每周都會(huì)有那么一些新聞，總有那么幾個(gè)運(yùn)維人員因?yàn)楦鞣N原因?qū)в锌蛻裘舾行畔⒌臄?shù)據(jù)庫暴露在沒有安全配置的存儲(chǔ)容器里。有些很嚴(yán)重，比如去年11月，有超過1,000萬帶有旅行數(shù)據(jù)的文檔暴露在一個(gè)未恰當(dāng)配置的AWS S3 bucket中。同樣的事情依然在上演：就在五月初，某個(gè)微軟用戶的錯(cuò)誤配置存儲(chǔ)容器暴露在了Azure上。

最近，Proofpoint對(duì)全球1,400名CSO進(jìn)行了一次調(diào)研，其中第二大的網(wǎng)絡(luò)威脅就是云賬戶失陷——有三分之一的受訪者都對(duì)此表示了擔(dān)憂。在Gartner于2019年的報(bào)告中有一句話總是被引用：“幾乎所有針對(duì)云服務(wù)的成功攻擊都是由于用戶的錯(cuò)誤配置和失誤導(dǎo)致。”Check Point的研究也顯示 了相同的觀點(diǎn)：在2020年，他們發(fā)現(xiàn)受訪者提到的威脅中，有三分之二是云平臺(tái)配置錯(cuò)誤。

Gartner同樣預(yù)測，到2023年，至少99%的云安全失效都是客戶自己的責(zé)任。Gartner調(diào)研的企業(yè)中，有近一半的組織因?yàn)樽约旱氖д`導(dǎo)致數(shù)據(jù)、API、或者網(wǎng)絡(luò)分區(qū)暴露到公網(wǎng)之上。比如，這條鏈接中的一些過去被攻陷的公開存儲(chǔ)容器——不過這份三年前的列表早已趕不上現(xiàn)代的變化了。

這些無意中的配置錯(cuò)誤引發(fā)了一些新的重要關(guān)注點(diǎn)。在過去，許多安全產(chǎn)品致力于將壞人排除在外，阻止外部人員和惡意的內(nèi)部人員。這個(gè)方式在云架構(gòu)只是企業(yè)運(yùn)營的一小部分的時(shí)候還有效，但現(xiàn)在我們需要一些能夠發(fā)現(xiàn)和修復(fù)無意中的失誤的工具。

何為CSPM?

CSPM將威脅情報(bào)、檢測和修復(fù)結(jié)合，能夠作用于復(fù)雜的云應(yīng)用集合。

CSPM能夠?yàn)镃ASB和CWPP的能力進(jìn)行補(bǔ)充，填補(bǔ)其中的不足。一些CASB和CWPP廠商現(xiàn)在也會(huì)為自己現(xiàn)有的產(chǎn)品提供CSPM的附加組件。

云技術(shù)一般被分為IaaS、PaaS和IaaS。然而，這三者的差異越來越模糊，以至于有時(shí)候名字逐漸不再有太大的意義。隨著企業(yè)購買更多樣的云能力，有一個(gè)像CSPM通過一個(gè)工具覆蓋所有云設(shè)施的方案越來越有吸引力。一個(gè)市場分析預(yù)測CSPM的全球市場會(huì)從2020年的40億美元增長到2026年的90億美元，因此CSPM絕對(duì)是一個(gè)值得仔細(xì)觀察的領(lǐng)域。

CSPM廠商在過去幾年經(jīng)歷大規(guī)模的并購事件，包括：

• Check Point在幾年前收購Dome9以后，最終推出了自己的Cloudguard。
• Zcaler在2020年收購了Cloudneeti的CSPM工具。
• 趨勢(shì)科技收購了Cloud Conformity的Cloud One。
• 派拓網(wǎng)絡(luò)從Redlock收購了現(xiàn)在的Prisma Cloud，并從Twistlock收購了一個(gè)負(fù)載保護(hù)模組。
• Aqua Security收購了CloudSploit。
• Sophos收購了Avid Secure。

其他廠商還包括Accurics、CrowdStrike的Falcon Horizon、Rapid7的DivvyCloud、初創(chuàng)公司Orca Security、Sysdig Secure和SecureSky主動(dòng)安全平臺(tái)。

為什么需要CSPM?

所有的云技術(shù)都有一個(gè)通病：缺乏邊界性。這就意味著即使有了像CASB這樣的某種保護(hù)，依然沒有一個(gè)簡單的方式可以決定哪個(gè)進(jìn)程或者人員能夠接入云端，或者拒絕沒有權(quán)限的訪問。因此，需要一系列的保護(hù)組合來確保接入和阻斷的問題。

另一個(gè)挑戰(zhàn)在于手動(dòng)處理沒法跟上擴(kuò)展、容器和API的速度。這就是現(xiàn)在基礎(chǔ)設(shè)施即代碼出現(xiàn)的原因，可以通過機(jī)器可讀的文件對(duì)基礎(chǔ)設(shè)施進(jìn)行管理和供應(yīng)。這些文件都基于API。這種方式能集成到云優(yōu)先環(huán)境，不僅因?yàn)樗茌p松快速修改基礎(chǔ)設(shè)施，但也很容易產(chǎn)生配置錯(cuò)誤，導(dǎo)致環(huán)境會(huì)暴露在漏洞上。

再說到容器，也很難在大量的云服務(wù)中進(jìn)行追蹤。AWS自己也有Elastic容器服務(wù)、無服務(wù)器計(jì)算引擎Fargate、以及Elastic Kubernetes服務(wù)。像Docker和Terraform等公共容器服務(wù)不一定會(huì)被每個(gè)CSPM支持。

不依靠大量集成的話，可視化能力也會(huì)很難做。企業(yè)只需要一個(gè)關(guān)于自身云安全態(tài)勢(shì)的真相來源。這就意味著CSPM的展示界面會(huì)在SOC中有一席之地——哪怕SOC的面板已經(jīng)十分擁擠了。另外，SOC人員還需要考慮如何將這些數(shù)據(jù)融入現(xiàn)有的戰(zhàn)術(shù)手冊(cè)中。這也意味著CSPM應(yīng)該能夠融入這些現(xiàn)有的工具中，并且共享IOC或者針對(duì)基礎(chǔ)設(shè)施的攻擊信息。

一些工具，比如CrowdStrike的Falcon和Orca的工具，進(jìn)一步進(jìn)行了集成。兩者都能能做到一些像給Slack頻道推送告警、啟動(dòng)Jira工作流、給ServiceNow發(fā)送進(jìn)一步調(diào)查的故障單等行為。

Gartner認(rèn)為“架構(gòu)師使用CSPM來驗(yàn)證云原生數(shù)據(jù)，并貫徹應(yīng)用控制。”他們標(biāo)出了五個(gè)對(duì)CSPM而言常見的功能：

• 合規(guī)評(píng)估。
• 運(yùn)營日志、告警監(jiān)測以及威脅檢測。
• DevOps集成與持續(xù)部署修復(fù)。
• 近乎實(shí)時(shí)的事件響應(yīng)。
• 統(tǒng)一風(fēng)險(xiǎn)評(píng)估與可視化。

需要詢問CSPM供應(yīng)商的幾個(gè)問題

• 如何計(jì)算你的基線，從而能夠追蹤你的云上資產(chǎn)變化?

• 該解決方案是否適用于主流公有云，以及不同的Kubernetes和其他基于容器的部署模式?又是否能支持像Box、Salesforce、Workday、ServiceNow等SaaS應(yīng)用?某些產(chǎn)品會(huì)在云端部署代理，有些通過只讀接入的方式掃描環(huán)境和資源，還有一些需要寫入權(quán)限對(duì)賬戶進(jìn)行修復(fù)。

• 針對(duì)各類變化、政策違規(guī)和其他異常事件的告警實(shí)時(shí)性如何?它會(huì)不會(huì)追蹤配置錯(cuò)誤的安全組、遠(yuǎn)程接入、應(yīng)用控制錯(cuò)誤、以及網(wǎng)絡(luò)變化?所有的云廠商都會(huì)提供內(nèi)置的活動(dòng)監(jiān)測，但如果使用多云，就會(huì)需要CSPM對(duì)這些豐富的數(shù)據(jù)來源進(jìn)行分隔，從而能有效利用這些數(shù)據(jù)。

• 自動(dòng)化修復(fù)的實(shí)時(shí)性如何?最好的CSPM會(huì)持續(xù)掃描有隱患的系統(tǒng)，有一些還能夠在一個(gè)新的虛擬機(jī)上線造成不安全情況的時(shí)候進(jìn)行檢測。

• 它還能集成哪些安全和通知工具?比如SIEM和SOAR?

• 在每個(gè)云供應(yīng)商上能支持多少合規(guī)和審計(jì)的報(bào)告框架?每個(gè)工具都會(huì)支持一種不同的框架集合，所以不一定會(huì)在所有云上都是統(tǒng)一的方式，只會(huì)讓使用者用起來更麻煩。

• 成本如何?一些廠商會(huì)提供有限的試用期;一些會(huì)根據(jù)主機(jī)數(shù)量收費(fèi)，或者用某些更復(fù)雜的方式收費(fèi)——能夠讓客戶在收到賬單的時(shí)候大吃一驚。極少有能像Sysdig那樣會(huì)提供一個(gè)公開透明的價(jià)格頁面。

5個(gè)國外CSPM產(chǎn)品以及其關(guān)鍵功能

(1) CrowdStrike Falcon Horizon

CrowdStrike Falcon Horizon支持多種在AWS和Azure之間不同的服務(wù)。它有一個(gè)單獨(dú)的控制臺(tái)，可以管理兩個(gè)云的安全組;同時(shí)可以報(bào)告在兩個(gè)服務(wù)中被管理的Kubernetes節(jié)點(diǎn)的風(fēng)險(xiǎn)。它能被用于主動(dòng)識(shí)別軟件開發(fā)生命周期中的威脅，然后使用代理監(jiān)測行為。

(2) Orca Security

Orca是一家CSPM初創(chuàng)廠商，用無代理的方式支持所有三種國外主流云平臺(tái)。它的工具有一些負(fù)載保護(hù)功能，還提供對(duì)各個(gè)云服務(wù)的容器深度檢查。

(3) SecureSky Active Protection Platform

SecureSky Active Protection Platform支持所有三種國外主流公有云廠商，同時(shí)支持多種SaaS應(yīng)用，包括Office 365、Workday、Salesforce、ServiceNow和Box。它集成了SIEM以及多種合規(guī)工具，還集成了一個(gè)威脅管理功能。

(4) Sysdig Secure

Sysdig從為AWS提供服務(wù)開始，現(xiàn)在在谷歌云有測試版本，并且在明年會(huì)增加在Azure的能力。Sysdig最多能夠掃描250個(gè)在AWS Fargate和ECR中被管理的容器鏡像。他們有一個(gè)免費(fèi)賬號(hào)等級(jí)，以及多個(gè)付費(fèi)賬號(hào)等級(jí)。付費(fèi)賬號(hào)可以加入容器監(jiān)測等功能，費(fèi)用在每個(gè)主機(jī)24美金起，并且有年度折扣。

(5) Zscaler

Zcaler的CSPM產(chǎn)品去年被Cloudneeti收購了。Zcaler提供30天的免費(fèi)試用。從被收購以來，他們加入了資產(chǎn)管理功能、大量的預(yù)定義策略、以及一個(gè)構(gòu)筑策略的查詢語言，同時(shí)增加了谷歌云平臺(tái)的支持。他們還有13種合規(guī)框架，盡管說每個(gè)云平臺(tái)可能會(huì)支持不同的系列。