云原生理念經(jīng)過幾年的落地實(shí)踐已經(jīng)得到企業(yè)市場的廣泛認(rèn)可，成為企業(yè)數(shù)字化轉(zhuǎn)型的必選項(xiàng)?；谠圃夹g(shù)架構(gòu)開發(fā)的軟件產(chǎn)品和工具，也開始逐漸應(yīng)用在企業(yè)的日常工作當(dāng)中。隨著云原生時代的正式到來，以CWPP、CSPM、CIEM、CNAPP為代表的主流云安全技術(shù)又將會如何發(fā)展與演進(jìn)呢？

1. CWPP：云工作負(fù)載保護(hù)平臺

2010年，Gartner正式提出 “云工作負(fù)載保護(hù)平臺”(Cloud Workload Protection Platform，CWPP)概念，旨在為虛擬機(jī)和容器的早期采用提供保護(hù)。根據(jù)Gartner的定義，CWPP是一種“以工作負(fù)載為中心的安全解決方案，可滿足現(xiàn)代混合數(shù)據(jù)中心架構(gòu)中服務(wù)器工作負(fù)載保護(hù)的獨(dú)特要求，這些架構(gòu)涵蓋本地、物理和虛擬機(jī)(VM)以及多個公共云基礎(chǔ)架構(gòu)即服務(wù)(IaaS)環(huán)境。” CWPP的部署也將支持基于容器的應(yīng)用程序架構(gòu)。

CWPP技術(shù)的目的是保護(hù)公共云中的服務(wù)器工作負(fù)載。CWPP解決方案可發(fā)現(xiàn)組織基于云的部署和本地基礎(chǔ)設(shè)施中存在的工作負(fù)載，提供集中式解決方案以擴(kuò)展對云資源的可見性，并保護(hù)云工作負(fù)載。

CWPP的主要功能：

• 保護(hù)云和本地工作負(fù)載：CWPP能夠發(fā)現(xiàn)組織基于云的部署和本地基礎(chǔ)設(shè)施中存在的工作負(fù)載，并提供對云資源和安全工作負(fù)載的可見性。
• 精細(xì)、詳盡的可見性：CWPP非常擅長收集有關(guān)漏洞、敏感信息、惡意軟件掃描、資產(chǎn)版本等的詳細(xì)信息，這在擴(kuò)展工作負(fù)載時會很有幫助。
• 運(yùn)行時(Runtime)保護(hù)：CWPP還可以提供文件完整性監(jiān)控(FIM)、惡意軟件掃描、日志檢查、應(yīng)用程序控制和允許列出保護(hù)運(yùn)行時所需的功能。
• 基于身份的隔離：CWPP可以提供基于應(yīng)用程序/工作負(fù)載身份執(zhí)行策略的技術(shù)。
• 工作負(fù)載的合規(guī)性：CWPP可以將發(fā)現(xiàn)的風(fēng)險分類到選定的合規(guī)性框架中，以便輕松、持續(xù)地報告和審計。

CWPP面臨的挑戰(zhàn)：

• 需要維護(hù)一個單獨(dú)的代理：CWPP需要為所保護(hù)的每項(xiàng)資產(chǎn)安裝和維護(hù)一個單獨(dú)的代理，這會導(dǎo)致部署時間變慢、持續(xù)維護(hù)成本增加，甚至影響資產(chǎn)性能。
• 無法深入了解云控制平面：CWPP僅涵蓋工作負(fù)載，它們不提供對控制平面(control plane)的任何見解。為此，用戶需要使用CSPM解決方案。
• 難以區(qū)分告警優(yōu)先級：CWPP缺乏了解安全問題全部含義所需的可見性和上下文信息。如果沒有對云基礎(chǔ)設(shè)施的可見性，單獨(dú)的CWPP無法看到整個云資產(chǎn)，也無法根據(jù)環(huán)境上下文確定警報的優(yōu)先級。
• 資產(chǎn)覆蓋不夠：由于不太可能在任何地方部署代理，而且即便是部署了代理，也不太可能與每個操作系統(tǒng)兼容，且代理的維護(hù)成本很高，這就導(dǎo)致CWPP不可避免地會存在盲點(diǎn)。Orca Security研究表明，云主機(jī)安全解決方案平均覆蓋的資產(chǎn)不到50%。此外，基于代理的CWPP無法查看停止、暫?；蚩臻e的機(jī)器，從而使它們很容易受到攻擊。
• 缺乏橫向移動風(fēng)險檢測：攻擊者經(jīng)常會嘗試在云環(huán)境中獲得初始立足點(diǎn)，然后橫向移動到實(shí)際目標(biāo)。單獨(dú)的CWPP無法識別哪些密鑰可以為攻擊者提供對其他資產(chǎn)的訪問權(quán)限，從而暴露了一個重要的攻擊向量。

總體來看，CWPP技術(shù)可確保公共云工作負(fù)載的安全，但并未涵蓋所有云安全要求。雖然CWPP解決方案提供了對工作負(fù)載內(nèi)部發(fā)生事情的詳細(xì)可見性，但它缺乏對工作負(fù)載之間連接及其駐留基礎(chǔ)架構(gòu)配置的上下文信息和可見性。

2. CSPM：云安全平臺管理

2014年左右，當(dāng)AWS、Microsoft Azure和Google Cloud等公有云服務(wù)獲得普及時，Gartner又創(chuàng)造了一個新的云安全管理定義——“云安全平臺管理”(Cloud Security Platform Management，CSPM)，幫助企業(yè)組織維護(hù)云服務(wù)的正確配置，保障其在公共云上業(yè)務(wù)的合規(guī)。CSPM解決方案的一個重要目標(biāo)是持續(xù)監(jiān)控云基礎(chǔ)設(shè)施，以發(fā)現(xiàn)安全策略執(zhí)行方面的漏洞。

CSPM可以為組織提供對其整個云基礎(chǔ)架構(gòu)的集中可見性和風(fēng)險評估，它可以自動識別跨云基礎(chǔ)架構(gòu)的風(fēng)險，并在某些情況下進(jìn)行補(bǔ)救。云基礎(chǔ)設(shè)施的監(jiān)控可以通過定期查詢來完成，這些查詢會返回一系列關(guān)于安全策略或最佳實(shí)踐違規(guī)的警報。

CSPM解決方案涵蓋云環(huán)境，并提醒員工注意可能使云環(huán)境面臨安全風(fēng)險或運(yùn)營效率低下的錯誤配置。CSPM還可以通過這種方式，幫助組織節(jié)省資金、識別重要的安全風(fēng)險以及對團(tuán)隊進(jìn)行培訓(xùn)。

CSPM的主要功能：

• 安全策略實(shí)施：CSPM監(jiān)控錯誤配置問題及合規(guī)風(fēng)險，并在云環(huán)境中實(shí)施安全策略。
• 多云配置管理：CSPM通過對云配置的可見性，實(shí)現(xiàn)對多個云服務(wù)進(jìn)行的集中管控。
• 審計云控制平面：CSPM通過API連接，允許即時訪問和審計跨多云環(huán)境的整個控制面配置。
• 為云基礎(chǔ)架構(gòu)提供合規(guī)性報告：CSPM不斷審查云環(huán)境并將正確和錯誤配置的結(jié)果分組到合規(guī)性框架中，幫助組織審核其云基礎(chǔ)架構(gòu)的正確管理。
• 與第三方威脅情報集成：大多數(shù)CSPM能夠集成原生云服務(wù)提供商的威脅工具，這些工具可以幫助組織進(jìn)一步識別風(fēng)險并確定優(yōu)先級和錯誤配置風(fēng)險。

CSPM面臨的挑戰(zhàn)：

• 無法深入了解工作負(fù)載：CSPM解決方案無法深入研究工作負(fù)載。例如，如果用戶有易受攻擊的Web服務(wù)器或受感染的工作負(fù)載，它們不會提供警報。為此，用戶還需要CWPP或CNAPP解決方案。
• 缺乏橫向移動風(fēng)險檢測：攻擊者經(jīng)常會嘗試在云環(huán)境中獲得初始立足點(diǎn)，然后橫向移動實(shí)際目標(biāo)。CSPM無法識別哪些密鑰可以為攻擊者提供對其他資產(chǎn)的訪問權(quán)限，從而暴露或無法識別重要的攻擊向量。

總體來看，CSPM解決方案可確保正確配置公共云服務(wù)和多云基礎(chǔ)架構(gòu)。CSPM解決方案非常適合為審計提供云治理和云合規(guī)性服務(wù)，但是，它們?nèi)狈υ苹A(chǔ)架構(gòu)之外風(fēng)險和威脅的深度可見性，從而在覆蓋范圍上留下空白。

3. CIEM：云基礎(chǔ)設(shè)施授權(quán)管理

CIEM，全稱Cloud Infrastructure Entitlements Management，即云基礎(chǔ)設(shè)施授權(quán)管理，可有效監(jiān)控識別云賬戶行為中的異常情況。企業(yè)IT和安全團(tuán)隊可以使用CIEM解決方案來管理公共云和多云環(huán)境中的身份和訪問權(quán)限。CIEM解決方案將“最小權(quán)限”原則應(yīng)用于云基礎(chǔ)設(shè)施和服務(wù)，幫助組織降低由于權(quán)限混亂而導(dǎo)致的數(shù)據(jù)泄露風(fēng)險。

企業(yè)的云環(huán)境需要向包括員工、業(yè)務(wù)系統(tǒng)和終端設(shè)備授予數(shù)量巨大的訪問權(quán)限，其中許多可能包括未使用的權(quán)限、過期賬戶以及默認(rèn)和錯誤配置的權(quán)限。如果不加以檢查，這些權(quán)限將成為攻擊者滲透云部署的簡便途徑。CIEM解決方案允許組織的安全團(tuán)隊管理哪些用戶(業(yè)務(wù)人員和應(yīng)用系統(tǒng))可以訪問哪些資源等。

CIEM的主要功能：

• 身份和訪問管理(IAM)：CIEM能夠管理對云資源擁有過多權(quán)限的特權(quán)身份，并在云環(huán)境中實(shí)施最低權(quán)限。
• 審核多云訪問權(quán)限：CIEM持續(xù)監(jiān)控和審查跨多個云服務(wù)提供商的所有訪問權(quán)限。
• 與IDP(身份提供商)解決方案集成：CIEM可以與身份提供商密切合作，將覆蓋范圍從系統(tǒng)和云服務(wù)擴(kuò)展到所有擁有托管數(shù)字身份的人。
• 授權(quán)風(fēng)險和合規(guī)性報告：CIEM提供對有風(fēng)險或不合規(guī)云授權(quán)的可見性，從而確定身份可以執(zhí)行哪些任務(wù)以及可以跨組織的云基礎(chǔ)架構(gòu)訪問哪些資源。
• 提供授權(quán)建議：CIEM還能夠了解整個云身份環(huán)境，為策略和補(bǔ)救措施提供最佳實(shí)踐建議，以減少訪問，實(shí)現(xiàn)最低權(quán)限。
• 最小特權(quán)權(quán)限分析：CIEM不僅啟用最小特權(quán)權(quán)限，而且還確保權(quán)限不會過度管理。

CIEM面臨的挑戰(zhàn)：

• 不完整的身份和訪問管理(IAM)：CIEM無法識別“另類的”身份和訪問管理(IAM)機(jī)制，例如磁盤上的SSH密鑰和AWS密鑰，以及橫向移動風(fēng)險。
• 完整上下文和可見性方面的缺口：由于CIEM解決方案主要專注于保護(hù)云的“新邊界”，即身份訪問管理，因此一般缺乏對CSPM提供的控制面以及實(shí)際工作負(fù)載中運(yùn)行內(nèi)容的可見性。

總的來看，CIEM解決方案可以確保身份和訪問管理(IAM)遵循對云基礎(chǔ)設(shè)施和服務(wù)的最低權(quán)限訪問原則，因?yàn)樗墓δ苤饕性贗AM、授權(quán)風(fēng)險和合規(guī)性方面。不過，盡管IAM被認(rèn)為是“云計算的新邊界”，但I(xiàn)AM和CIEM解決方案仍然缺乏對云基礎(chǔ)設(shè)施和工作負(fù)載的全面安全覆蓋。

4. CNAPP：云原生應(yīng)用保護(hù)平臺

CNAPP是Gartner新提出的一個云安全技術(shù)概念，代表“云原生應(yīng)用程序保護(hù)平臺”(Cloud-Native Application Protection Platform)。作為一種創(chuàng)新的云安全技術(shù)，CNAPP目前受到了廣泛關(guān)注，因?yàn)樗鼘⒍喾N安全功能以原生化方式融合到統(tǒng)一的云安全平臺中。

CNAPP可以保護(hù)從系統(tǒng)代碼到業(yè)務(wù)開展的整個應(yīng)用程序開發(fā)生命周期，未來將在很大程度替代傳統(tǒng)防護(hù)模式的云安全狀態(tài)管理(CSPM)、云工作負(fù)載保護(hù)平臺(CWPP)和云基礎(chǔ)設(shè)施授權(quán)管理(CIEM)等云安全技術(shù)。

正確的CNAPP解決方案并非孤立的視圖，而是提供對云資產(chǎn)的全面覆蓋和可見性，并且可以檢測整個技術(shù)堆棧的風(fēng)險，包括云配置錯誤、不安全的工作負(fù)載和管理不善的身份訪問。

此外，CNAPP還包含“左移”功能，以便在開發(fā)生命周期的早期階段識別風(fēng)險。通過結(jié)合漏洞、上下文和關(guān)聯(lián)，一些CNAPP能夠執(zhí)行云攻擊路徑分析，識別看似不相關(guān)的“低?！憋L(fēng)險如何組合以創(chuàng)建危險的攻擊向量。

CNAPP的主要能力：

• 管理錯誤配置風(fēng)險：減少云原生應(yīng)用程序的錯誤配置以及安全管理不善的機(jī)會。
• 整合安全投資：減少工具和供應(yīng)商的數(shù)量。
• 簡化治理和合規(guī)性：降低與創(chuàng)建安全且合規(guī)云原生應(yīng)用程序的復(fù)雜性和成本。
• 優(yōu)先處理關(guān)鍵警報：允許安全部門根據(jù)關(guān)系(安全漏洞、錯誤配置、權(quán)限、暴露的秘密)了解攻擊路徑。
• 提高DevSecOps可見性：通過雙向連接(Bi-directionally link)開發(fā)和運(yùn)營可見性以及對風(fēng)險分析的洞察力，改善企業(yè)整體安全狀況。

CNAPP面臨的挑戰(zhàn)：

• 重疊的能力：一個組織可能有他們無法刪除的遺留云安全系統(tǒng)。隨著時間的推移，安全部門負(fù)責(zé)人可以通過更新云戰(zhàn)略并在合同到期時移除冗余技術(shù)來消除這些障礙。

總體而言，CNAPP在許多方面都具有優(yōu)勢，其主要優(yōu)勢在于提高了對云的可見性。Gartner在《云原生應(yīng)用程序保護(hù)平臺創(chuàng)新洞察報告》中指出，“CNAPP方法的最大好處是更好地了解和控制云原生應(yīng)用程序風(fēng)險?！?/p>

云原生安全性的發(fā)展，為組織在不犧牲安全性和合規(guī)性的情況下加速增長和創(chuàng)造收入開辟了新機(jī)遇。與其部署、分析和關(guān)聯(lián)多點(diǎn)解決方案，不如節(jié)省時間深入了解風(fēng)險和攻擊路徑，而這只有通過集中式CNAPP解決方案才有可能實(shí)現(xiàn)。

參考鏈接：https://cloudsecurityalliance.org/blog/2022/05/20/know-your-cloud-security-acronyms-cwpp-cspm-ciem-and-cnapp/