解读RSAC 2022 | 关于云平台的四点新思想，你了解几个？

---

山石网科为你解读RSAC 2022

第一期：云平台的新思想/方法

今年的RSA 大会各安全厂商（如PaloAlto、Fortinet、Cisco、VMware、Google等）都在大量的宣传ZTNA(Zero Trust Network Access) 和SASE/SSE（Secure Access Service Edge）的概念及相关解决方案，较往年相比较少厂商关注云安全，但纵观RSA大会各厂商及企业关于云平台的想法、应对策略及解决的方法，个人总结了这次RSA大会中提到的四点新的思想或方法：

• 云平台中间件安全
• 云服务合规
• 云安全计算的方法
• No-code and Low-code（无代码和少代码）

云平台中间件安全

云平台的部署与运维的过程中，无论是公有云还是私有云都不可避免的使用到开源软件作为云平台运维及管理的公共组件，这些公共组件安装在云平台的各节点中（Node），对于用户或租户是透明无感知的，租户也无权限查看或修改它们。但它们往往具备超级管理员的权限（Root Privilege），可以读取所有租户的memory、code、data等信息，当这些超级权限的公共中间件存在安全问题的时候，其危害巨大。

当前的云安全责任模型如下图所示，无论是云服务提供商还是云服务用户都没有负责中间件的安全，攻击者利用这块薄弱地带渗入云平台中完成攻击的目的。

去年发生的广为人知的“OMIGOD”攻击就是典型的例子，OMI（Open Management Infrastructure）是一个非常流行的开源的管理工具，Azure云平台提供的大量云服务平台都在使用它，OMI存在一个漏洞，攻击者可以通过构造特别的请求而跳过认证的阶段，从而获得Root权限达到提权的目的。
从这个问题可以看到，用户有安全面的暴露但又不能感知，该类问题有如下建议：

• 用户

-关注云平台使用的中间件

-跟踪中间件的漏洞

• 云服务供应商

-共享更多使用的中间件信息

-跟踪CVEs的发布及及时解决

-提供客户详细的mitigation（缓解或解决）的引到

云服务合规

云服务合规是一个经常在云安全中提到的问题，但大多都是云平台自己内部的安全组件完成争对平台支持的一些合规标准的要求（如医疗的HIPAA）的检查，争对某些大企业已经大规模部署和使用云服务，如何完成满足企业需求的特别合规检查呢？

SAP公司提出了一种对云服务合规检查的解决方案模型：

• Policy->Code

企业不能只是制定编程规范，安全规范，配置规范等规则来让员工自己遵守，而是需要将文字的规则定义转为Code，通过自动化的标准来检查

• Scaling Up

-Listing Accounts（列出所有云账号）

-Scanning Accounts （检查所有云账号的能力）

-Put it in Kubernetes (在云计算中完成任务并生成检查报告)

• Reporting

根据云服务合规检查的结果及一些信息决定那些账号合规，那些账号存在那些问题并将报告通知到相关人员。

云安全计算的方法

这个主题比较新颖，主要是针对当前云服务存在的问题，在云端发布应用时需要提供应用的image，但image是不加密的，可以直接解压并查看image的文件系统中存在的所有可执行文件以及使用的所有library及lib的版本，这些信息很容易被攻击者利用，得到应用使用的lib版本就知道存在什么漏洞，对核心功能通过逆向工程来找到代码中存在的漏洞来进行精准攻击，为了解决这类问题，可通过下面的方法来解决。

• Secure Enclaves （安全领域）

-应用

Isolation（隔离）

Runtime memory-encryption（运行态内存加密）

-虚机

VM级别的data、memory隔离及保护

当前Intel SGX提供了硬件级别的内存数据加解密，这使得应用的code和data隔离，而Intel TDX, Arm Realms和AMD SEV都提供VMs的隔离。

• 云服务供应商已经ready

Azure、Google Cloud、AWS都宣布了Confidential Computing的支持，也就是从硬件及系统支撑的角度已经ready，而且在RSA大会的Google Cloud宣传册上也在宣传Confidential Computing。

• 应用如何转向Confidential Computing

“Edgeless Systems” 专注于开源代码，开源社区驱动的模式，提供了一套Confidential Computing（安全计算）的方案，此方案不只是云安全计算，但可运用在云安全计算。

Ego SDK。修改Go compiler并使用SGX-specific tooling编译生成特别的可执行文件，文件在执行的过程中存储在memory的data和code都是加密的，CPU在运行时读取、写入memory都会做解密、加密操作，这些由CPU硬件支持。

MarbleRun。安全部署，将加密的可执行文件提交到MarbleRun server，通过MarbleRun将部署应用到kubernetes中，并对应用控制管理。

EdgelessDB。它是一款开源的MySQL兼容的Confidential Computing软件，整个MySQL数据库操作过程中数据加密处理。

该技术比较新，在主机及VM安全计算领域相对成熟，但在云安全计算及部署方面并没有成熟的产品及产业链，处于初期研究阶段。

No-code and Low-code（无代码和少代码）

依据Gartner的分析，到2024年65%的应用开发将会是“Low-code” 模式。

Gartner定义一个“Low-code” 应用平台是支持快速的应用开发，通过声明式的、接近人类语言的模型驱动的高级语言实现一步部署、执行与管理的平台。这样“Low-code” 应用平台不仅为用户提供了及其简化的开发过程，同时可以将底层的安全build-in进去，这样可以将用户的焦点放在企业的业务上而不是安全问题。

当前市场已经存在大量的“Low-code” 应用平台（如amazon的“Honeycode” ），市场不容小觑，但它们也面临着一些挑战：

• 开发文化的改变
• 学习Low-code应用平台需要时间
• 不同平台特点不同，企业可能需要多平台
• 平台不成熟，可学习的资源与社区贫乏
• 产品定价极其困难

以上四点是本人对RSA大会关于云安全、云应用及云计算等看到的一些新颖内容的总结，当然大会还有很多其它的内容如Service Mesh、CWPP等，这些前几年就比较热的议题，大家可以在网络上找到很多相关内容。
References:
https://venturebeat.com/2021/02/14/no-code-low-code-why-you-should-be-paying-attention/
https://github.com/microsoft/omi
https://github.com/edgelesssys/marblerun
https://github.com/wiz-sec/cloud-middleware-dataset
https://www.edgeless.systems/products/edgelessdb/