每周都会有一些新闻,总有少数运维人员会因为各种原因将客户敏感信息的数据库暴露给没有安全配置的存储容器。有些情况很严重,例如去年11月,超过1000万份包含旅行数据的文档暴露在配置不当的AWSS3存储桶中。同样的事情还在发生:就在5月初,微软用户错误配置的存储容器在Azure上被曝光。在最近对全球1,400家CSO进行的Proofpoint调查中,受损的云帐户是第二大网络威胁——三分之一的受访者表达了这一担忧。在Gartner的2019年报告中,有一句话总是被引用:“几乎所有针对云服务的成功攻击都是由于用户的错误配置和失误造成的。”CheckPoint的研究也表明了相同点:在2020年和2019年,他们发现受访者提到的威胁中有三分之二是云平台配置错误。Gartner还预测,到2023年,至少99%的云安全故障将由客户自己负责。在Gartner调查的企业中,近一半的组织由于自身失误将数据、API或网络分区暴露在公共网络中。例如,这个链接有一些公共存储容器在过去曾被破坏——但这个已有三年历史的列表早已过时了现代变化。这些无意的错误配置引发了一些新的重要问题。过去,许多安全产品专注于将坏人拒之门外,将外部人员和恶意内部人员拒之门外。当云架构只是企业运营的一小部分时,这种方法很有效,但现在我们需要能够发现并修复无意错误的工具。什么是CSPM?CSPM结合了威胁情报、检测和补救,可以作用于复杂的云应用程序集合。CSPM可以补充CASB和CWPP的功能并填补空白。一些CASB和CWPP供应商现在也为其现有产品提供CSPM附加组件。云技术一般分为IaaS、PaaS和IaaS。然而,三者之间的区别越来越模糊,以至于有时这个名字逐渐失去了很多意义。随着企业购买越来越多样化的云能力,拥有像CSPM这样通过一个工具覆盖所有云设施的解决方案越来越有吸引力。市场分析预测,CSPM的全球市场将从2020年的40亿美元增长到2026年的90亿美元,因此CSPM绝对是一个值得密切关注的领域。CSPM厂商在过去几年经历了大规模的并购,包括:CheckPoint在几年前收购了Dome9之后,终于推出了自己的Cloudguard。Zcaler在2020年收购了Cloudneeti的CSPM工具。趋势科技收购了CloudConformity的CloudOne。PaloAlto从Redlock获得了现在的PrismaCloud,并从Twistlock获得了负载保护模块。AquaSecurity收购了CloudSploit。Sophos收购了AvidSecure。其他供应商包括Accurics、CrowdStrike的FalconHorizo??n、Rapid7的DivvyCloud、初创公司OrcaSecurity、SysdigSecure和SecureSky主动安全平台。为什么需要CSPM?所有的云技术都有一个共同的问题:缺乏边界。这意味着,即使有像CASB这样的某种保护,仍然没有简单的方法来确定哪个进程或个人可以访问云,或者拒绝未经授权的访问。因此需要一系列的保护组合来保证接入和阻断问题。另一个挑战是手动处理无法跟上扩展、容器和API的速度。这就是基础设施即代码的用武之地,基础设施可以通过机器可读文档进行管理和配置。这些文件基于API。这种方法可以集成到云优先环境中,不仅因为它可以轻松快速地修改基础设施,而且还容易出现错误配置,从而使环境暴露于漏洞之中。当涉及到容器时,也很难在过多的云服务中跟踪它们。AWS本身也有Elastic容器服务、Serverless计算引擎Fargate、ElasticKubernetes服务。Docker和Terraform等常见容器服务不一定会得到每个CSPM的支持。如果不依赖大量集成,可视化功能也很难实现。企业只需要一个关于其云安全状况的真实来源。这意味着CSPM显示界面将在SOC中占有一席之地——即使SOC面板已经非常拥挤。此外,SOC人员还需要考虑如何将这些数据整合到现有的playbook中。这也意味着CSPM应该能够集成到这些现有工具中,并共享IOC或针对基础设施的攻击信息。一些工具,例如CrowdStrike的Falcon和Orca的工具,使集成更进一步。两者都可以执行诸如向Slack通道推送警报、启动Jira工作流、向ServiceNow发送票证以进行进一步调查等操作。根据Gartner的说法,“架构师使用CSPM来验证云原生数据并实施应用程序控制。”他们确定了CSPM共有的五种能力:合规性评估。操作日志、告警监控和威胁检测。DevOps集成和持续部署修复。近乎实时的事件响应。统一风险评估和可视化。要问您的CSPM供应商的几个问题是否支持Box、Salesforce、Workday、ServiceNow等SaaS应用程序?有的产品会在云端部署代理,有的通过只读权限扫描环境和资源,有的需要写权限才能修复账号。更改、策略违规和其他异常警报的实时性如何?它是否跟踪错误配置的安全组、远程访问、应用程序控制错误和网络更改?所有云供应商都提供内置的活动监控,但如果使用多云,则需要CSPM将这些丰富的数据源分离,以便数据能够得到有效利用。自动修复的实时性如何?最好的CSPM将持续扫描易受攻击的系统,有些将能够检测到新虚拟机何时上线导致不安全情况。它还可以与哪些安全和通知工具集成?喜欢SIEM和SOAR?每个云提供商可以支持多少合规性和审计报告框架?每个工具都会支持一套不同的框架,所以不一定在所有的云上都有一个统一的方法,只会让用户使用起来更麻烦。它要多少钱?一些供应商提供有限的试用期;有些是根据主机数量收费,或者以更复杂的方式收费——这会让客户在收到账单时大吃一惊。很少有人提供像Sysdig这样透明的定价页面。5国外CSPM产品及其主要功能(1)CrowdStrikeFalconHorizo??nCrowdStrikeFalconHorizo??n支持AWS和Azure不同的多种服务。它有一个单一的控制台,可以管理两个云的安全组;并且还可以报告在两种服务中管理Kubernetes节点的风险。它可用于主动识别软件开发生命周期中的威胁,然后使用代理来监控行为。(2)OrcaSecurityOrca是CSPM创业公司,以无代理方式支持国外三大主流云平台。它的工具有一些有效负载保护,还提供对单个云服务的深度容器检查。(3)SecureSky主动防护平台SecureSky主动防护平台支持国外三大主流公有云厂商,支持Office365、Workday、Salesforce、ServiceNow、Box等多种SaaS应用。它集成了SIEM和各种合规工具,还集成了威胁管理功能。(4)SysdigSecureSysdig从为AWS提供服务起家,目前在GoogleCloud有测试版,明年会增加在Azure的能力。Sysdig最多可以扫描250个在AWSFargate和ECR中管理的容器镜像。他们有一个免费帐户层和多个付费帐户层。付费账户可以添加容器监控等功能,费用为每台主机24美元起,每年还有优惠。(5)ZscalerZcaler的CSPM产品去年被Cloudneeti收购。Zcaler提供30天免费试用。自收购以来,他们增加了资产管理功能、大量预定义策略和用于构建策略的查询语言,同时增加了对GoogleCloudPlatform的支持。他们还有13个合规性框架,尽管每个云可能支持不同的集合。
