今日，2023数字政府安全建设大会在福州隆重召开。本次大会由中国计算机学会计算机安全专委会作为指导单位，《信息安全研究》杂志社、福建大数据信息安全建设运营有限公司主办，光明网网络安全频道协办，青藤云安全承办。来自政产学研用单位的200余名行业领袖及安全专家参与本次大会。会上，青藤云安全COO程度发表以《政务云关键安全能力构建》为主题的演讲，围绕政务云场景，深入剖析其面临的安全风险以及关键安全能力的建设。

政务云面临严峻风险

数字政府建设是数字中国战略的重中之重，政务云作为数字政府建设的第一步，已成为数字政府建设的关键基础设施。目前，针对政务云安全的国家政策法规不断完善，安全保护要求日益提升。与此同时，政务云面临的安全风险日益多元化、复杂化、扩大化。一方面，在政务云平台中，传统网络架构中的DDoS攻击、非法入侵、病毒等安全问题仍是常态；另一方面，云环境中容器等新技术不断应用，增加了攻击暴露面，云上配置错误与人员操作不规范导致的风险更加突出，专门针对云平台架构的容器逃逸、资源滥用等安全问题层出不穷，传统的安全工具能力有限。在新旧双重威胁影响下，政务云面临更加严峻的安全风险。

政务云安全关键能力

目前，从政务云安全能力建设来看，政务外网、政务数据中心网络、政务云基础架构、政务云大数据平台等平台环境安全水平相对成熟。但政务云租户环境、政务云应用环境等租户云计算环境安全需要重点强化。主要体现在以下四个场景中：

• 租户侧工作负载安全防护：针对委办局计算环境安全，需要全方位保障云工作负载安全。
• 云原生安全防护：面对容器、微服务等新技术带来的新风险，需要对云原生环境的已知、未知威胁进行实时掌握、全面防护。
• 东西向流量监测与防护：随着网络攻击、数据泄露、恶意软件等威胁不断增加，需要全面可视化并保障东西向流量的安全。
• 云平台上应用的安全性：针对云原生应用微服务架构和弹性伸缩的特性，需要通过自动化部署、自动化监控和自动化故障恢复能力，有效保护应用安全。

（1）CWPP解决云租户侧工作负载安全问题

CWPP云工作负载保护平台解决方案可以实现跨物理机、公有云、私有云、混合云等多种数据中心环境的安全防护。其防护的云工作负载种类包括，基础设施即服务（IaaS）和平台即服务（PaaS）计算实例、容器以及运行在物联网（IoT）上的工作负载。云工作负载保护平台是基于主机Agent的解决方案,主要功能如图2所示。

CWPP解决方案涵盖了云工作负载整个生命周期的安全需求。其关键的能力包括资产清点、风险发现与整改、入侵检测与防护、合规基线等。

• 资产清点：建立软件资产清单提高软件供应链透明度，全面洞察软件的组成、漏洞、配置等情况，提高业务软件的安全、可控能力。
• 风险发现与整改：通过持续的监测分析，精准发现系统存在的安全风险，在重要时期，可全面排除主机、容器环境残留的脆弱性（漏洞、弱口令、配置缺陷），减少安全隐患。
• 入侵检测与防护：多锚点主机入侵检测，及时发现绕过边界的未知威胁和有效攻击，并判断攻击手段和当前失陷情况，无惧0day。
• 合规基线：可视化合规基线，实现基线安全日常运维，满足等保合规要求。

（2）容器安全解决云原生安全防护问题

在政务云平台建设中，容器技术得到了广泛应用，也因此带来了一系列安全风险。如图3所示，通过容器安全方案实现全生命周期的安全防护，并做到容器安全预测、防御、检测和响应的闭环管理。

首先，容器安全方案通过对容器资产的持续、自动采集，清晰梳理云原生环境的安全防护边界，实时掌握容器资产的变化及风险，使安全工作不落后于运维和业务。

其次，云原生引入很多新的IT基础设施，其安全防护能力和合规性普遍跟不上。对此，容器安全方案可有效发现高危的系统脆弱性风险，例如DevOps组件风险、容器应用风险等，减轻系统被攻击的风险。

最后，容器安全方案可实时检测容器中的已知威胁、恶意行为、异常事件，及时发现容器逃逸、集群攻击等云原生特有的攻击方式。并且对于真实攻击，以进程、IP等多种元素展示呈现一个攻击的完整链路，将前后发现的攻击逐个串联，形成攻击全景图，如图4所示，帮助用户迅速理解攻击态势，精准找出问题关键点。

（3）微隔离解决云内东西流量安全问题

传统的外围防御策略无法控制数据中心内部网络通信。因此，组织必须将防御策略扩展到数据中心内部。如图5所示，通过微隔离方案，实现数据中心全面的流量可视化、细粒度的策略管理、多样的威胁响应处置，以及策略自适应能力。

微隔离与传统的防火墙等隔离方式相比，更能满足云时代的安全防护需求。不但能帮助组织大幅降低不可避免的安全入侵风险，而且在增加安全控制的同时，还保留了发挥现代工作流和混合基础设施优势所必需的灵活性，使组织更好地享受云带来的价值。

（4）RASP解决云上业务应用安全问题

云原生环境下管理维度更加偏向于应用，例如针对比较流行的内存马攻击方式，必须深入应用内部才能有效检测。如图6所示，利用RASP应用运行时自我保护安全方案，在应用程序内部嵌入安全机制，能够主动监视、检测和阻止潜在的安全风险和攻击，实现实时监控、即时防御、自我修复、减少漏洞利用、降低误报率等应用安全防护能力。

RASP通过在应用程序运行过程中采用插桩技术，实现无需人工干预、无感知、高精准检测和防御外部攻击，可以快速地将安全防御功能融合到正在运行的应用程序中，像“抗体”一样使应用程序具备自我保护能力，从而自动免疫针对应用程序的外部威胁，实时检测并阻断攻击行为。具体作用体现在以下几个方面：

• 提升应用攻防对抗能力：对已知&未知的应用入侵威胁均能有效防护，保护应用免受侵扰；对内存马具备专项的防护能力，无惧高级攻防对抗。
• 不重启应用的漏洞修复：应用热补丁技术提供稳固有效的漏洞应急手段，能够快速完成漏洞修复覆盖，解决漏洞修复成本高、难以修复的问题。
• 数据链路可视化：根据应用内部数据流转情况，构建数据链路可视化追踪，对敏感数据进行合规审查。
• 端到端供应链管理：对应用中调用的组件库进行有效清点，发现可被利用的漏洞影响范围。

政务云对数字政府治理和社会服务的作用和价值不断凸显。安全政务云将是未来的发展方向，这将为打造安全可信、敏捷创新、高效惠民的数字政府奠定基石。青藤作为国内拥有核心技术的网络安全领军企业，将持续发挥自身安全技术优势，结合先进的理念和创新的精神，助力政府以及千行百业安全上云、安全用云，为数字中国、数字政府安全建设贡献力量。

“云”已经成为支撑国民经济运行和社会发展的重要基础设施。为助力引领我国云安全产业健康、可持续发展落地，由云安全联盟（CSA)大中华区、国家信息中心《信息安全研究》杂志社、光明网网络安全频道联合发起，青藤云安全提供技术支持的《2023年十大云安全发展趋势洞察报告》，在本次大会上正式发布。报告汇集政产学研用领域专家深度参与，全面展示了云安全发展的新理念、新技术、新趋势，为我国云安全产业的创新发展、政策制定、行业规范等带来前瞻性思考和启发。

来源：青藤