RSAC 2020 | 云安全观察

90_

    RSAC 2020如期在旧金山举办，还是2月，还是在Moscone Center，只是没有了诸多中国同行的参加，也没有了百度游艇。很可惜我没有亲身参加本届RSAC，（也不知道市场街梅西百货外面的市政有没有弄好，这也似乎成为一个旧金山新景点了，囧），因而文中不会出现身临其境的感受，所以更多的谈的是从会议session中观看和阅读的感觉。

    时间有限，还没来得及看所有的胶片，不过从云安全高峰论坛（CSA Summit）、云安全和虚拟化（Cloud Security & Virtualization）和DevSecOps 和应用安全（DevSecOps & Application Security）几个Track的内容中，我有以下几个观点，仅供探讨。


观点1 ：云计算已经成为了互联一切的基础设施，云安全已经成为了纯安全问题
    第一天早上CSA高峰论坛[1]、第一天下午创新沙盒，第二天上午Keynote乎已经成为RSA的近几年标配，也是三大看点。CSA高峰论坛作为先发阵容中的先发队员，其影响力可见一斑。不过很有意思的是，每年CSA的影响力是越来越大，各种标准、工作组和培训，应该都让它挣得钵满盆满，覆盖范围也从最初的云计算安全扩展到物联网安全、软件定义边界等交叉领域，可见，云计算已经成为互联一切的基础设施，云安全联盟的触角已然不满足狭义的公有云和私有云计算安全领域了。


可以说，CSA和安全厂商和已经成为了合作伙伴的关系，在共同的研究点和产品方向互为背书，互为推广。例如，2019年的高峰论坛上几家做SDWAN安全的厂商在大谈软件定义边界，也为它在2013年提出的SDP捧场。今年OneTrust的VP Kevin Kiley在讲供应链安全，其中就是对供应链中的第三方厂商的安全进行评估，也就是Gartner近两年提的IRM（Integrated Risk Management）中的VRM（Vendor Risk Management），为什么OneTrust会在云安全的会场谈这个话题呢？因为云计算一个很大的挑战是用户对云服务商的信任，CSA在前几年提出了Consensus Assessments Initiative (CAI)[2]，即对用户让云服务商就Cloud Controls Matrix (CCM)标准填写评估，从而得到第三方云基础设施的可靠度。显然OneTrust的方案也是契合该方向的。可以说云安全联盟在商业运作上非常成功，通过与厂商的合作，与客户的培训，形成了云安全领域很好的生态体系，共同推进云计算安全的发展。


另一方面，云计算既然成为了普适的基础设施，提供了计算、存储、网络、函数等服务，那么客户就会将云计算作为一种内生资源，嵌入在他的基础设施中，最终形成统一的IT架构，近两年多云（Multi-Cloud）、混合云（Hybrid Cloud）、SDWAN就比较热，在这样的IT环境中提供安全产品、安全服务，那前几年的云安全产品或方案必然要融入传统环境，提供统一的功能。可以预见，在未来几年，安全厂商的安全方案不会显示地带有“云安全”的定语，因为这就是默认选项，即云安全已经成为纯安全问题。一个证据是今年CSA高峰论坛的话题则覆盖了网络检测响应（NDR）、供应链安全、数据泄露响应、CISO视角等各安全细分领域的话题，但上午的session标题中都没有出现cloud一词。当然细看内容，其实云安全的理念已经融入其中，甚至可以说，大家无论谈安全理念，或是安全技术、安全方案，都是面向云计算环境。例如Extrahop Networks的COO Raja Mukerji在谈检测响应，主张将NDR、EDR、SIEM组合，构建面向公有云的检测响应机制，实现云原生的安全。


当然，虽然传统安全问题会发生在云计算场景中，但云环境也有其独特的地方，所以在云安全和虚拟化（Cloud Security & Virtualization）session中，如子域名接管[3]的原因在于一些子域名是租用的，管理不当容易被恶意租户发现并接管；又如好几个胶片谈到暴露面检查，就是Gartner说的CSPM（Cloud Security Posture Management），本质来看就是传统的服务（端口）暴露和弱口令（正如现在很多互联网上脆弱的物联网设备一样），转变成了公有云上的存储资源暴露和弱口令。所以这些本质来说是传统安全问题，但公有云计算环境下有新的特点，值的我们重视。


观点2： 云安全更加实战，已从纯合规性要求转向攻防要求
从前几年AWS在各个大会上有独立session做AWS安全入门培训，彼时大部分的客户对公有云还不太熟悉，一部分是因为公有云服务太多、配置太复杂了，另一部分原因是，对于攻击者而言也比较新，相对而言，IaaS和PaaS的云安全还是以合规性要求居多。


而如今，云计算对于攻击者而言，开放API、灵活的资源编排，俨然成为了另一个维度好用的攻击资源；另外，云用户错误配置，也给觊觎云上敏感数据的攻击者可乘之机。所以无论是数据面安全CWPP（Cloud Workload Protection Platform），还是管理面安全CSPM，各类云安全厂商也兴起，从本届RSAC云安全session中的内容来看，跟往届相比更加实战。


例如前面提到的子域名接管攻击，在两个胶片[3,4]中提到，其中[3]是星巴克安全团队作为受害者出来讲，更令人信服。而[4]则更全，介绍了十种面向云平台的攻击链，其中侦查阶段大部分是CSPM关注的暴露token、bucket等，另一部分则是恶意内部攻击者，即前面提的供应链覆盖的内容。


当然只有用户和安全厂商显然不全，session中还有一个是来自AWS的Ben Potter，职位是the security lead for Well-Architected,属于架构师，介绍了AWS的架构（Well-Architected）中的安全设计，可以看出，AWS的安全体系已经覆盖了事前管理、准备，事中检测和响应，事后恢复的闭环，其中还提到使用了金丝雀账户，部署了一些诱饵，这说明云厂商的安全团队已经不止关注传统的清理（hygiene）和被动防护的工作，也开始做一些主动防御的工作了。


总体而言，检测响应已经从传统企业环境转向云计算环境，如[5,6]都介绍了云服务商和用户如何做检测响应的经验，[6]则是介绍了在线交易的领域如何实现身份和访问控制（SSO、MFA，RBAC），数据安全（加密、密钥管理），应用安全（API安全，session管理），日志和监控（分析，日志集中），事件响应（告警、IR剧本），在云计算环境中必须要引入自动化和xDR才能满足规模化的要求。


作为防守方，一家小公司IMG Security的咨询师，[9]介绍了云环境下的威胁狩猎，案例非常具体，涉及到渗透测试和事件响应


观点3：云原生进入主流，从只谈容器安全、Kubernetes安全到云原生安全，代码、应用
在2019年的RSAC的早期厂商展览，已经有一两家做Kubernetes和容器安全了，而今年的云安全和DevSecOps session中，有两篇Kubernetes攻防的胶片，还有一篇介绍云原生安全和Serverless安全，说明这话题已经被主流观众所关注，而且关注点不断向上，从容器到编排，再到无服务和云原生安全。


例如，SANS的培训师在[7]hack了AWS的lamda函数，通过反向代理获得无服务的操作系统细节，见下图。