随着数字经济时代到来，云计算、大数据、物联网等新兴技术在关键信息基础设施领域深度应用，数字技术已经成为企业转型和发展的关键要素，而云是企业数字化转型的基础支柱，也是企业的首要技术重点。我国在十四五规划中，将云计算作为数字经济重点产品之首，要求加快数字化发展，建设数字中国，实施“上云用数赋智”行动。在数字化转型不断加深的大背景下，越来越多的关键信息基础设施正在将数据和应用程序迁移到云中。同时，新基建也推动了大量云化基础设施采用了云原生的技术路线。如图1所示，关键信息基础设施在经历信息安全时代后，进入数字网络“云安全”时代。

图1 关键信息基础设施网络安全发展

随着关键信息基础设施上云步伐加速，云上安全问题也更加广泛和突出。调研显示，云计算所面临的挑战中，安全问题排在首位。

图2 云计算安全问题突出

图3 关键信息基础设施安全保护框架

通过框架内容可以发现，关键信息基础设施网络安全需要建立起分析识别、检测评估、监测预警、事件处置、主动防御的立体化安全保护体系，在满足合规要求的基础上，打造实战化防御能力。

• 分析识别：围绕关键信息基础设施承载的业务，开展业务识别、资产识别、风险识别等活动，为后续环节开展工作打下基础；

• 检测评估：对安全防护环节的安全措施有效性进行验证，定期开展相关核查活动；

• 监测预警：制定实施网络安全监测预警制度，及时对安全事件做出响应；

• 事件处置：对网络安全事件进行报告和处置并采取相应的应对措施。

• 主动防御：在减少暴露面的同时，采取诱捕、溯源、干扰和阻断等措施主动发现网络攻击事件；

图4 12大重点云安全风险

行业需求的不断变化、业务规模的持续上涨，促使各行业积极寻求变革、拥抱新技术。云原生作为构建云上业务应用的最优模式集合，提供计算、编排、存储、安全、可观测等灵活多样的技术方案，已成为云上业务技术选型的优先项。银行业从传统网点模式走向互联网金融模式，制造业依托工业互联网走向“智造”，交通业大力推广“智慧交通”走向真正的互联互通。云原生在行业转型升级过程中提供众多可灵活组合的标准能力，呈现降本增效、弹性伸缩、敏捷迭代、高可用性等多重价值。与此同时，随着云原生技术的进一步普及，伴随而来诸多全新的安全性问题，如图5所示。例如，镜像风险、微服务风险、基础设施风险等。因此关键信息基础设施需要新的云安全解决方案。

图5 新的云原生安全风险

图6 云安全解决方案建设思路

图7 云安全整体能力框架

关键信息基础设施云安全解决方案要求

1、镜像扫描

• 推送镜像时在镜像仓库中扫描：当镜像推送或存储到镜像仓库时，CWPP可以扫描容器镜像以识别已知的漏洞。

• 拉取或编排中的扫描：CWPP作为容器交付或容器编排的一部分进行扫描，以识别已知的漏洞。

• 连续扫描运行的容器：扫描实例化的容器或运行的工作负载，以识别新报告的或环境漂移导致的已知漏洞。

• 显示容器镜像和正在运行的容器中的特定漏洞：如果发现新的CVE，CWPP会显示该漏洞存在于哪些镜像或正在运行的容器和相关镜像层中。

• 支持获取第一手漏洞研究和威胁情报：CWPP可以通过基于内部研究的额外漏洞信息来增强NVD和CVE报告。

• 分析镜像元数据：可以扫描标签、镜像配置、相关的文档文件、针对已知问题或敏感数据类型的环境变量和其他元数据。

• 包括一个可以触发镜像扫描的API或Webhook：提供一个WebAPI或Webhook，可以根据需要调用镜像扫描。

• 包括一个API或webhook来触发镜像扫描并返回扫描结果，作为在CI/CD内的构建和部署的一部分：提供一个web API或webhook来调用镜像扫描，作为连续集成/连续交付（CI/CD）的一部分，并返回可以作为构建管道的一部分进行编程解析的结果。

• 识别镜像层次结构和所属方：CWPP可以区分镜像层层次结构和传递依赖中的漏洞，它还可以跟踪基本镜像和镜像层的来源。

• 识别存在漏洞的镜像层：CWPP需要详细说明文档文件中引入漏洞的相应层。

• 通过相应的策略引擎对容器构建管道进行控制：CWPP具有预定义的规则和相应的策略引擎，用于控制容器构建和交付。

• 通过相应的策略引擎对容器实例化进行控制：CWPP提供预定义规则和相应的策略引擎阻止易受攻击的容器镜像实例化为容器实例的能力。

• 突出显示具有已知漏洞的组件：CWPP显示的容器镜像和运行的容器，可以通过更新的依赖项、修补程序或文档化的代码进行修复。

• 突出显示具有可用修复程序的已知漏洞的组件：CWPP可以通过更新的容器镜像和运行时容器补丁或文档化的代码修复进行漏洞修复。

• 突出显示具有已发布漏洞的组件：CWPP可以显示容器镜像和运行时容器当前容易受到的攻击或基于公共脆弱性评分系统(CVSS)给出的威胁分析指标。

• 启用与SaaS断开连接的本地镜像分析：CWPP提供了直接在CI/CD管道或容器镜像仓库中进行扫描的能力，而无需在数据中心环境或私有云之外共享镜像内容

• 提供关于已知漏洞的攻击向量细节：CWPP公开了关于漏洞如何被潜在利用的信息，这有助于确定优先级。

• 支持沙箱扫描：CWPP可以在一个孤立的非生产环境中实例化一个容器，并观察正在运行的容器，从而发现在启动后和运行期间出现的漏洞。

• 支持容器镜像仓库的预定扫描：可以按照定制的时间计划扫描容器镜像仓库。

• 扫描有效容器镜像以确定已知的漏洞：CWPP扫描有效镜像（即给定容器的所有镜像层）并报告漏洞。

• 使用CVE和NVD之外的其他第三方漏洞源：CWPP使用其他漏洞源，如SontatypeOSS索引或VulnDB。

• 基于镜像和镜像仓库元数据验证镜像完整性：CWPP比较镜像仓库路径和镜像名称，以识别社工攻击。

• 使用哈希验证镜像的完整性：CWPP确保运行的容器的哈希与镜像的哈希匹配，以识别社工攻击。

• 使用签名验证镜像完整性：CWPP确保运行的容器的数字签名与镜像的数字签名匹配，以识别社工攻击。

• 支持对易受攻击的镜像进行虚拟补丁：CWPP以代码修复或更新的容器镜像依赖关系的形式，为已知的漏洞提供可支持自定义策略的缓解机制。

2、镜像仓库支持

• OCI分发规范-符合镜像仓库的要求：CWPP集成了OCI分发规范并符合容器镜像仓库的文档要求。

• 对Amazon、Azure、Harbor、Jfrog等镜像仓库的支持：直接镜像仓库集成，以增强CWPP本身的功能。

3、容器运行时保护

• 支持应用程序或进程显示：可以监控容器工作负载行为和服务通信，并提供一个可视化引擎来帮助理解大规模的容器行为。

• 支持应用程序或进程警报：当出现偏离自定义的安全策略或容器基线时，可以对系统调用、异常的容器工作负载行为和服务通信发出警报。

• 支持应用程序的强制执行：当出现偏离容器基线或定制的安全策略时，可以对系统调用、异常的容器工作负载行为和服务通信采取纠正措施。包括阻止正在运行的容器中的特定操作，或使用容器编排引擎终止工作负载。

• 阻止工作负载启动：阻止任何违反组织策略的工作负载的容器初始化。

• 检查容器漂移：可以检测运行的容器是否偏离容器镜像源、支持的IaC或硬性合规标准。

• 支持容器基线化和流量分析：可以记录给定容器工作负载的容器行为和服务流量，并通知不符合基线的异常行为。

• 检测违法主机隔离策略行为：检测在没有适当隔离策略的情况下启动容器工作负载、与主机系统（如文件系统、命令行）交互或试图违反容器安全原则。

• 检测到持久性存储的挂载：检测容器工作负载试图挂载可能导致安全问题的存储路径。

• 检测特权容器和具有升级特权能力的容器：检测容器工作负载在使用特权标志启动时，是否以root身份主动运行或从用户模式请求提升特权。

• 支持基于签名的恶意软件或防病毒扫描：扫描运行容器中基于已知签名的病毒或恶意软件。

• 检测异常行为：检测容器出现偏离已建立的（硬性的）基线或IaC定义的异常行为。

• 基于自定义安全策略检查容器异常：CWPP将功能扩展到基本的漂移检测或违反基线的行为之外。此功能由一个策略引擎支持，该策略引擎具有可自定义的细粒度策略，可用于定义和管理容器行为。

• 日志记录并控制容器内的交互式用户会话：当用户向正在运行的容器发出操作系统命令时，CWPP记录用户输入。

• 支持基于机器学习或基于行为的恶意软件或防病毒扫描：通过分析流量、进程行为或其他属性，在没有签名帮助的情况下，扫描正在运行的容器中的病毒或恶意软件。

4、DevOps工具集成

• 应用程序开发生命周期管理ADLM和缺陷跟踪支持：CWPP可以将安全发现（从镜像扫描或容器安全事件）导出到外部ADLM或缺陷跟踪系统，这样就可以使用标准的DevOps工作流来处理问题。

• 二进制或工件存储库支持：提供webhook或与二进制存储库的本地集成，以扫描编译的工件或推送到存储库的依赖项。

• CI/CD支持：提供一个与CD服务集成的GUI，如CloudBeesJenkins、AWS代码部署或Azure管道。

• 基于git的VCS支持：提供webhook或与基于git的VCS的本地集成，以扫描纯文本源代码和将代码提交到存储库中的IaC。