构建先进的“云安全+零信任”架构 | CISA《云安全技术参考架构》解读

持续安全监测：访问获得授权后，可能由于云服务产品的硬件或软件发生变化、出现新的漏洞等原因，导致机构的信息系统安全态势动态变化。持续进行安全态势评估和动态授权，以便做出基于风险的决策。应当持续监测云服务产品，以感知系统安全态势的变化，从而实现基于风险的正确决策。

安全事件处理：确保安全事件处理透明化，使所有相关方了解当前安全状态和补救措施。明确报告信息安全事件发生时的应对步骤，包括对发布紧急指令的响应，同时必须报告安全事件的准确数据，以便能够采取全面措施保护重要数据。

按照该行政命令的要求，各机构应当基于零信任原则构建集中式的云安全服务，并进行合理授权。

各机构应部署集成的集中式安全服务，减少被攻击面。团队内部共用安全服务，既可以节省资金和时间，又可以专注于更有价值的业务。机构可以批量采购云基础设施，然后根据需要向不同的团队提供访问权限，从而实现访问控制安全，并帮助新团队快速开始使用这些基础设施。需要说明的是，身份识别与访问管理（IAM）若采用单点登录的方式，是一种理想的服务接入方式。

迁移到云上部署的系统应当采用零信任体系架构，零信任架构采用“以数据为中心”的网络安全策略，始终保护云上数据，以及在云上传输的数据。应重点加强基础网络安全能力，包括身份管理、资产管理、网络安全、数据保护、应用程序安全和可视化等，并集成到本地环境和云中。可采用云安全态势管理工具CSPM支持机构向零信任安全架构过渡。

该文件指出，最重要的一点是机构应该构建一个有效的身份管理解决方案，使得可以跨云和内部部署环境提供全球身份感知，机构在整个身份生命周期中使用CSPM功能提供监测和分析，并确保为部署的服务自动配置访问控制功能。应集成资产和漏洞管理，尽可能采用自动化云部署方法。要求机构确保用于访问服务和数据的设备的完整性，包括云部署中的设备。此外，CSPM工具可用于收集漏洞数据并强制执行法规遵从性。

集中式云安全服务应当授予不同用户最小合理权限。云架构应当提供业务所需的基于角色（RBAC）的访问控制能力，并增强监测和审核访问的能力。访问权限应实时更新以降低安全风险，这也是零信任体系架构的一个重要特性。零信任架构可以提供动态的、细粒度的访问控制能力，也可以进一步综合灵活运用RBAC（基于角色的访问控制）、ABAC（基于属性的访问控制）、PBAC（基于策略的访问控制）等技术实现云上自动化的动态细粒度访问控制。

鉴于云上环境越来越复杂、云服务提供商和相关工具越来越多、系统漏洞风险及影响越来越大，为免受网络安全威胁，各机构应当主动对云环境进行管理和监测，提高其整体安全能力与风险承受能力。随着更多业务迁移上云，需要使用自动化工具全面监测云环境、发现威胁、响应异常事件、实施云安全管理、实现更细粒度的访问控制和保护。

该文件指出，可通过CSPM（Cloud Security Posture Management，云安全态势管理）实现持续跟踪新出现的威胁、防止错误配置、降低安全事件或数据泄露风险，不断优化机构的网络安全态势。

CSPM支持实现以下目标：满足合规性要求、政策和标准要求、权限控制和身份访问管理、数据安全防护、基础设施和应用程序保护、系统健壮性和资源监测、事件响应和恢复等；监测云环境的持续过程、识别告警处置云漏洞、改善云安全等等，主要功能包括：安全和风险评估、持续监测和报警、IAM、基于人工智能和机器学习的安全功能等。

此外，CSPM的扩展功能可让机构根据自身需要选择最适合的功能选项，以便保持对其服务安全性的态势感知，且此部分功能同时支持独立与集成部署两种方式，主要包括：身份和访问管理、边界安全防护、流量及日志采集、安全监测、API安全能力、自动化编排能力等等。

针对美国联邦机构描述的云安全业务的最新发展趋势，天融信立足于在云安全和零信任方面的长期积累，构建了先进的“云安全+零信任”解决方案。方案以天融信云安全资源池系统为基础，以控制服务平台为核心，充分发挥安全态势分析与安全运营系统的能力，同时集成天融信终端安全能力、云安全能力和零信任解决方案等，形成云上的零信任安全能力。

该方案以身份为中心，运用大数据分析、知识图谱等关键技术对云安全威胁的预警、防护、检测和响应及对业务访问的全面理解、建模、分析、响应等措施，综合评估云环境安全，建立自动化、层次化合规模型，全面监测安全态势，在业务隐藏、隔离的基础上实现动态访问控制。最终通过资产、行为、合规、威胁及脆弱性综合分析与可视化呈现，实现云安全体系的可视管理与全面运维，同时满足我国“等保２.０”和数据安全等合规性要求，适应客户持续发展的业务需求。