云安全深度監測技術研究與實踐

祿 凱 程 浩 劉立峰

1(國家信息中心信息與網絡安全部 北京 100045) 2(華為技術有限公司 北京 100095)

1 云安全監測背景

1.1 云平臺的特點和架構

隨著數據中心業務的發展，傳統數據中心面臨著業務擴展性差、資源利用率低、管理效率低等諸多問題.為了應對傳統數據中心面臨的挑戰并順應技術發展趨勢，業界普遍采用云計算的解決方案.

通過云平臺的虛擬化技術，達到多個數據中心融合、提升企業整體IT效率的目的.并基于此，發揮云計算虛擬化的可靠性、可用性、安全性、開發性、先進性、可擴展性6個特點，提供計算、存儲、網絡、安全、災備、大數據、數據庫和平臺即服務(platform as a service, PaaS)等豐富的云服務，滿足政府、金融、能源、教育、醫療等行業的數據融合與資源共享，支持業務的持續發展.

1.2 云平臺面臨的安全風險

租戶在享受云計算帶來便利性的同時，對其自身的安全性也存在疑慮.如何保障租戶業務和數據的機密性、完整性和可用性成為云計算系統急需解決的課題.

網絡安全等級保護2.0[1-4]規定：“國家網絡安全工作規劃是：一個中心，三重防護，即安全管理中心、安全通信網絡、安全區域邊界、安全計算環境”.[5]一個中心主要包括系統管理、審計管理、安全管理和集中管控4個控制點，其中集中管控是重中之重，主要都是圍繞它來展開.因此，云平臺需要建設安全監測中心，統一監控和管理基礎設施、租戶業務子網、云服務等存在的風險，保護邊界和計算環境的安全.

云安全聯盟(CSA)在《云計算的頂級威脅：深度分析》[6]中指出：云平臺威脅不僅來源于外部攻擊還有VPC內部威脅，如數據破壞、數據丟失、賬戶劫持、不安全的API、拒絕服務、內部人員惡意行為、資源濫用和惡意使用、審計不足、共享技術的漏洞等.需要從脆弱性、技術和業務影響以及威脅檢測等方面控制和預防此類威脅的再次發生.

因此，云安全監測重點關注VPC內部的安全風險，諸如核心資產和應用的防護缺失，內部權限制高點被輕易奪取，網絡安全防護缺乏縱深，邊界突破后導致內部漫游，弱口令、復用口令普遍存在造成系統被破解登錄，已公開漏洞未及時修補成為攻擊突破口等.

1.3 云安全監測的重點和難點

為應對上述風險，業界普遍采用統一安全策略、威脅檢測、縱深防御等安全措施.Gartner在《2019年7大新興的安全和風險管理趨勢》中指出：云平臺安全應從威脅防御向威脅檢測轉變，到2022年50%安全運營中心(security operations center, SOC)應具備事件響應、威脅情報和威脅檢測能力[5,7-8]，而2015年這一比例不到10%.

主流云計算廠商(如Azure、AWS、阿里云、華為云、H3C、浪潮云等)紛紛推出SOC服務增加威脅檢測能力，但普遍基于邊界的威脅檢測，很少涉及云平臺VPC內部的威脅檢測.

攻擊者往往從內部虛擬資源入手，進而滲透到云平臺的業務系統.因此，云安全監測應在邊界安全的基礎上重點監測VPC內部風險.

VPC內部安全監測的難點在于內部流量較大難以檢測、加密流量難以識別、VPC監測可視化能力不足、威脅難以取證4個方面：

1)內部流量較大難以檢測.租戶業務復雜，VPC內東西向流量較大(約為VPC業務網出口流量的10倍)且互訪頻繁，如果在租戶VM上檢測，不僅大量占用CPU、內存等資源，而且無法檢測橫向滲透等攻擊，嚴重影響租戶業務的正常運行.

2)加密流量難以識別.VPC內部的訪問濫用、非法提權、惡意攻擊等違法違規行為隱匿在正常業務系統的加密流量中，難以識別，極大地增加了云平臺的合規風險.

3)VPC監測可視化能力不足.缺乏面向VPC的態勢感知、風險評估、統計報表等.

4)威脅難以取證.由于威脅類型眾多且關系復雜，人工取證非常依賴專家經驗，難以識別威脅的整個攻擊過程并及時作出決策.

2 云安全深度監測方法研究

2.1 VPC安全監測方法

我們深入分析云安全監測在IPDRR[9]各階段工作內容，創新性地提出以大數據、AI、SOAR[10-11]、可視化、自動化技術為核心的2級監測閉環模型，建立云安全縱深監測體系，解決VPC內部監測重點和難點.

1)識別(I)階段：識別VPC資產的漏洞、弱口令、重復口令等脆弱性，評估風險和優先級.

2)防御(P)階段：實時監測和分層保護VPC的核心資產，采取有效的防御措施，增加被入侵的難度.

3)檢測(D)階段：分級檢測VPC內部、VPC之間的威脅，再進行關聯分析，形成完整的攻擊鏈.

4)響應(R)階段：統一進行事件分析，編排取證策略，分級聯動VPC內部和VPC之間的設備、云服務等自動化取證.

5)恢復(R)階段：云平臺采取加固措施，修復VPC之間的設備、云服務的漏洞，保證云環境的安全；租戶利用云服務修復自身的漏洞、弱口令等，保證其業務系統的安全.

云安全縱深監測體系的核心是2級監測閉環，在VPC之間建立威脅檢測、事件分析、策略編排、聯動取證的監測大閉環，在VPC內部建立威脅檢測和聯動取證的監測小閉環，實現大、小閉環分層監測和級聯響應，如圖1所示：

圖1 2級監測閉環模型

在VPC內部，運用AI邊緣檢測技術、加密流量檢測技術識別內部威脅，解決內部流量較大難以檢測、加密流量難以識別的難點.

在VPC之間，采用分層監測與自動化取證技術解決VPC監測可視化能力不足、威脅難以取證的難點.

2級監測閉環模型的特點可以概括為充分運用AI、可視化、自動化的優勢，達到80%檢測規則通過自學習生成，云網安協同聯動，威脅檢測與取證時間(time to repair, TTR)中位數達到分鐘級.

2.2 云安全監測系統架構

根據云安全縱深監測體系和2級監測閉環模型可知，云安全監測系統按照監測中心、VPC內部監測、VPC之間監測3個階段建設.

第1階段：在云平臺建設云安全監測中心，具備大數據存儲和治理、AI引擎、事件分析、風險評估、策略編排等功能，為VPC監測提供能力支撐.

第2階段：建設VPC內部安全監測，具備VPC內部的流量和日志數據采集、AI邊緣檢測、自動化取證等能力.

第3階段：建設VPC之間安全監測，具備VPC之間威脅檢測和自動化取證能力，并與VPC內部監測形成協同聯動.

云安全監測系統分為數據采集、安全分析、態勢展示3個模塊，系統架構如圖2所示：

圖2 云安全監測系統架構

1)數據采集模塊采集資產、日志、漏洞、流量數據，并進行數據治理，與云平臺緊密集合，實現采集無感知、業務無影響.

2)威脅分析模塊檢測威脅并關聯分析，識別滲透、C&C、橫向移動以及數據竊取等常見攻擊，結合威脅情報、知識圖譜對復雜攻擊過程及攻擊目標溯源.

3)態勢展示模塊綜合呈現VPC內部和VPC之間的安全態勢，并對事件進行分析、通報預警、取證等.

2.3 關鍵技術

云安全監測系統中涉及到數據采集、威脅檢測、態勢呈現、閉環響應等眾多大數據和AI技術，根據云安全監測過程中的重點和難點可知，VPC內部AI邊緣檢測、加密流量檢測、VPC可視化監測、自動化取證是在系統實現過程中的關鍵技術：

1)VPC內部AI邊緣檢測

VPC內部多為東西向流量，訪問方式較為復雜，可簡要分為同一個宿主機(host)上VM之間訪問流量和不同host上VM之間訪問流量.以OpenStack平臺為例，平臺采用Open vSwitch虛擬網絡驅動方式，同一個host上VM之間流量不會經過host物理網卡，而是通過Open vSwitch的虛擬交換機連接，不同host上VM之間流量雖然經過host物理網卡，但不直接與核心交換機相連，所以在核心交換機采集VPC內流量的方案不可行.因此，在vSwitch旁部署虛擬探針采集流量成為可行性方案，要求具備可維護性，提供可視化操作界面，按需部署虛擬探針，隨時調整VM流量采集策略.

VPC內東西向流量比較大，系統間互訪頻度高，如果采用在VM上部署Agent引流到云平臺的檢測方案，流量采集時會出現源和目的VM流量重復的情況，導致鏡像流量約為原始流量的2倍，造成VPC出口網絡帶寬3倍壓力，影響租戶業務正常運行，所以Agent引流方案不可行.因此，在VPC內虛擬探針處流量去重，并進行AI邊緣檢測成為可行性方案，要求具備穩定性，虛擬探針消耗host的CPU(峰值)小于10%，消耗VPC業務帶寬(峰值)小于5%.具體方案如圖3所示：

圖3 AI邊緣檢測技術方案

云安全監測系統充分運用AI技術識別VPC內部的高級威脅，在虛擬探針內置AI邊緣檢測引擎對VPC內部流量檢測，將檢測結果(如安全事件、樣本、上下文信息等)上傳至云安全監測系統再進行2次關聯分析.上傳的數據量為原始流量的5%，基本不占用VPC的帶寬資源，不影響租戶業務正常運行.AI邊緣檢測技術原理如圖4所示.

圖4 AI邊緣檢測技術原理

AI邊緣檢測由入侵檢測(IPS)、文件檢測(AV)、邊緣高級威脅檢測(AIE)3部分組成，秒級準確識別已知、變種和未知攻擊，檢測準確率達95%以上：

① 運用有監督AI技術訓練海量樣本生成威脅特征，下發到IPS中，高效識別IP報文中的已知威脅.

② 運用AI模型結合情報訓練海量文件生成文件簽名，下發到AV中，識別IP報文中的惡意文件.

③ 運用無監督AI技術結合專家經驗生成無監督的AI檢測模型，下發到AIE中，識別流量中的未知威脅.

2)加密流量檢測

隨著社會IT化進程不斷提升，租戶對信息隱私保護越來越重視，VPC內業務系統訪問的流量普遍進行加密處理.同時，惡意人員和黑客的違法違規行為也隱匿其中，難以識別.

惡意加密流量檢測一直是業界痛點，目前主流的檢測手段分為解密檢測、特征檢測2種.解密檢測技術一般用在網關等設備，這種檢測技術對資源和性能消耗非常大，并違反了流量加密的初衷，造成流量吞吐慢、網絡延遲、隱私安全等問題，成本也非常高，不能用在大流量的檢測場景；特征檢測技術無需解密，通過對流量的分類和特征的學習識別惡意流量，非常適合VPC內部的檢測場景.

云安全監測系統采用ECA(encrypted communication analytics)加密流量檢測技術，針對加密流量之前的握手信息、加密流量的統計信息以及加密流量的背景信息，利用機器學習算法訓練模型，對正常加密流量和惡意加密流量進行分類和識別，發現隱藏在加密流量中的惡意通信.ECA最核心的功能是利用加密協議(TLS協議)的C&C流量檢測，原理如圖5所示：

圖5 加密流量檢測技術原理

3)VPC可視化監測

VPC可視化監測是云安全監測的核心能力之一，幫助用戶對VPC的安全態勢一目了然，實時監控風險和事件，并有效作出決策.云安全監測系統運用可視化技術提供監測大屏和自定義統計報表功能，對VPC內部和VPC之間的態勢、風險、事件等分層實時監測.

VPC之間主要監測整體風險和趨勢以及每個VPC風險，實時關注VPC之間的安全事件、威脅源、受害者、攻擊鏈路，點擊某個VPC可以下鉆到內部.

VPC內部主要監測內部的風險及趨勢以及資產風險，實時關注VPC內部的安全事件、威脅源、受害者、攻擊鏈路.

4)自動化取證

隨著網絡安全攻防對抗的日趨激烈，網絡攻擊具備高復雜和高隱蔽性，事件取證流程消耗大量的人力資源，嚴重降低了運維效率.

自動化取證運用SOAR技術整合不同的數據集和安全設備，實現威脅的取證、溯源自動化閉環.在事件分析過程中，通過圖形化的編排界面和靈活的編排引擎編寫劇本(Playbooks)，形成豐富的案例集；在系統發現威脅時，自動匹配相似的案例，與HSS、微分段、VFW、WAF、邊界FW、DDoS等設備，云服務聯動，執行指定的取證動作.

以惡意C&C檢測取證場景為例，系統根據預置的Playbooks對接云端智能中心查詢IP情報，對接終端EDR查詢進程，對接沙箱查詢文件檢測結果，根據這些取證信息判斷事件真偽.

3 云安全監測應用實踐

3.1 典型應用部署

以某云計算客戶為例，云安全監測系統部署在云平臺管理區，虛擬探針部署在租戶資源池內host上，采集VPC內部和VPC之間的流量，聯動云服務自動化取證.云安全監測系統邏輯部署方案如圖6所示.

圖6 云安全監測系統邏輯部署

3.2 云安全監測實踐

某客戶部署云安全監測系統后，經監測發現，租戶已停用的業務系統違規未及時下線，攻擊者利用VM上存在的漏洞和弱口令登錄云桌面，再滲透到租戶業務系統，在VPC內部發起C&C、遠程代碼執行等攻擊.監測過程如下：

1)VPC內部流量采集

運維人員使用云ECS服務在host上部署虛擬探針，按需采集VPC內部的VM流量.經驗證，VPC內部流量成功采集，并通過云專線上傳至云安全監測系統，基本不占用VPC業務網絡帶寬，不影響租戶業務的正常運行.

2)VPC內部威脅檢測

在VPC內部，運用AI邊緣檢測技術對VM流量實時檢測，成功發現惡意加密C&C事件，并上報至云安全監測系統.經驗證，VPC內部典型威脅事件秒級檢測，準確率達95%以上.

3)VPC之間的威脅檢測

在VPC之間對互訪流量實時檢測，成功發現ThinkPhP遠程代碼執行攻擊事件，并上報至云安全監測系統.經驗證，VPC之間典型威脅事件秒級檢測，并與VPC內部威脅事件關聯分析，準確率達95%以上.

4)事件分析

運維人員收到告警提醒后，登錄到云安全監測系統，在安全運營界面查看事件信息，并根據取證結果，對事件進行聚合分析、關聯分析等.系統根據預置的取證Playbooks，自動化聯動威脅情報、云服務、安全設備獲取事件的證據，輔助運維人員分析.經驗證，事件分析耗時均值由4h縮減至30min，并大幅降低運維人員的安全分析門檻.

5)實踐效果展示

云安全監測系統提供態勢大屏實時監測VPC的安全態勢和風險變化趨勢，幫助安全管理者有效決策.經驗證，安全風險和事件多維度統計、秒級展示，大幅降低管理者的決策時間.

4 總結與展望

隨著云計算的發展和租戶業務的不斷增長，VPC內部的違法違規、內部攻擊等威脅嚴重影響云平臺的安全合規，急需將VPC內部的安全監測工作納入云平臺管理的核心工作之中.

本文推薦2級監測閉環的創新性方案，運用AI邊緣檢測、加密流量檢測、可視化監測、自動化取證等技術成果，解決云平臺當前面臨的VPC安全監測的重點和難點，具備較高的研究和推廣價值.

最后，通過云安全監測中心的建設，滿足安全合規要求，統籌資源、技術、人員，監控全網安全態勢和趨勢，掌握攻擊軌跡和弱點分布，實施主動的縱深監測策略，幫助客戶完成云安全監測工作，共筑安全可信的云計算環境.