关键信息基础 设施云安全指南 关键信息基础设施云安全发展 关键信息基础设施云安全建设重点 2.1关键信息基础设施安全需要满足合规要求 2.2关键信息基础设施需要新的云安全解决方案 关键信息基础设施云安全能力框架 3.1云安全建设思路 3.2云安全整体能力框架 关键信息基础设施云安全解决方案要求 4.1镜像扫描 4.2镜像仓库支持 4.3容器运行时保护 4.4部署模式 4.5 DevOps工具集成 4.6通用监测 4.7基础设施安全 4.8 基础设施支持 4.9 K8s的集成和功能 4.10 管理 4.11网络安全 4.12 Secrets管理 4.13安全监控 4.14漏洞管理 写在最后03 03 040101 02 03 04 05 2406 06 07 08 08 11 12 13 14 14 15 16 16 18 20 22 22 23 目录随着数字经济时代到来，云计算、大数据、物联网等新兴技术在关键信 息基础设施领域深度应用，数字技术已经成为企业转型和发展的关键要 素，而云是企业数字化转型的基础支柱，也是企业的首要技术重点。我 国在“十四五规划”中，将云计算作为数字经济重点产品之首，要求加 快数字化发展，建设数字中国，实施“上云用数赋智”行动。在数字化 转型不断加深的大背景下，越来越多的关键信息基础设施正在将数据和 应用程序迁移到云中。同时，新基建也推动了大量云化基础设施采用了 云原生的技术路线。如图1所示，关键信息基础设施在经历信息安全时代 后，进入数字网络“云安全”时代。◆ 信息安全时代 2004-2013年 移动互联网普及，网络 安全关注网络边界防护 和办公信息安全。 关键信息 基础设施 云安全发展 ◆ 云安全时代 2014年至今 云计算技术兴起，安全 边界模糊，网络安全强 调安全解决方案和安全 服务，进入数字网络 “云安全”时代。内外网隔离的网络边界安全 面向信息化办公的信息安全基于整体业务场景的 安全解决方案和安全服务 《国家信息化领导小组关于加强 信息安全保障工作的意见》《中华人民共和国网络安全法》 《网络安全等级保护条例》 《数据安全法》 计算机和互联网全面普及 企业信息化和政务信息化发展 移动互联网迅速升级数字化转型全面启动 新基建使网络架构全面升级 旧的网安措施难以满足新时代需求 网络隔离、网络分域/分区、身份验证、 访问控制、虚拟专用网络(PN)、文档 加密、应用安全、身份安全等数据安全技术、云安全技术 IOT安全技术、隐私计算技术等核心需求 政策驱动 市场驱动 技术积累2004至2013年 2014年至今 信息安全时代 数字网络安全时代 图1：关键信息基础设施网络安全发展模式单一、重复建设、各自为阵 一切皆服务(XaaS)、万物互联，敏捷服务化 组件化 自动化 集成化 池化互联互通资源开放 数据共享体验一致 成本节约当前 企业未来 企业 IT时代 计算机+软件互联化时代 云服务+数据服务 “烟筒式”孤立系统云化的平台式架构 01 让安全之光照亮数字世界的每一个角落 1 www.qingteng.cn随着关键信息基础设施上云步伐加速，云上安全问题也更加广泛和突 出。调研显示，云计算所面临的挑战中，安全问题排在首位，如图2所 示。企业上云，需要同步考虑、规划云上网络安全，组织机构对于云安 全的关注点、威胁和痛点，主要与数据、身份认证和合规相关。 云计算模糊了传统的安全边界，安全建设前移将成为趋势，安全攻防的 复杂程度也大大增加。如图3所示，传统“头痛医头、脚痛医脚”的网安 产品布局方式逐渐无法满足需求，传统网络安全产品，无法工作在云上 或者发挥很有限的功能，关键信息基础设施数字化网络安全需要平台 型、系统性、体系化的网络安全建设。 图2：云计算安全问题突出 图3：传统安全防护无法解决的问题数据丢失和泄漏 数据隐私机密性 法律和安全问题监管云安全三大关注 云的错误配置 身份认证失误云安全三大威胁 不安全的应用编程接口 云安全人才不足 云基础设施的可视化程度低云安全三大痛点 合规要求严格 传统安全防护核心要点 传统安全防护无法解决的问题 边界安全：内外网隔离,内网绝对安全。边界逐渐模刻：云计算的高速发展,企业上云的大 背景下,整个企业的网络边界的定义不再绝对。 账户安全：通过账户认证后获取绝对信 任,授予相应权限。账户不再安全：当前网络攻击技术手段持续提 升,攻击逐渐智能化体系化;80%的数据泄露来自 于内部人员的误操作或蓄意泄露。 网络安全行业：以“头痛医头，脚痛 医脚”的方式进行产品布局，未能产 生体系化。网络安全行业：IT基础设施重要性增强，需要 平台型、系统型、体系化的同络安全措施。 让安全之光照亮数字世界的每一个角落 2 www.qingteng.cn大数据时代，关键信息基础设施频遭攻击，已然成为网络空间博弈的 “核心战场”，国家监管日趋严格，构建安全防护体系势在必行。 随着《网络安全法》、《数据安全法》、《网络安全审查办法》和《关 键信息基础设施安全保护条例》（以下简称《条例》）的颁布，关键信 息基础设施云上安全得到空前重视。随着《条例》的实施，现有承载着 能源、交通、水利、金融、公共服务、电子政务等重要行业应用的云计 算服务平台，将越来越多地纳入到关基安全管控范畴当中，云服务提供 者及其客户将面临常态化的合规监管约束。根据《条例》第十二条要 求，“安全保护措施应当与关键信息基础设施同步规划、同步建设、同 步使用”，实现“安全三同步”建设，同时具备安全职责明晰、制度完 善、落实有力的安全运营管理机制，并将云安全能力建设融合到 DevSecOps研发运营一体化工作中，实现敏捷开发。同时参照《信息安 全技术 关键信息基础设施安全保护要求》等标准，关键信息基础设施安 全保护制度应建立在网络安全等级保护体系基础上，着眼分析识别、检 测评估、监测预警、事件处置、主动防御等重点活动的建设，围绕关键 信息基础设施网络安全风险识别到事件处置进行闭环管理。依据相关政 策标准要求，梳理关键信息基础设施安全保护框架，如图4所示。 2.1关键信息基础设施安全需要满足合规要求关键信息基 础设施云安 全建设重点 02 中国关于关键信息基础设 施的法规和标准 国家法规 《网络安全法》 提出了关键信息基础设施与安全 同步建设的原则 全国信息安全标准化 技术委员会 《信息安全技术关键信息基础设施 安全保护要求》 《信息安全技术关键信息基础设施 安全防护能力评价方法》《信息安全技术关键信息基础设施 安全检查评估指南》《关键信息基础设施安全保护条例》 确立了关键信息基础设施安全保护 的具体要求 《国家网络空间安全战略》 切实加强关键信息基础设施安全 防护 图4：关键信息基础设施安全保护框架关键信息基础设施安全保护框架 CII网络安全保护体系网络安全法 上位法律法规 数据安全法 密码法CIl安全保护 条例公网安 [2020]1960号文 CII标准体系 安全防护 (等保增强)CII网络安全应急 体系框架 资产探查服务 风险评估服务分析识别 安全核查服务检测评估 技术要求安全监测服务 通报预警服务监测预警 应急演练服务事件处置 攻防演练服务主动防御CII安全保护基本 要求CII安全控制措施CII安全检查评估 指南 达成 技术基础 管理基础 三级以上指导 物理环境 通信网络 区域边界 计算环境 安管中心管理要求 管理制度 管理机构 管理人员 安全建设 安全运维扩展要求 云计算 移动互联 物联网 工业控制让安全之光照亮数字世界的每一个角落 3 www.qingteng.cn图5：12大重点云安全风险通过框架内容可以发现，关键信息基础设施网络安全需要建立起分析识别、检测评估、监测预警、事件处置、 主动防御的立体化安全保护体系，在满足合规要求的基础上，打造实战化防御能力。 分析识别 围绕关键信息基础设施承载 的业务，开展业务识别、资 产识别、风险识别等活动， 为后续环节开展工作打下基 础。 事件处置 对网络安全事件进行报告和处置并采取相应的 应对措施。 主动防御 在减少暴露面的同时，采取诱捕、溯源、干扰 和阻断等措施主动发现网络攻击事件。 检测评估 对安全防护环节的安全措施 有效性进行验证，定期开展 相关核查活动。 监测预警 制定实施网络安全监测预警 制度，及时对安全事件做出 响应。 1、影响业务和数据的云安全威胁加剧。 随着越来越多的关键信息基础设施云化，云数据中 心数据、算力集中，云上威胁加剧。对组织机构数 据和业务影响比较大的威胁，诸如数据勒索、数据 丢失、数据泄露等，成为云上安全威胁的关注重 点。云计算专属安全问题主要集中在hypervisor层 的安全威胁、虚拟资源的隔离机制变化和虚拟机的 安全威胁等方面。根据调查显示，关基行业最关切 的12个云安全风险如图5所示。针对这些威胁风险， 关键信息基础设施企业需要建立新的、有效的安全 解决方案。2.2关键信息基础设施需要新的云安全解决方案 数据泄露恶意 内部人员 账户劫持 拒绝服务 (DDOS) 尽职调查 不足 滥用和恶意 使用云服务 数据丢失 APT风险系统漏洞共享技术 漏洞API风险身份、凭证 和访问管理 不足 让安全之光照亮数字世界的每一个角落 4 www.qingteng.cn图6：新的云原生安全风险2、云原生改变IT底层架构，新风险出现。 行业需求的不断变化、业务规模的持续上涨，促使各行业积极寻求变革、拥抱新技术。云原生作为构建云上业 务应用的最优模式集合，提供计算、编排、存储、安全、可观测等灵活多样的技术方案，已成为云上业务技术 选型的优先项。银