云計(jì)算因其與生俱來(lái)的可擴(kuò)展性和靈活性，以及高性能計(jì)算能力，已經(jīng)獲得了大量企業(yè)用戶的青睞，并成為其關(guān)鍵任務(wù)負(fù)載的首選項(xiàng)。而云安全態(tài)勢(shì)管理（CSPM）是確保云計(jì)算基礎(chǔ)設(shè)施安全運(yùn)營(yíng)的有效工具，它能夠掃描企業(yè)的云配置和應(yīng)用程序組件，并突出顯示任何可能導(dǎo)致數(shù)據(jù)泄露的錯(cuò)誤配置，CSPM通過(guò)自動(dòng)化手段正確配置云中的服務(wù)和資源，有效阻止攻擊者侵入系統(tǒng)，幫助企業(yè)保護(hù)系統(tǒng)安全。本文收集整理了目前市場(chǎng)上主流的7款CSPM解決方案，并對(duì)其應(yīng)用優(yōu)勢(shì)和存在的不足進(jìn)行了分析。

01

Palo Alto Networks Prisma Cloud

推薦理由:  綜合能力表現(xiàn)較突出

Prisma Cloud是Palo Alto公司推出的一款CNAPP解決方案，擁有面向混合、多云和云原生等環(huán)境的全面云安全態(tài)勢(shì)管理功能。該解決方案能夠有效地兼容常見(jiàn)的公有云環(huán)境，包括：AWS、谷歌云、微軟Azure、甲骨文云和阿里云。與大多數(shù)CSPM方案相比，用戶很容易通過(guò)這個(gè)平臺(tái)實(shí)現(xiàn)定制和自動(dòng)化。Prisma Cloud可以提供靈活的實(shí)施選項(xiàng)，與多家云服務(wù)商高效集成以確保安全和合規(guī)，具有機(jī)器學(xué)習(xí)驅(qū)動(dòng)的威脅和異常檢測(cè)能力，以及代碼掃描和開(kāi)發(fā)支持功能。它還是少數(shù)幾種提供全面的代碼掃描功能且易于使用的CSPM解決方案之一。

應(yīng)用特點(diǎn)：

?工作負(fù)載和應(yīng)用程序自動(dòng)分類，可以追溯整個(gè)生命周期內(nèi)的云應(yīng)用資產(chǎn)變更；

?基于700多個(gè)策略和120多個(gè)云服務(wù)的配置評(píng)估；

?自動(dòng)修復(fù)常見(jiàn)的云錯(cuò)誤配置；

?自定義策略構(gòu)建和報(bào)告功能；

?網(wǎng)絡(luò)威脅檢測(cè)、UEBA和集成式威脅檢測(cè)儀表板。

方案優(yōu)勢(shì)：

?采用全面的方法跨多個(gè)數(shù)據(jù)源進(jìn)行數(shù)據(jù)規(guī)范和分析，這是許多競(jìng)爭(zhēng)對(duì)手無(wú)法比擬的；

?用戶可以使用機(jī)器學(xué)習(xí)驅(qū)動(dòng)的基于異常的策略；

?支持可靠的數(shù)據(jù)安全功能。

主要不足：

?Palo Alto Networks的定價(jià)并不便宜，客戶可能很快超出預(yù)算；

?該解決方案缺乏某種支出跟蹤功能，不太適合小企業(yè)用戶。

傳送門：

https://www.paloaltonetworks.com/prisma/cloud/cloud-security-posture-management

02

Check Point CloudGuard 

推薦理由:  完善的合規(guī)功能

CSPM是Check Point  CloudGuard云原生安全平臺(tái)的一個(gè)重要組件，旨在支持云原生環(huán)境中的安全和合規(guī)功能，能夠?yàn)锳WS、谷歌云、微軟Azure、阿里云和Kubernetes用戶提供完整的安全態(tài)勢(shì)管理功能。

許多用戶選擇這個(gè)CSPM方案的主要原因是由于其出色的合規(guī)功能，包括基于規(guī)則的、機(jī)器學(xué)習(xí)驅(qū)動(dòng)的遙測(cè)映射（基于數(shù)十種合規(guī)框架）以及用于自動(dòng)執(zhí)行合規(guī)策略的CloudBots。該CSPM解決方案的其他突出功能包括AI驅(qū)動(dòng)的上下文確定，主要是在風(fēng)險(xiǎn)評(píng)估活動(dòng)、IDE風(fēng)險(xiǎn)管理以及高級(jí)基礎(chǔ)設(shè)施即代碼掃描之前進(jìn)行。

應(yīng)用特點(diǎn)：

?安全加固和運(yùn)行時(shí)代碼分析；

?自動(dòng)修復(fù)通過(guò)合規(guī)引擎來(lái)提供；

?IAM驅(qū)動(dòng)的即時(shí)用戶訪問(wèn)；

?可為50多個(gè)合規(guī)框架、250多個(gè)云原生API和2400多個(gè)安全規(guī)則集提供安全評(píng)估；

?工作負(fù)載和軟件供應(yīng)鏈安全功能。

方案優(yōu)勢(shì)：

?提供威脅情報(bào)支持，作為所有CloudGuard Cloud Security Posture Management用戶的補(bǔ)充性附件；

?治理和合規(guī)策略功能（尤其是CloudGuard的遙測(cè)映射）非常先進(jìn)；

?CloudBots提供易于使用的低代碼開(kāi)源自動(dòng)化。

主要不足：

?能夠?yàn)镺racle Cloud用戶提供的支持和功能比較有限；

?CloudGuard平臺(tái)對(duì)小公司而言功能過(guò)于復(fù)雜。

傳送門：

https://www.checkpoint.com/cloudguard/cloud-security-posture-management/

03

Lacework

推薦理由:  強(qiáng)大的智能行為分析能力

Lacework是一個(gè)CNAPP平臺(tái)，可以將云安全態(tài)勢(shì)管理與漏洞管理、基礎(chǔ)設(shè)施即代碼（IaC）安全、身份分析和云工作負(fù)載保護(hù)相結(jié)合，面向AWS、微軟Azure、谷歌云和Kubernetes配置。Lacework不是主要依靠合規(guī)策略來(lái)進(jìn)行風(fēng)險(xiǎn)和安全管理，而是依靠智能行為分析以確定云環(huán)境的基準(zhǔn)行為，并根據(jù)這些標(biāo)準(zhǔn)評(píng)估異常和風(fēng)險(xiǎn)。

Lacework的機(jī)器學(xué)習(xí)驅(qū)動(dòng)方法允許平臺(tái)自動(dòng)管理云安全，不僅用于行為分析，還用于威脅情報(bào)和異常檢測(cè)。該工具的其他出色功能包括代理和無(wú)代理操作以及報(bào)告功能（比如按鈕和多種格式選項(xiàng)），因而很容易與企業(yè)的各利益相關(guān)方共享發(fā)現(xiàn)結(jié)果。

應(yīng)用特點(diǎn)：

?具有云資產(chǎn)庫(kù)存表，可以每日記錄庫(kù)存；

?預(yù)構(gòu)建的定義策略選項(xiàng)；

?按鈕式的報(bào)告定制與生成功能；

?提供云攻擊路徑分析和上下文修復(fù)指導(dǎo)；

?可以根據(jù)嚴(yán)重程度進(jìn)行風(fēng)險(xiǎn)評(píng)估。

方案優(yōu)勢(shì)：

?Lacework實(shí)驗(yàn)室是一個(gè)內(nèi)部研究團(tuán)隊(duì)，負(fù)責(zé)識(shí)別新的威脅，并優(yōu)先考慮優(yōu)化Lacework平臺(tái)的方法；

?該解決方案可高度定制，特別是通過(guò)Polygraph行為引擎提供的功能來(lái)定制；

?該工具提供高級(jí)風(fēng)險(xiǎn)上下文，允許用戶將各種類型的錯(cuò)誤配置與環(huán)境中已識(shí)別的異?；顒?dòng)相匹配。

主要不足：

?第三方集成和支持有限；

?在數(shù)據(jù)安全治理方面的功能相對(duì)有限。

傳送門：

https://www.lacework.com/platform/cloud-security-posture-and-compliance/

04

CrowdStrike Falcon Cloud Security

推薦理由:  較強(qiáng)的威脅情報(bào)能力

CrowdStrike Falcon Cloud Security可以為企業(yè)組織的混合云和多云應(yīng)用環(huán)境提供先進(jìn)的CSPM功能，能夠與三大公有云：AWS、Azure和GCP進(jìn)行兼容。CrowdStrike主要采用了無(wú)代理的CSPM管理模式，提供了持續(xù)發(fā)現(xiàn)和智能監(jiān)控功能，簡(jiǎn)化了云環(huán)境中的風(fēng)險(xiǎn)管理和響應(yīng)。CrowdStrike CSPM解決方案的一大亮點(diǎn)是在威脅情報(bào)方面的深厚積累，采用攻擊者優(yōu)先的情報(bào)策略，可以基于對(duì)50多個(gè)攻擊指標(biāo)和150個(gè)攻擊團(tuán)伙持續(xù)監(jiān)測(cè)，支持指導(dǎo)性修復(fù)，幫助企業(yè)安全團(tuán)隊(duì)能夠更快速、更輕松地識(shí)別和修復(fù)最緊迫的安全問(wèn)題。

應(yīng)用特點(diǎn)：

?具有機(jī)器學(xué)習(xí)和行為分析驅(qū)動(dòng)的TTP/IOA檢測(cè)能力；

?具有攻擊者驅(qū)動(dòng)的威脅檢測(cè)和情報(bào)；

?可對(duì)錯(cuò)誤配置提供指導(dǎo)性修復(fù)支持，由行業(yè)和組織基準(zhǔn)作為指導(dǎo)；

?對(duì)未受保護(hù)的資源提供點(diǎn)擊式重新配置的功能；

?可與DevOps、SIEM及其他云安全系統(tǒng)集成。

方案優(yōu)勢(shì)：

?該解決方案可與CrowdStrike的其他網(wǎng)絡(luò)安全解決方案無(wú)縫集成；

?可以集成較完善的XDR和EDR解決方案功能；

?可以實(shí)現(xiàn)身份驅(qū)動(dòng)的實(shí)時(shí)威脅檢測(cè)。

主要不足：

?沒(méi)有代碼掃描功能；

?適配的公有云平臺(tái)范圍有限，主要針對(duì)AWS、谷歌云和微軟Azure提供完整功能。

傳送門：

https://www.crowdstrike.com/products/cloud-security/cloud-security-posture-management-cspm/

05

Cyscale

推薦理由:  完善的云安全映射能力

Cyscale是一款基于上下文的云安全態(tài)勢(shì)管理解決方案，可以支持AWS、微軟Azure、谷歌云和阿里云用戶的安全態(tài)勢(shì)管理。借助多個(gè)管理頁(yè)面、易于操控的界面和標(biāo)準(zhǔn)化的新用戶導(dǎo)入方法，Cyscale非常注重其解決方案的用戶使用體驗(yàn)。

Cyscale為云資產(chǎn)和安全控制提供了一些良好的映射功能，比如監(jiān)管標(biāo)準(zhǔn)和組織特有的策略。其工作方式是，將云基礎(chǔ)設(shè)施可能存在的安全問(wèn)題映射到從既定策略到監(jiān)管標(biāo)準(zhǔn)的方方面面，然后用戶能夠自定義安全閾值，以確定哪些資產(chǎn)滿足其安全和合規(guī)需求。如果組織經(jīng)常受到審計(jì)，又需要一種快速的方法來(lái)呈現(xiàn)問(wèn)題和可能適用的修復(fù)策略，Cyscale的映射方法將會(huì)特別有效。

應(yīng)用特點(diǎn)：

?提供云資產(chǎn)清點(diǎn)、映射和安全性評(píng)估；

?擁有500多個(gè)內(nèi)置安全控制措施和策略；

?應(yīng)用程序內(nèi)咨詢和修復(fù)指導(dǎo)；

?可將數(shù)據(jù)導(dǎo)出到PDF和CSV格式，最多保留一年；

?默認(rèn)提供豁免選項(xiàng)（借助豁免審批程序）。

方案優(yōu)勢(shì)：

?與Okta和Azure Active Directory等主流身份安全方案集成；

?是用戶體驗(yàn)和可見(jiàn)性最佳的CSPM解決方案之一；

?提供了直接的、標(biāo)準(zhǔn)化的用戶導(dǎo)入和部署程序。

主要不足：

?價(jià)格非常昂貴，不適合小型企業(yè)用戶；

?其對(duì)“單個(gè)資產(chǎn)”的定義可能讓用戶感到困惑。

傳送門：

https://cyscale.com/products/cloud-security-posture-management/

06

Trend Micro Trend Cloud One Conformity

推薦理由:  完善的配置建議

Trend Micro公司推出的Trend Cloud One Conformity是一款功能領(lǐng)先的CSPM解決方案，擅長(zhǎng)為新用戶提供詳細(xì)的解釋、指導(dǎo)和支持。Trend Micro致力于為潛在買家普及云安全應(yīng)用知識(shí)。Trend Cloud One Conformity還提供了詳細(xì)的配置建議，這些建議基于名為良好架構(gòu)框架（Well-Architected Frameworks）的云設(shè)計(jì)和基礎(chǔ)設(shè)施標(biāo)準(zhǔn)。有了這套原則作為其建議的基礎(chǔ)，用戶可以輕松檢查其配置決策如何與安全、卓越運(yùn)營(yíng)、可靠性、性能效率、成本優(yōu)化和可持續(xù)性等云安全要求保持一致。該方案可以手動(dòng)更新配置，也可以基于這些規(guī)則自動(dòng)修復(fù)配置。

應(yīng)用特點(diǎn)：

?修復(fù)指南和自動(dòng)修復(fù)；

?為錯(cuò)誤配置提供了可過(guò)濾的審計(jì)；

?可導(dǎo)出、可定制的報(bào)告；

?對(duì)照合規(guī)和行業(yè)標(biāo)準(zhǔn)進(jìn)行持續(xù)掃描；

?免費(fèi)的公共云風(fēng)險(xiǎn)評(píng)估。

方案優(yōu)勢(shì)：

?具有簡(jiǎn)單直觀、易于設(shè)置的自動(dòng)化修復(fù)功能；

?可以與多款服務(wù)工單和通信工具集成，包括Slack、ServiceNow、Jira、PagerDuty和Microsoft Teams；

?Conformity知識(shí)庫(kù)為用戶提供了廣泛的自助修復(fù)指南集合。

主要不足：

?CIEM功能有限；

?目前僅支持三大公共云平臺(tái)：AWS、微軟Azure和谷歌云。

傳送門：

https://www.trendmicro.com/en_us/business/products/hybrid-cloud/cloud-one-conformity.html

07

Ermetic

推薦理由:  強(qiáng)大的特權(quán)訪問(wèn)管理功能

Ermetic是一種CNAPP解決方案，主要面向AWS、谷歌云和微軟Azure用戶提供云安全態(tài)勢(shì)管理和云基礎(chǔ)設(shè)施授權(quán)管理（CIEM）。方案可以添加的高級(jí)CIEM功能使其成為監(jiān)視云應(yīng)用人員及其對(duì)基礎(chǔ)設(shè)施和配置決策的影響。Ermetic的一大特點(diǎn)是身份驅(qū)動(dòng)的安全管理功能，包括多云資產(chǎn)管理和檢測(cè)、基于身份授權(quán)的風(fēng)險(xiǎn)評(píng)估以及注重IAM的策略建議，還可以為用戶提供特權(quán)訪問(wèn)管理（PAM）和即時(shí)訪問(wèn)管理功能。

應(yīng)用特點(diǎn)：

?通過(guò)使用身份驅(qū)動(dòng)的安全策略實(shí)現(xiàn)自動(dòng)化修復(fù)；

?可以修復(fù)未使用的特權(quán)和過(guò)渡的用戶特權(quán)；

?可以將CSPM功能和CIEM功能相結(jié)合；

?Terraform和CloudFormation中的IaC代碼片段；

?策略的內(nèi)置模板和可定制選項(xiàng)。

方案優(yōu)勢(shì)：

?對(duì)于還想要全面CIEM功能的用戶來(lái)說(shuō)，它是最好的CSPM選項(xiàng)之一；

?少數(shù)提供特權(quán)訪問(wèn)管理的CSPM解決方案；

?可以與主流SIEM方案（比如Splunk、IBM QRadar、ServiceNow和Jira）高效集成。

主要不足：

?是市面上最昂貴的CSPM方案之一；

?僅限于AWS、Azure和GCP云用戶使用。

傳送門：

https://ermetic.com/solution/more-robust-cloud-security-posture-management-cspm/

參考鏈接：

https://www.esecurityplanet.com/products/cspm-tools/