2020年2月24日-28日，網(wǎng)絡(luò)安全行業(yè)盛會(huì)RSA Conference將在舊金山拉開(kāi)帷幕。前不久，RSAC官方宣布了最終入選今年的創(chuàng)新沙盒十強(qiáng)初創(chuàng)公司：AppOmni、BluBracket、Elevate Security、ForAllSecure、INKY、Obsidian、SECURITI.AI、Sqreen、Tala Security、Vulcan。

前面綠盟君已經(jīng)向大家介紹了Elevate Security 和Sqreen兩家廠商，今天，我們要介紹的是廠商是：AppOmni。

一、公司介紹

AppOmni成立于2018年，總部位于舊金山卡本代爾，該公司致力于保護(hù)、管理和監(jiān)控公有云上的應(yīng)用程序(SaaS)，從而解決了絕大多數(shù)企業(yè)SaaS產(chǎn)品上云后面臨的安全風(fēng)險(xiǎn)。目前公司人數(shù)大約40-50人左右，公司的創(chuàng)始人大部分來(lái)自Salesforce、Palo Alto Networks公司，在今年1月28日，該公司已經(jīng)籌集了1300萬(wàn)美元的A輪融資，投資者以ClearSky牽頭，Inner Loop Capital公司也參與了這一輪融資。

二、背景介紹

隨著云技術(shù)的蓬勃發(fā)展，企業(yè)紛紛選擇上云。然而，面臨復(fù)雜多變的云環(huán)境，企業(yè)也因擔(dān)心數(shù)據(jù)泄漏問(wèn)題而經(jīng)常問(wèn)云服務(wù)商“你的云安全嗎?”

隨著技術(shù)的不斷積累，云計(jì)算的技術(shù)手段越來(lái)越成熟，雖然如今的云環(huán)境逐漸趨向于穩(wěn)定和安全，但是企業(yè)上云暴露出來(lái)的安全問(wèn)題仍然層出不窮，歸根到底是什么原因?

Gartner曾預(yù)測(cè)到2022年，至少有95%的云安全問(wèn)題是客戶(hù)的過(guò)錯(cuò)。因?yàn)榧夹g(shù)提升的同時(shí)，云上應(yīng)用變得普適廣泛，云上的業(yè)務(wù)復(fù)雜性也在提高，我們知道在一些規(guī)模比較大的生產(chǎn)級(jí)IaaS、PaaS平臺(tái)上，通常會(huì)有上百個(gè)配置選項(xiàng)、每日千萬(wàn)級(jí)的API調(diào)用頻次以及各種數(shù)據(jù)訪問(wèn)模型。云服務(wù)面臨的安全挑戰(zhàn)不在于云自身的安全，而在于有效的安全管理、技術(shù)控制、實(shí)施安全策略等。所以問(wèn)題不應(yīng)該是“你的云安全嗎?”而是“你是否有安全的使用云?”

SaaS安全防護(hù)面臨的問(wèn)題：

SaaS服務(wù)在IT成熟市場(chǎng)已被廣泛應(yīng)用，相關(guān)數(shù)據(jù)表明，到2024年全球SaaS的市場(chǎng)規(guī)模將達(dá)到1800億美金，年復(fù)合增長(zhǎng)率超過(guò)20%。與此同時(shí)，SaaS的安全問(wèn)題也成為技術(shù)人員討論的熱點(diǎn)，近年來(lái)大規(guī)模的數(shù)據(jù)泄漏事件已造成數(shù)以萬(wàn)計(jì)的損失，綜合原因不外乎以下幾點(diǎn)：

1. 云端不安全的訪問(wèn)控制

訪問(wèn)控制、包括特權(quán)用戶(hù)訪問(wèn)是數(shù)據(jù)泄漏的最大原因，而根源在于不安全的默認(rèn)配置以及對(duì)訪問(wèn)控制的濫用造成，比如舊的用戶(hù)未刪除或過(guò)度使用管理控制等。面對(duì)以上這些問(wèn)題，一些企業(yè)采用RBAC機(jī)制來(lái)管理用戶(hù)的權(quán)限訪問(wèn)控制，這看上去是沒(méi)問(wèn)題的，但在實(shí)際運(yùn)用當(dāng)中，沒(méi)有良好安全基礎(chǔ)背景的運(yùn)維人員是很難做到完全可控的，畢竟隨著企業(yè)規(guī)模的增大，人員會(huì)越來(lái)越多，角色權(quán)限也會(huì)增多，沒(méi)有一個(gè)統(tǒng)一的管理平臺(tái)光靠專(zhuān)業(yè)的維護(hù)人員去管理未免要求太高。

2. 錯(cuò)誤的云存儲(chǔ)配置

許多企業(yè)選擇將SaaS服務(wù)部署在公有云上，卻對(duì)云上的存儲(chǔ)配置并不關(guān)心，他們認(rèn)為這是云服務(wù)商的責(zé)任。但現(xiàn)實(shí)很殘酷，在購(gòu)買(mǎi)云服務(wù)商服務(wù)時(shí)大多數(shù)中小企業(yè)甚至沒(méi)有仔細(xì)閱讀過(guò)條款。據(jù)Macfee調(diào)查聲稱(chēng)99%的云端和IaaS錯(cuò)誤配置都是在終端用戶(hù)的控制范圍內(nèi)，而且并不為人所知，造成這一現(xiàn)象的主要原因是“公開(kāi)數(shù)據(jù)”在很多云服務(wù)中是云數(shù)據(jù)存儲(chǔ)配置的默認(rèn)訪問(wèn)設(shè)置，所以企業(yè)需要受過(guò)良好教育的架構(gòu)師和安全人員對(duì)服務(wù)進(jìn)行適當(dāng)?shù)墓芾?，以免?shù)據(jù)泄漏的慘案再次發(fā)生。

3. SaaS服務(wù)缺乏持續(xù)性的監(jiān)控告警

當(dāng)服務(wù)被黑客攻陷導(dǎo)致數(shù)據(jù)泄漏時(shí)，持續(xù)的監(jiān)控告警可以將用戶(hù)的損失降到最低。目前企業(yè)大多數(shù)使用云服務(wù)商提供的監(jiān)控告警，但因?yàn)榉?wù)商針對(duì)的是普遍用戶(hù)群體，所以其安全功能存在單一性、反饋用戶(hù)信息不夠友好、缺乏持續(xù)性的監(jiān)控等不足，最終導(dǎo)致了黑客入侵造成了不可收拾的局面。為保證SaaS服務(wù)的安全，企業(yè)急需一個(gè)專(zhuān)業(yè)的云告警平臺(tái)處理所有入侵事件。

2018年9月，Veeam公司客戶(hù)數(shù)據(jù)泄漏，有200GB與4.4億條客戶(hù)記錄相關(guān)的數(shù)據(jù)在網(wǎng)上公開(kāi)。2019年12月，雷鋒網(wǎng)報(bào)道了 Elasticsearch 服務(wù)器 12 億個(gè)人數(shù)據(jù)遭泄露的事件，造成如此之大的損失原因竟然都是因?yàn)殄e(cuò)誤的云實(shí)例配置導(dǎo)致，想起來(lái)讓人唏噓不已。

綜上，相關(guān)領(lǐng)域如云中的數(shù)據(jù)的可訪問(wèn)性如何實(shí)現(xiàn)，用戶(hù)訪問(wèn)控制，跨云的應(yīng)用程序安全性和數(shù)據(jù)訪問(wèn)策略成為了客戶(hù)側(cè)安全防護(hù)面臨的最大問(wèn)題。

三、產(chǎn)品介紹

AppOmni平臺(tái)是由一個(gè)具有豐富經(jīng)驗(yàn)并了解安全性、合規(guī)性、IT團(tuán)隊(duì)需求的專(zhuān)家團(tuán)隊(duì)設(shè)計(jì)和構(gòu)建的。通過(guò)使用AppOmni自研的策略引擎深度掃描SaaS服務(wù)的API和配置，可在數(shù)分鐘內(nèi)識(shí)別出數(shù)據(jù)泄漏，并生成相應(yīng)報(bào)告;其次，AppOmni還持續(xù)提供監(jiān)控用戶(hù)的SaaS程序是否發(fā)生安全事件并產(chǎn)生相應(yīng)告警;最后，AppOmni的“SaaS權(quán)限建模” 專(zhuān)利可使用戶(hù)能夠立即、切實(shí)并可行的洞察對(duì)SaaS應(yīng)用程序中關(guān)鍵業(yè)務(wù)數(shù)據(jù)的有效訪問(wèn)權(quán)限。綜合以上三點(diǎn)，AppOmni在訪問(wèn)控制、數(shù)據(jù)泄漏、數(shù)據(jù)訪問(wèn)策略方面均有著一定程度的創(chuàng)新，從而為SaaS服務(wù)全力保障護(hù)航。

四、產(chǎn)品特點(diǎn)

AppOmni 的解決方案主要是：安全自動(dòng)化、合規(guī)控制和IT管理，我們逐一進(jìn)行介紹。

1. 安全自動(dòng)化

(1) 配置防火墻

AppOmni支持配置防火墻功能，并可以定義數(shù)據(jù)訪問(wèn)的安全規(guī)則，以防止數(shù)據(jù)暴露給第三方或公共網(wǎng)絡(luò)。

(2) 一致的訪問(wèn)控制

基于角色的訪問(wèn)控制(RBAC)仍然是對(duì)SaaS用戶(hù)訪問(wèn)權(quán)限控制和授權(quán)的行業(yè)標(biāo)準(zhǔn)策略，在大型企業(yè)必須支持成千上萬(wàn)內(nèi)部用戶(hù)時(shí)，IT團(tuán)隊(duì)將不得不面臨授予訪問(wèn)權(quán)限的壓力，并且此時(shí)很容易造成配置權(quán)限超越了其自身原本應(yīng)有權(quán)限的事件發(fā)生，而且不正確的刪除權(quán)限可能會(huì)對(duì)業(yè)務(wù)造成嚴(yán)重影響。AppOmni遵循RBAC的原則，提供可視化的角色用戶(hù)管理界面，可以顯示哪些用戶(hù)共享同一權(quán)限哪些不共享，并且可以標(biāo)識(shí)異常的用戶(hù)權(quán)限綁定，使運(yùn)維人員清晰的對(duì)用戶(hù)及角色進(jìn)行有效分配。

(3) 24*7的持續(xù)監(jiān)控

有了一致的訪問(wèn)控制往往還不夠，一旦SaaS應(yīng)用程序處于已知良好的訪問(wèn)控制狀態(tài)，就需要不斷的保持這種良好的狀態(tài)并將一致性延續(xù)下去。AppOmni提供了24*7的持續(xù)監(jiān)控，其內(nèi)部通過(guò)“權(quán)限模型”可以評(píng)估SaaS應(yīng)用程序配置和有效訪問(wèn)，與設(shè)置的安全策略或綁定的用戶(hù)權(quán)限有任何偏差都會(huì)立即告警并進(jìn)行相應(yīng)的處理措施。

2. 合規(guī)控制

合規(guī)報(bào)告：AppOmni支持在“數(shù)分鐘”內(nèi)執(zhí)行對(duì)SaaS的訪問(wèn)檢查并導(dǎo)出對(duì)應(yīng)合規(guī)性報(bào)告，這在企業(yè)中是非常必要的，因?yàn)槠髽I(yè)會(huì)不定期的查詢(xún)當(dāng)前部署的SaaS服務(wù)是否一切合規(guī)。

數(shù)據(jù)清單：AppOmni會(huì)根據(jù)類(lèi)型、業(yè)務(wù)需求、合規(guī)性需求對(duì)數(shù)據(jù)進(jìn)行分類(lèi)提供用戶(hù)可視化數(shù)據(jù)清單, 并且可以將數(shù)據(jù)接入任何SIEM系統(tǒng)(SOAR)、日志管理系統(tǒng)、漏洞管理系統(tǒng)做進(jìn)一步的數(shù)據(jù)分析。

控制匹配：AppOmni中提供了業(yè)界的一些標(biāo)準(zhǔn)，例如ISO 27001、PCI、NIST等，作為基線與SaaS的應(yīng)用程序進(jìn)行匹配，從而可以看出SaaS應(yīng)用程序使用是否合規(guī)。

3. IT管理

• 配置管理：AppOmni可以配置用戶(hù)角色權(quán)限、防火墻安全策略、配置文件等，為用戶(hù)、云環(huán)境和應(yīng)用程序創(chuàng)建了良好的基礎(chǔ)配置模版。
• 功能測(cè)試：在IT流程中，將自動(dòng)化測(cè)試納入其中可以在用戶(hù)升級(jí)和部署新的應(yīng)用程序時(shí)不擔(dān)心會(huì)出現(xiàn)影響線上版本的事件發(fā)生，AppOmni具備這項(xiàng)能力。

五、總結(jié)

AppOmni在官網(wǎng)未說(shuō)明其使用的掃描引擎運(yùn)用了哪些技術(shù)，只是說(shuō)是一項(xiàng)專(zhuān)利，但可由此推斷這一定是AppOmni的核心賣(mài)點(diǎn)。畢竟在數(shù)分鐘內(nèi)即可掃描完SaaS服務(wù)并輸出相應(yīng)的合規(guī)性報(bào)告及數(shù)據(jù)清單，同時(shí)又可以做到24*7的持續(xù)性服務(wù)監(jiān)控和告警并且不會(huì)太影響性能，試問(wèn)誰(shuí)不好奇AppOmni是怎么做到的呢?

對(duì)于公有云上的配置進(jìn)行核查，Gartner將該細(xì)分市場(chǎng)稱(chēng)為CSPM(Cloud Security Posture Management)，目前大部分公司的配置核查主要是對(duì)如存儲(chǔ)資源的訪問(wèn)憑證進(jìn)行檢查，避免弱口令或無(wú)口令拖庫(kù)的事件，AppOmni的創(chuàng)新之處在于結(jié)合合規(guī)性要求，可視化地還原業(yè)務(wù)層面的訪問(wèn)邏輯關(guān)系，并通過(guò)持續(xù)性的監(jiān)控告警保證訪問(wèn)策略隨著業(yè)務(wù)遷移和人員變更后的一致性。

AppOmni可提供持續(xù)的監(jiān)控和告警這一優(yōu)勢(shì)使得用戶(hù)層面具備了“即時(shí)可見(jiàn)性”，從而在很大程度上改善了云中的安全現(xiàn)狀。另外，AppOmni平臺(tái)通過(guò)用戶(hù)定義的安全策略評(píng)估數(shù)據(jù)暴露風(fēng)險(xiǎn)，以提供警告和見(jiàn)解，為用戶(hù)節(jié)省了大量的補(bǔ)救時(shí)間。在企業(yè)發(fā)展業(yè)務(wù)速度跟不上上云引起的安全問(wèn)題這一普遍趨勢(shì)下，AppOmni可以說(shuō)是該領(lǐng)域的首批著眼于解決如何安全的使用SaaS云的公司，未來(lái)隨著業(yè)務(wù)越發(fā)復(fù)雜，云中面臨的安全問(wèn)題只會(huì)越來(lái)越多，希望AppOmni可以保持其創(chuàng)新性和優(yōu)勢(shì)，繼續(xù)努力，同時(shí)也祝愿AppOmni在2020年RSAC創(chuàng)新沙盒十強(qiáng)賽中可以取得好的成績(jī)。

參考鏈接

[1] https://appomni.com/

[2] https://appomni.com/appomni-raises-10-million-in-series-a/

[3] https://appomni.com/using-roles-for-continuous-saas-security-monitoring/

[4] https://appomni.com/is-the-cloud-secure/

[5] https://www.infosecurity-magazine.com/news/orgs-failing-protect-data-cloud/

[6] https://www.cbronline.com/news/iaas-misconfiguration-mcafee

[7] https://thehackernews.com/2019/10/data-breach-protection.html