信息化觀察網(wǎng)

本文來(lái)自安全牛。

云原生理念經(jīng)過(guò)幾年的落地實(shí)踐已經(jīng)得到企業(yè)市場(chǎng)的廣泛認(rèn)可，成為企業(yè)數(shù)字化轉(zhuǎn)型的必選項(xiàng)?；谠圃夹g(shù)架構(gòu)開(kāi)發(fā)的軟件產(chǎn)品和工具，也開(kāi)始逐漸應(yīng)用在企業(yè)的日常工作當(dāng)中。隨著云原生時(shí)代的正式到來(lái)，以CWPP、CSPM、CIEM、CNAPP為代表的主流云安全技術(shù)又將會(huì)如何發(fā)展與演進(jìn)呢？

1

CWPP：云工作負(fù)載保護(hù)平臺(tái)

2010年，Gartner正式提出“云工作負(fù)載保護(hù)平臺(tái)”（Cloud Workload Protection Platform，CWPP）概念，旨在為虛擬機(jī)和容器的早期采用提供保護(hù)。根據(jù)Gartner的定義，CWPP是一種“以工作負(fù)載為中心的安全解決方案，可滿足現(xiàn)代混合數(shù)據(jù)中心架構(gòu)中服務(wù)器工作負(fù)載保護(hù)的獨(dú)特要求，這些架構(gòu)涵蓋本地、物理和虛擬機(jī)（VM）以及多個(gè)公共云基礎(chǔ)架構(gòu)即服務(wù)（IaaS）環(huán)境。”CWPP的部署也將支持基于容器的應(yīng)用程序架構(gòu)。

CWPP技術(shù)的目的是保護(hù)公共云中的服務(wù)器工作負(fù)載。CWPP解決方案可發(fā)現(xiàn)組織基于云的部署和本地基礎(chǔ)設(shè)施中存在的工作負(fù)載，提供集中式解決方案以擴(kuò)展對(duì)云資源的可見(jiàn)性，并保護(hù)云工作負(fù)載。

CWPP的主要功能

保護(hù)云和本地工作負(fù)載：CWPP能夠發(fā)現(xiàn)組織基于云的部署和本地基礎(chǔ)設(shè)施中存在的工作負(fù)載，并提供對(duì)云資源和安全工作負(fù)載的可見(jiàn)性。

精細(xì)、詳盡的可見(jiàn)性：CWPP非常擅長(zhǎng)收集有關(guān)漏洞、敏感信息、惡意軟件掃描、資產(chǎn)版本等的詳細(xì)信息，這在擴(kuò)展工作負(fù)載時(shí)會(huì)很有幫助。

運(yùn)行時(shí)（Runtime）保護(hù)：CWPP還可以提供文件完整性監(jiān)控（FIM）、惡意軟件掃描、日志檢查、應(yīng)用程序控制和允許列出保護(hù)運(yùn)行時(shí)所需的功能。

基于身份的隔離：CWPP可以提供基于應(yīng)用程序/工作負(fù)載身份執(zhí)行策略的技術(shù)。

工作負(fù)載的合規(guī)性：CWPP可以將發(fā)現(xiàn)的風(fēng)險(xiǎn)分類到選定的合規(guī)性框架中，以便輕松、持續(xù)地報(bào)告和審計(jì)。

CWPP面臨的挑戰(zhàn)

需要維護(hù)一個(gè)單獨(dú)的代理：CWPP需要為所保護(hù)的每項(xiàng)資產(chǎn)安裝和維護(hù)一個(gè)單獨(dú)的代理，這會(huì)導(dǎo)致部署時(shí)間變慢、持續(xù)維護(hù)成本增加，甚至影響資產(chǎn)性能。

無(wú)法深入了解云控制平面：CWPP僅涵蓋工作負(fù)載，它們不提供對(duì)控制平面（control plane）的任何見(jiàn)解。為此，用戶需要使用CSPM解決方案。

難以區(qū)分告警優(yōu)先級(jí)：CWPP缺乏了解安全問(wèn)題全部含義所需的可見(jiàn)性和上下文信息。如果沒(méi)有對(duì)云基礎(chǔ)設(shè)施的可見(jiàn)性，單獨(dú)的CWPP無(wú)法看到整個(gè)云資產(chǎn)，也無(wú)法根據(jù)環(huán)境上下文確定警報(bào)的優(yōu)先級(jí)。

資產(chǎn)覆蓋不夠：由于不太可能在任何地方部署代理，而且即便是部署了代理，也不太可能與每個(gè)操作系統(tǒng)兼容，且代理的維護(hù)成本很高，這就導(dǎo)致CWPP不可避免地會(huì)存在盲點(diǎn)。Orca Security研究表明，云主機(jī)安全解決方案平均覆蓋的資產(chǎn)不到50%。此外，基于代理的CWPP無(wú)法查看停止、暫?；蚩臻e的機(jī)器，從而使它們很容易受到攻擊。

缺乏橫向移動(dòng)風(fēng)險(xiǎn)檢測(cè)：攻擊者經(jīng)常會(huì)嘗試在云環(huán)境中獲得初始立足點(diǎn)，然后橫向移動(dòng)到實(shí)際目標(biāo)。單獨(dú)的CWPP無(wú)法識(shí)別哪些密鑰可以為攻擊者提供對(duì)其他資產(chǎn)的訪問(wèn)權(quán)限，從而暴露了一個(gè)重要的攻擊向量。

總體來(lái)看，CWPP技術(shù)可確保公共云工作負(fù)載的安全，但并未涵蓋所有云安全要求。雖然CWPP解決方案提供了對(duì)工作負(fù)載內(nèi)部發(fā)生事情的詳細(xì)可見(jiàn)性，但它缺乏對(duì)工作負(fù)載之間連接及其駐留基礎(chǔ)架構(gòu)配置的上下文信息和可見(jiàn)性。

2

CSPM：云安全平臺(tái)管理

2014年左右，當(dāng)AWS、Microsoft Azure和Google Cloud等公有云服務(wù)獲得普及時(shí)，Gartner又創(chuàng)造了一個(gè)新的云安全管理定義——“云安全平臺(tái)管理”（Cloud Security Platform Management，CSPM），幫助企業(yè)組織維護(hù)云服務(wù)的正確配置，保障其在公共云上業(yè)務(wù)的合規(guī)。CSPM解決方案的一個(gè)重要目標(biāo)是持續(xù)監(jiān)控云基礎(chǔ)設(shè)施，以發(fā)現(xiàn)安全策略執(zhí)行方面的漏洞。

CSPM可以為組織提供對(duì)其整個(gè)云基礎(chǔ)架構(gòu)的集中可見(jiàn)性和風(fēng)險(xiǎn)評(píng)估，它可以自動(dòng)識(shí)別跨云基礎(chǔ)架構(gòu)的風(fēng)險(xiǎn)，并在某些情況下進(jìn)行補(bǔ)救。云基礎(chǔ)設(shè)施的監(jiān)控可以通過(guò)定期查詢來(lái)完成，這些查詢會(huì)返回一系列關(guān)于安全策略或最佳實(shí)踐違規(guī)的警報(bào)。

CSPM解決方案涵蓋云環(huán)境，并提醒員工注意可能使云環(huán)境面臨安全風(fēng)險(xiǎn)或運(yùn)營(yíng)效率低下的錯(cuò)誤配置。CSPM還可以通過(guò)這種方式，幫助組織節(jié)省資金、識(shí)別重要的安全風(fēng)險(xiǎn)以及對(duì)團(tuán)隊(duì)進(jìn)行培訓(xùn)。

CSPM的主要功能

安全策略實(shí)施：CSPM監(jiān)控錯(cuò)誤配置問(wèn)題及合規(guī)風(fēng)險(xiǎn)，并在云環(huán)境中實(shí)施安全策略。

多云配置管理：CSPM通過(guò)對(duì)云配置的可見(jiàn)性，實(shí)現(xiàn)對(duì)多個(gè)云服務(wù)進(jìn)行的集中管控。

審計(jì)云控制平面：CSPM通過(guò)API連接，允許即時(shí)訪問(wèn)和審計(jì)跨多云環(huán)境的整個(gè)控制面配置。

為云基礎(chǔ)架構(gòu)提供合規(guī)性報(bào)告：CSPM不斷審查云環(huán)境并將正確和錯(cuò)誤配置的結(jié)果分組到合規(guī)性框架中，幫助組織審核其云基礎(chǔ)架構(gòu)的正確管理。

與第三方威脅情報(bào)集成：大多數(shù)CSPM能夠集成原生云服務(wù)提供商的威脅工具，這些工具可以幫助組織進(jìn)一步識(shí)別風(fēng)險(xiǎn)并確定優(yōu)先級(jí)和錯(cuò)誤配置風(fēng)險(xiǎn)。

CSPM面臨的挑戰(zhàn)

無(wú)法深入了解工作負(fù)載：CSPM解決方案無(wú)法深入研究工作負(fù)載。例如，如果用戶有易受攻擊的Web服務(wù)器或受感染的工作負(fù)載，它們不會(huì)提供警報(bào)。為此，用戶還需要CWPP或CNAPP解決方案。

缺乏橫向移動(dòng)風(fēng)險(xiǎn)檢測(cè)：攻擊者經(jīng)常會(huì)嘗試在云環(huán)境中獲得初始立足點(diǎn)，然后橫向移動(dòng)實(shí)際目標(biāo)。CSPM無(wú)法識(shí)別哪些密鑰可以為攻擊者提供對(duì)其他資產(chǎn)的訪問(wèn)權(quán)限，從而暴露或無(wú)法識(shí)別重要的攻擊向量。

總體來(lái)看，CSPM解決方案可確保正確配置公共云服務(wù)和多云基礎(chǔ)架構(gòu)。CSPM解決方案非常適合為審計(jì)提供云治理和云合規(guī)性服務(wù)，但是，它們?nèi)狈?duì)云基礎(chǔ)架構(gòu)之外風(fēng)險(xiǎn)和威脅的深度可見(jiàn)性，從而在覆蓋范圍上留下空白。

3

CIEM：云基礎(chǔ)設(shè)施授權(quán)管理

CIEM，全稱Cloud Infrastructure Entitlements Management，即云基礎(chǔ)設(shè)施授權(quán)管理，可有效監(jiān)控識(shí)別云賬戶行為中的異常情況。企業(yè)IT和安全團(tuán)隊(duì)可以使用CIEM解決方案來(lái)管理公共云和多云環(huán)境中的身份和訪問(wèn)權(quán)限。CIEM解決方案將“最小權(quán)限”原則應(yīng)用于云基礎(chǔ)設(shè)施和服務(wù)，幫助組織降低由于權(quán)限混亂而導(dǎo)致的數(shù)據(jù)泄露風(fēng)險(xiǎn)。

企業(yè)的云環(huán)境需要向包括員工、業(yè)務(wù)系統(tǒng)和終端設(shè)備授予數(shù)量巨大的訪問(wèn)權(quán)限，其中許多可能包括未使用的權(quán)限、過(guò)期賬戶以及默認(rèn)和錯(cuò)誤配置的權(quán)限。如果不加以檢查，這些權(quán)限將成為攻擊者滲透云部署的簡(jiǎn)便途徑。CIEM解決方案允許組織的安全團(tuán)隊(duì)管理哪些用戶（業(yè)務(wù)人員和應(yīng)用系統(tǒng)）可以訪問(wèn)哪些資源等。

CIEM的主要功能

身份和訪問(wèn)管理（IAM）：CIEM能夠管理對(duì)云資源擁有過(guò)多權(quán)限的特權(quán)身份，并在云環(huán)境中實(shí)施最低權(quán)限。

審核多云訪問(wèn)權(quán)限：CIEM持續(xù)監(jiān)控和審查跨多個(gè)云服務(wù)提供商的所有訪問(wèn)權(quán)限。

與IDP（身份提供商）解決方案集成：CIEM可以與身份提供商密切合作，將覆蓋范圍從系統(tǒng)和云服務(wù)擴(kuò)展到所有擁有托管數(shù)字身份的人。

授權(quán)風(fēng)險(xiǎn)和合規(guī)性報(bào)告：CIEM提供對(duì)有風(fēng)險(xiǎn)或不合規(guī)云授權(quán)的可見(jiàn)性，從而確定身份可以執(zhí)行哪些任務(wù)以及可以跨組織的云基礎(chǔ)架構(gòu)訪問(wèn)哪些資源。

提供授權(quán)建議：CIEM還能夠了解整個(gè)云身份環(huán)境，為策略和補(bǔ)救措施提供最佳實(shí)踐建議，以減少訪問(wèn)，實(shí)現(xiàn)最低權(quán)限。

最小特權(quán)權(quán)限分析：CIEM不僅啟用最小特權(quán)權(quán)限，而且還確保權(quán)限不會(huì)過(guò)度管理。

CIEM面臨的挑戰(zhàn)

不完整的身份和訪問(wèn)管理（IAM）：CIEM無(wú)法識(shí)別“另類的”身份和訪問(wèn)管理（IAM）機(jī)制，例如磁盤上的SSH密鑰和AWS密鑰，以及橫向移動(dòng)風(fēng)險(xiǎn)。

完整上下文和可見(jiàn)性方面的缺口：由于CIEM解決方案主要專注于保護(hù)云的“新邊界”，即身份訪問(wèn)管理，因此一般缺乏對(duì)CSPM提供的控制面以及實(shí)際工作負(fù)載中運(yùn)行內(nèi)容的可見(jiàn)性。

總的來(lái)看，CIEM解決方案可以確保身份和訪問(wèn)管理（IAM）遵循對(duì)云基礎(chǔ)設(shè)施和服務(wù)的最低權(quán)限訪問(wèn)原則，因?yàn)樗墓δ苤饕性贗AM、授權(quán)風(fēng)險(xiǎn)和合規(guī)性方面。不過(guò)，盡管IAM被認(rèn)為是“云計(jì)算的新邊界”，但I(xiàn)AM和CIEM解決方案仍然缺乏對(duì)云基礎(chǔ)設(shè)施和工作負(fù)載的全面安全覆蓋。

4

CNAPP：云原生應(yīng)用保護(hù)平臺(tái)

CNAPP是Gartner新提出的一個(gè)云安全技術(shù)概念，代表“云原生應(yīng)用程序保護(hù)平臺(tái)”（Cloud-Native Application Protection Platform）。作為一種創(chuàng)新的云安全技術(shù)，CNAPP目前受到了廣泛關(guān)注，因?yàn)樗鼘⒍喾N安全功能以原生化方式融合到統(tǒng)一的云安全平臺(tái)中。

CNAPP可以保護(hù)從系統(tǒng)代碼到業(yè)務(wù)開(kāi)展的整個(gè)應(yīng)用程序開(kāi)發(fā)生命周期，未來(lái)將在很大程度替代傳統(tǒng)防護(hù)模式的云安全狀態(tài)管理（CSPM）、云工作負(fù)載保護(hù)平臺(tái)（CWPP）和云基礎(chǔ)設(shè)施授權(quán)管理（CIEM）等云安全技術(shù)。

正確的CNAPP解決方案并非孤立的視圖，而是提供對(duì)云資產(chǎn)的全面覆蓋和可見(jiàn)性，并且可以檢測(cè)整個(gè)技術(shù)堆棧的風(fēng)險(xiǎn)，包括云配置錯(cuò)誤、不安全的工作負(fù)載和管理不善的身份訪問(wèn)。

此外，CNAPP還包含“左移”功能，以便在開(kāi)發(fā)生命周期的早期階段識(shí)別風(fēng)險(xiǎn)。通過(guò)結(jié)合漏洞、上下文和關(guān)聯(lián)，一些CNAPP能夠執(zhí)行云攻擊路徑分析，識(shí)別看似不相關(guān)的“低危”風(fēng)險(xiǎn)如何組合以創(chuàng)建危險(xiǎn)的攻擊向量。

CNAPP的主要能力

管理錯(cuò)誤配置風(fēng)險(xiǎn)：減少云原生應(yīng)用程序的錯(cuò)誤配置以及安全管理不善的機(jī)會(huì)。

整合安全投資：減少工具和供應(yīng)商的數(shù)量。

簡(jiǎn)化治理和合規(guī)性：降低與創(chuàng)建安全且合規(guī)云原生應(yīng)用程序的復(fù)雜性和成本。

優(yōu)先處理關(guān)鍵警報(bào)：允許安全部門根據(jù)關(guān)系（安全漏洞、錯(cuò)誤配置、權(quán)限、暴露的秘密）了解攻擊路徑。

提高DevSecOps可見(jiàn)性：通過(guò)雙向連接（Bi-directionally link）開(kāi)發(fā)和運(yùn)營(yíng)可見(jiàn)性以及對(duì)風(fēng)險(xiǎn)分析的洞察力，改善企業(yè)整體安全狀況。

CNAPP面臨的挑戰(zhàn)

重疊的能力：一個(gè)組織可能有他們無(wú)法刪除的遺留云安全系統(tǒng)。隨著時(shí)間的推移，安全部門負(fù)責(zé)人可以通過(guò)更新云戰(zhàn)略并在合同到期時(shí)移除冗余技術(shù)來(lái)消除這些障礙。

總體而言，CNAPP在許多方面都具有優(yōu)勢(shì)，其主要優(yōu)勢(shì)在于提高了對(duì)云的可見(jiàn)性。Gartner在《云原生應(yīng)用程序保護(hù)平臺(tái)創(chuàng)新洞察報(bào)告》中指出，“CNAPP方法的最大好處是更好地了解和控制云原生應(yīng)用程序風(fēng)險(xiǎn)。”

云原生安全性的發(fā)展，為組織在不犧牲安全性和合規(guī)性的情況下加速增長(zhǎng)和創(chuàng)造收入開(kāi)辟了新機(jī)遇。與其部署、分析和關(guān)聯(lián)多點(diǎn)解決方案，不如節(jié)省時(shí)間深入了解風(fēng)險(xiǎn)和攻擊路徑，而這只有通過(guò)集中式CNAPP解決方案才有可能實(shí)現(xiàn)。