移到一個或多個云上。雖然在概念上簡單明了，但一個機構遷移的手段可能是簡單的，也可能是復雜的。對于一般的云環境或重新架構的以云為中心的解決方案而言，現有的系統可能并不理想。各機構將需要確定哪些選項最適合其云環境。應該評估諸如監控、掃描、報告、恢復和其他解決方案等功能，以確保安全態勢良好。這應該包括采用CSPM能力實現5.2節中確定的結果。

報告詳細介紹了各機構可用的一般CSPM功能及其主要功能。然而，當各機構轉向CSP并采用這些能力時，需要對每個機構特有的情況進行審核。應該使用共享責任模型來解決跨多個CSP集成能力的問題，以便各機構能夠保持對其互聯服務的安全性的態勢感知。本節還探討了安全工具如何獨立部署，或如何作為集成部署的一部分進行部署，以支持CSPM功能的交付。

能力包括：CSPM功能，獨立和集成的功能，CSP賬戶管理層次結構，身份、證書和訪問管理，周邊環境的演變，可見性和傳感器配置，監測，應用程序編程接口，遙測和日志，以及部署、自動化和編排。

6 結語

本云安全技術參考架構說明了聯邦機構在持續采用云技術時對云遷移和數據保護的推薦方法。這些方法將使聯邦政府具有識別、檢測、保護、響應和從網絡事件中恢復的能力，同時提高整個政府、企業的網絡安全。此外，隨著網絡架構的發展，這些方法會告知機構采用基于云的服務的優勢和固有風險。

首先，在共享服務部分概述了云服務模型，并解釋了代理機構如何利用FedRAMP服務來支持其進行云遷移。其次，在云遷移部分重點介紹了機構在云中設計、實施和維護服務時的各種注意事項，并包括了各種場景，以確保高效和安全地遷移到云。最后，在云安全態勢管理部分介紹了CSPM功能及其支持的各種網絡安全結果，并選擇了應用程序來支持機構對云資源、應用程序和數據的安全管理，同時也促進了零信任安全原則的采用。

云安全技術參考架構通過關注云現代化，支持聯邦機構在快速發展的技術環境中的持續發展。