云原生理念经过几年的实践得到了企业市场的广泛认可,成为企业数字化转型的必由之路。基于云原生技术架构开发的软件产品和工具也开始逐步应用到企业的日常工作中。随着云原生时代的正式到来,以CWPP、CSPM、CIEM、CNAPP为代表的主流云安全技术将如何发展演进?1、CWPP:CloudWorkloadProtectionPlatform2010年,Gartner正式提出“CloudWorkloadProtectionPlatform(CWPP)”的概念,旨在为早期采用虚拟机和容器提供保护。根据Gartner的说法,CWPP是一种“以工作负载为中心的安全解决方案,可满足现代混合数据中心架构中服务器工作负载保护的独特要求,这些架构跨越本地、物理和虚拟机(VM),以及多个公共云基础设施——服务(IaaS)环境。”CWPP的部署也将支持基于容器的应用程序架构。CWPP技术的目的是保护公共云中的服务器工作负载。CWPP解决方案发现组织的基于云的部署和本地基础设施中存在的工作负载,提供集中的CWPP的主要特点:保护云和本地工作负载:CWPP能够发现组织的基于云的部署和本地基础设施中存在的工作负载,并提供对云的可见性细粒度可见性:CWPP非常擅长收集有关漏洞、敏感信息、恶意软件扫描、资产版本等的详细信息,这在扩展工作负载时很有用运行时保护:CWPP还可以提供文件完整性监控(FIM)、恶意软件扫描、日志检查、应用程序控制和白名单ng来保护运行时特性。基于身份的隔离:CWPP可以提供基于应用程序/工作负载身份执行策略的技术。工作负载的合规性:CWPP可以将发现的风险分类到选定的合规性框架中,以便轻松、持续地报告和审计。CWPP面临的挑战:需要维护一个单独的代理:CWPP需要为其保护的每个资产安装和维护一个单独的代理,这导致部署时间变慢,持续维护成本增加,甚至影响资产性能。不了解云控制平面:CWPP仅涵盖工作负载,它们不提供任何控制平面的信息。为此,用户需要使用CSPM解决方案。难以确定警报的优先级:CWPP缺乏了解安全问题的全部影响所需的可见性和上下文。如果没有对云基础设施的可见性,仅CWPP无法看到整个云资产并根据环境上下文确定警报的优先级。资产覆盖不足:CWPP不可避免地存在盲点,因为代理不太可能随处部署,不太可能兼容所有操作系统,并且维护成本高。OrcaSecurity研究表明,平均云托管安全解决方案覆盖的资产不到50%。此外,基于代理的CWPP看不到停止、暂停或空闲的机器,使它们容易受到攻击。缺乏横向移动风险检测:攻击者通常会尝试在云环境中获得初始立足点,然后横向移动到实际目标。仅CWPP无法识别哪些密钥可以为攻击者提供对其他资产的访问权限,从而暴露重要的攻击向量。总的来说,CWPP技术可以保证公有云工作负载的安全,但并不能涵盖所有的云安全需求。虽然CWPP解决方案提供了对工作负载内部发生的事情的详细可见性,但它缺乏上下文信息和对工作负载之间的连接以及它们所在的基础设施配置的可见性。2.CSPM:CloudSecurityPlatformManagement2014年前后,AWS、MicrosoftAzure、GoogleCloud等公有云服务大行其道,Gartner为云安全管理创造了新的定义——“云安全平台管理”(CloudSecurityPlatformManagement)平台管理(CSPM),帮助企业组织维护云服务的正确配置,并确保其业务在公有云上的合规性。CSPM解决方案的一个重要目标是持续监控云基础设施,以发现安全策略实施方面的漏洞。CSPM可以为组织提供其整个云基础架构的集中可见性和风险评估。它可以自动识别并在某些情况下修复跨云基础设施的风险。云基础设施的监控可以通过定期查询来完成,这些查询会返回一系列有关违反安全策略或最佳实践的警报。CSPM解决方案涵盖云环境,并提醒员工注意可能使云环境面临安全风险或运营效率低下的错误配置。通过这种方式,CSPM还可以帮助组织节省资金、识别重要的安全风险并培训团队。CSPM的主要功能:安全策略执行:CSPM监控错误配置问题和合规风险,并在云环境中执行安全策略。多云配置管理:CSPM通过云配置的可见性,实现对多种云服务的集中管控。审计云控制平面:CSPM通过API连接,允许跨多云环境即时访问和审计整个控制平面配置。为云基础设施提供合规性报告:CSPM持续审查云环境并将正确和错误配置的结果分组到合规性框架中,帮助组织审核其云基础设施的适当管理。与第三方威胁情报集成:大多数CSPM能够与云原生服务提供商威胁工具集成,这些工具可以帮助组织进一步识别风险和错误配置风险并确定其优先级。CSPM面临的挑战:无法深入了解工作负载:CSPM解决方案无法深入了解工作负载。例如,如果用户有易受攻击的Web服务器或受感染的工作负载,他们不会提供警报。为此,用户还需要CWPP或CNAPP解决方案。缺乏横向移动风险检测:攻击者通常会尝试在云环境中获得初始立足点,然后横向移动实际目标。CSPM无法识别哪些密钥可以为攻击者提供对其他资产的访问权限,从而暴露或无法识别重要的攻击向量。总之,CSPM解决方案可确保公共云服务和多云基础设施的正确配置。CSPM解决方案非常适合为审计提供云治理和云合规服务,但是,它们缺乏对云基础架构之外的风险和威胁的深入可见性,从而在覆盖范围上存在差距。3.CIEM:CloudInfrastructureEntitlementsManagementCIEM,全称CloudInfrastructureEntitlementsManagement,即云基础设施授权管理,可以有效监控和识别云账户行为异常。企业IT和安全团队可以使用CIEM解决方案来管理公共云和多云环境中的身份和访问。CIEM解决方案将“最小权限”原则应用于云基础架构和服务,帮助组织降低因权限混乱而导致数据泄露的风险。企业云环境需要向员工、业务系统和终端设备授予大量访问权限,其中许多可能包括未使用的权限、过期的帐户以及默认和错误配置的权限。如果不加以检查,这些权限为攻击者提供了一条渗透云部署的简便途径。CIEM解决方案允许组织的安全团队管理哪些用户(业务人员和应用程序系统)可以访问哪些资源等。CIEM的关键功能:身份和访问管理(IAM):CIEM能够管理对云具有过多权限的特权身份资源并在云环境中实施最小权限。审核多云访问权限:CIEM持续监控和审核跨多个云服务提供商的所有访问权限。与IDP(身份提供者)解决方案集成:CIEM可以与身份提供者密切合作,将覆盖范围扩展到系统和云服务之外的每个拥有托管数字身份的人。授权风险和合规性报告:CIEM提供对有风险或不合规的云授权的可见性,识别身份可以执行哪些任务以及可以跨组织的云基础架构访问哪些资源。提供授权建议:CIEM还能够了解整个云身份环境,为策略和补救措施提供最佳实践建议,以减少访问并实现最低权限。最小特权权限分析:CIEM不仅启用了最小特权权限,而且确保权限不会被过度管理。CIEM挑战:不完整的身份和访问管理(IAM):CIEM无法识别“替代”IAM机制,例如磁盘上的SSH密钥和AWS密钥,以及横向移动风险。完整上下文和可见性方面的差距:由于CIEM解决方案主要侧重于保护云的“新边界”、身份访问管理,因此普遍缺乏对CSPM提供的控制平面以及实际工作负载中运行的内容的可见性。综合起来,CIEM解决方案可以确保身份和访问管理(IAM)遵循对云基础设施和服务的最低权限访问原则,因为它的功能侧重于IAM、授权风险和合规性。然而,尽管IAM被认为是“云计算的新前沿”,但IAM和CIEM解决方案仍然缺乏对云基础设施和工作负载的全面安全覆盖。4、CNAPP:CloudNativeApplicationProtectionPlatformCNAPP是Gartner新提出的云安全技术概念,全称是“Cloud-NativeApplicationProtectionPlatform”。CNAPP作为一种创新的云安全技术,将多种安全功能以原生的方式集成到一个统一的云安全平台中,目前受到广泛关注。CNAPP可以保护从系统代码到业务开发的整个应用开发生命周期。未来将在很大程度上取代云安全状态管理(CSPM)、云工作负载保护平台(CWPP)和云基础设施授权管理等传统保护模式。(CIEM)和其他云安全技术。正确的CNAPP解决方案不是孤立的视图,而是提供对云资产的全面覆盖和可见性,并且可以检测整个技术堆栈的风险,包括云错误配置、不安全的工作负载和管理不善的身份访问。此外,CNAPP还包括“左移”功能,可在开发生命周期的早期识别风险。通过结合漏洞、上下文和相关性,一些CNAPP能够执行云攻击路径分析,识别看似无关的“低严重性”风险如何结合起来创建危险的攻击向量。CNAPP的主要能力:管理错误配置风险:减少云原生应用程序错误配置和安全管理不善的机会。整合安全投资:减少工具和供应商的数量。简化治理和合规性:降低创建安全且合规的云原生应用程序的复杂性和成本。确定关键警报的优先级:允许安全人员根据关系(安全漏洞、配置错误、权限、暴露的秘密)了解攻击路径。改进的DevSecOps可见性:通过双向链接开发和运营可见性和对风险分析的洞察力来改善整体企业安全态势。CNAPP挑战:重叠的能力:组织可能拥有无法删除的遗留云安全系统。随着时间的推移,安全领导者可以通过更新云策略并在合同到期时删除冗余技术来消除这些障碍。总的来说,CNAPP在很多方面都有优势,其中最主要的优势是提高了对云的可见性。Gartner在《云原生应用程序保护平台创新洞察报告》中指出,“CNAPP方式最大的好处是更好地理解和控制云原生应用的风险。”云原生安全的发展,为组织在不牺牲安全性和合规性的情况下加速增长和创收开辟了新的机会。与其部署、分析和关联多点解决方案,不如节省时间深入了解风险和攻击路径,这只有通过集中式CNAPP解决方案才能实现。参考链接:https://cloudsecurityalliance.org/blog/2022/05/20/know-your-cloud-security-acronyms-cwpp-cspm-ciem-and-cnapp/
