近年来,随着云计算市场的发展,很多企业开始是多云的组合,比如公有云、私有云云、混合云等。企业采用多云方法已成为主流趋势。但是,业务上云之后,并不是一劳永逸的。由于云安全政策的制定总是滞后于云服务的使用,存储在云端的客户数据泄露的风险也相应增加。国内外类似的安全事件也层出不穷。比如今年,AWS托管的美国和加拿大的1.06亿CapitalOne客户的个人数据被泄露。下图形象地表明,云计算仍然面临多账户权限管理、可视化问题,以及一系列的合规问题。图1:云服务使用的理想状态与实际状态的区别由于“云安全”的概念涉及面非常广,本文仅对Gartner提出的三种流行的云安全产品进行阐述。Gartner提出了三大云安全管理工具,分别是CASB、CSPM和CWPP。这三个工具虽然在某些功能上有重叠,但更多的是互补性。下面先简单介绍一下三大安全工具在应用场景上的区别,再介绍一下三大云安全工具的详细应用。对这三类产品不熟悉的读者可以阅读下文的详细介绍。三种云安全工具的责任共担和应用场景为有效解决云安全问题,提供商和企业需要分担责任,各自负责各自控制的技术。双方的责任由具体场景决定:本地部署、IaaS、PaaS或SaaS(见图2):在传统的企业级IT场景中,所有基础设施都在本地运行,企业负责所有安全措施;在IaaS场景中,云提供商负责保护后端数据中心、网络、服务器和虚拟化;企业负责保护有效载荷,例如操作系统、数据库、安全性和应用程序。在这种情况下,企业负责保护在公共云中运行的工作负载;在PaaS的Serverless场景中,企业主要负责保护应用;对于SaaS场景,应用和数据的安全都由服务商负责,而访问安全则由业务和用户负责。图2:供应商与企业的职责划分根据上述企业与供应商的职责划分,我们可以针对不同的场景选择不同的安全工具。图3很好地说明了三种主要安全工具适用于哪些场景。首先,在覆盖范围上,CWPP只覆盖IaaS场景,也就是说CWPP只适用于IaaS服务。CASB涵盖了SaaS、PaaS、IaaS这三个领域,但主要的覆盖领域体现在SaaS上,其应用场景不言而喻。最后,根据CSPM的覆盖,也可以理解为主要解决IaaS安全问题,也可以解决部分PaaS安全问题。图3:三大云安全工具覆盖关系图CASB作为部署在客户与云服务提供商之间的安全策略控制点,是企业在访问云端资源时实施的安全策略。另一方面,CSPM产品通常使用自动化来解决云配置和合规性问题。CWPP作为以主机为中心的解决方案,主要满足这些数据中心的工作负载保护需求,因此主要适用于IaaS层。下面将对适用于不同级别的三大安全工具进行详细说明。CloudAccessSecurityBroker(CASB)CASB最早出现是为了解决影子资产问题,特别是随着SaaS服务的快速发展,从底层的硬件资源到上层的软件资源,终端用户无法实施控制。CASB可以很好的解决此类问题,很多用户在使用CASB产品后,发现企业中的云服务数量是他们所知道的十倍。良好的使用效果使CASB产品得以快速发展。Gartner还预测,到2022年,60%的大型企业将使用CASB。CASB功能主要作为SaaS应用程序提供,偶尔会提供本地虚拟机和物理设备。SaaS交付在大多数用例中显然更受欢迎。CASB的核心价值在于解决四类问题:深度可视化、数据安全、威胁防护和合规。图4:CASB的四大支柱(1)深度可见性——CASB提供影子IT发现、组织云服务格局的综合视图,以及有关从任何设备或位置访问云服务中数据的用户的详细信息。(2)数据安全——CASB能够实施以数据为中心的安全策略,以防止基于数据分类、数据发现和用户活动(例如监控敏感数据访问或升级权限)的有害活动。策略通常通过审计、警报、阻止、隔离、删除和只读等控制措施来实施。DLP(数据丢失防护)功能无处不在,是仅次于可见性的最常用控制。(3)威胁防护——CASB通过提供AAC来防止有害设备、用户和应用版本访问云服务。可以根据登录期间和登录后观察到的信号更改云应用程序功能。CASB此类功能的其他示例包括通过嵌入式UEBA、威胁情报、网络沙盒以及恶意软件识别和缓解来识别异常行为。(4)合规性——CASB可以帮助组织证明它是管理云服务使用的组织。CASB提供信息以确定云风险偏好并确定云风险承受能力。通过各种可视化、控制和报告功能,CASB有助于满足数据驻留和法律合规性要求。CASB可以通过API、正向代理、反向代理等方式实现,如下图所示。图5:CASB功能和架构集成模式概述云安全配置管理(CSPM)公有云IaaS和PaaS服务的高度自动化和用户自助服务进一步凸显了正确的云配置和合规性的重要性。一个错误可能会同时暴露数千个系统或大量敏感数据。越来越多地采用云服务,加上越来越多的平台服务和相对缺乏的云技能,包括安全性,已经暴露了企业信息和工作负载。雪上加霜的是,缺乏对程序化云基础设施的全面了解意味着错误配置和不合规问题在很长一段时间内都未被发现。这导致大多数企业没有精确的流程、成熟的工具或规模来确保云服务的安全使用,即使底层云提供商基础设施本身是安全的。CSPM可以分析和管理基础设施安全配置。这些安全配置包括帐户权限、网络和存储配置以及安全配置(例如加密设置)。如果发现配置不合规,CSPM会采取措施进行更正。如图6所示,CSPM应被视为持续改进和适应云安全态势的过程,其目标是降低成功攻击的可能性以及攻击者获得访问权时发生的损害。由于云基础设施总是在变化,CSPM策略应该是在云应用的整个生命周期中持续评估和改进的策略,从研发开始延伸到运维(图6从左到右),响应和根据需要改进。同样,由于提出新的云功能和发布新法规,云使用安全策略也在不断变化。图6的顶部表明,CSPM策略应该不断发展并适应新情况、不断发展的行业标准和外部威胁情报,并根据在开发和运营中观察到的风险进行改进。图6:CSPM的持续生命周期方法云工作负载保护平台(CWPP)云工作负载保护平台(CWPP)市场是指以工作负载为中心的安全产品,旨在满足现代混合云、多云数据中心基础设施对中型服务器工作负载的独特保护要求。CWPP应该为物理、虚拟、容器和无服务器工作负载提供统一的可见性和控制,而不管地理位置如何。CWPP产品通常结合使用网络分段、系统完整性保护、应用程序控制、行为监控、基于主机的入侵防御和可选的反恶意软件保护来保护工作负载免受攻击。(近几年CWPP产品市场的发展和演变,请参考之前的《干货|CWPP产品市场演进》。)图7展示了现代混合多云数据中心架构中工作负载保护策略的主要组成部分。图7:CWPP控制措施层次结构图图7是一个分层金字塔,底部有一个矩形底座。服务器工作负载的安全性来自于隐蔽基础中的良好操作实践。任何工作负载保护策略都必须从这里开始,并确保任何人(攻击者或管理员)都难以获得对工作负载的物理和逻辑访问权限。工作负载映像仅包含必需的代码。服务器镜像中应禁止使用浏览器和电子邮件。允许更改服务器工作负载需要严格的管理流程,并且通过强制执行强身份验证来严格控制管理访问。收集和监控操作系统和应用程序日志。强化、缩减和修补工作负载以减少攻击面。综上所述,Gartner提出的CASB、CSPM、CWPP这三个云安全工具针对基础设施IaaS、PaaS、SaaS层的不同安全问题提供了针对性的解决方案。这三个工具虽然不能完全涵盖所有的安全问题,但也为企业在采用云服务时加强安全管控措施指明了方向,提供了思路,从而更好地针对具体问题制定具体的解决方案。当然,未来随着云服务的不断发展,安全管控措施一定会跟上云服务的发展步伐,为云服务的发展保驾护航。
