云原生时代来临，云安全技术将何去何从？

云原生时代来临，云安全技术将何去何从？-51CTO.COM

云原生理念经过几年的落地实践已经得到企业市场的广泛认可，成为企业数字化转型的必选项。基于云原生技术架构开发的软件产品和工具，也开始逐渐应用在企业的日常工作当中。随着云原生时代的正式到来，以CWPP、CSPM、CIEM、CNAPP为代表的主流云安全技术又将会如何发展与演进呢？

1. CWPP：云工作负载保护平台

2010年，Gartner正式提出 “云工作负载保护平台”(Cloud Workload Protection Platform，CWPP)概念，旨在为虚拟机和容器的早期采用提供保护。根据Gartner的定义，CWPP是一种“以工作负载为中心的安全解决方案，可满足现代混合数据中心架构中服务器工作负载保护的独特要求，这些架构涵盖本地、物理和虚拟机(VM)以及多个公共云基础架构即服务(IaaS)环境。” CWPP的部署也将支持基于容器的应用程序架构。

CWPP技术的目的是保护公共云中的服务器工作负载。CWPP解决方案可发现组织基于云的部署和本地基础设施中存在的工作负载，提供集中式解决方案以扩展对云资源的可见性，并保护云工作负载。

CWPP的主要功能：

• 保护云和本地工作负载：CWPP能够发现组织基于云的部署和本地基础设施中存在的工作负载，并提供对云资源和安全工作负载的可见性。
• 精细、详尽的可见性：CWPP非常擅长收集有关漏洞、敏感信息、恶意软件扫描、资产版本等的详细信息，这在扩展工作负载时会很有帮助。
• 运行时(Runtime)保护：CWPP还可以提供文件完整性监控(FIM)、恶意软件扫描、日志检查、应用程序控制和允许列出保护运行时所需的功能。
• 基于身份的隔离：CWPP可以提供基于应用程序/工作负载身份执行策略的技术。
• 工作负载的合规性：CWPP可以将发现的风险分类到选定的合规性框架中，以便轻松、持续地报告和审计。

CWPP面临的挑战：

• 需要维护一个单独的代理：CWPP需要为所保护的每项资产安装和维护一个单独的代理，这会导致部署时间变慢、持续维护成本增加，甚至影响资产性能。
• 无法深入了解云控制平面：CWPP仅涵盖工作负载，它们不提供对控制平面(control plane)的任何见解。为此，用户需要使用CSPM解决方案。
• 难以区分告警优先级：CWPP缺乏了解安全问题全部含义所需的可见性和上下文信息。如果没有对云基础设施的可见性，单独的CWPP无法看到整个云资产，也无法根据环境上下文确定警报的优先级。
• 资产覆盖不够：由于不太可能在任何地方部署代理，而且即便是部署了代理，也不太可能与每个操作系统兼容，且代理的维护成本很高，这就导致CWPP不可避免地会存在盲点。Orca Security研究表明，云主机安全解决方案平均覆盖的资产不到50%。此外，基于代理的CWPP无法查看停止、暂停或空闲的机器，从而使它们很容易受到攻击。
• 缺乏横向移动风险检测：攻击者经常会尝试在云环境中获得初始立足点，然后横向移动到实际目标。单独的CWPP无法识别哪些密钥可以为攻击者提供对其他资产的访问权限，从而暴露了一个重要的攻击向量。

总体来看，CWPP技术可确保公共云工作负载的安全，但并未涵盖所有云安全要求。虽然CWPP解决方案提供了对工作负载内部发生事情的详细可见性，但它缺乏对工作负载之间连接及其驻留基础架构配置的上下文信息和可见性。

2. CSPM：云安全平台管理

2014年左右，当AWS、Microsoft Azure和Google Cloud等公有云服务获得普及时，Gartner又创造了一个新的云安全管理定义——“云安全平台管理”(Cloud Security Platform Management，CSPM)，帮助企业组织维护云服务的正确配置，保障其在公共云上业务的合规。CSPM解决方案的一个重要目标是持续监控云基础设施，以发现安全策略执行方面的漏洞。

CSPM可以为组织提供对其整个云基础架构的集中可见性和风险评估，它可以自动识别跨云基础架构的风险，并在某些情况下进行补救。云基础设施的监控可以通过定期查询来完成，这些查询会返回一系列关于安全策略或最佳实践违规的警报。

CSPM解决方案涵盖云环境，并提醒员工注意可能使云环境面临安全风险或运营效率低下的错误配置。CSPM还可以通过这种方式，帮助组织节省资金、识别重要的安全风险以及对团队进行培训。

CSPM的主要功能：

• 安全策略实施：CSPM监控错误配置问题及合规风险，并在云环境中实施安全策略。
• 多云配置管理：CSPM通过对云配置的可见性，实现对多个云服务进行的集中管控。
• 审计云控制平面：CSPM通过API连接，允许即时访问和审计跨多云环境的整个控制面配置。
• 为云基础架构提供合规性报告：CSPM不断审查云环境并将正确和错误配置的结果分组到合规性框架中，帮助组织审核其云基础架构的正确管理。
• 与第三方威胁情报集成：大多数CSPM能够集成原生云服务提供商的威胁工具，这些工具可以帮助组织进一步识别风险并确定优先级和错误配置风险。

CSPM面临的挑战：

• 无法深入了解工作负载：CSPM解决方案无法深入研究工作负载。例如，如果用户有易受攻击的Web服务器或受感染的工作负载，它们不会提供警报。为此，用户还需要CWPP或CNAPP解决方案。
• 缺乏横向移动风险检测：攻击者经常会尝试在云环境中获得初始立足点，然后横向移动实际目标。CSPM无法识别哪些密钥可以为攻击者提供对其他资产的访问权限，从而暴露或无法识别重要的攻击向量。

总体来看，CSPM解决方案可确保正确配置公共云服务和多云基础架构。CSPM解决方案非常适合为审计提供云治理和云合规性服务，但是，它们缺乏对云基础架构之外风险和威胁的深度可见性，从而在覆盖范围上留下空白。

3. CIEM：云基础设施授权管理

CIEM，全称Cloud Infrastructure Entitlements Management，即云基础设施授权管理，可有效监控识别云账户行为中的异常情况。企业IT和安全团队可以使用CIEM解决方案来管理公共云和多云环境中的身份和访问权限。CIEM解决方案将“最小权限”原则应用于云基础设施和服务，帮助组织降低由于权限混乱而导致的数据泄露风险。

企业的云环境需要向包括员工、业务系统和终端设备授予数量巨大的访问权限，其中许多可能包括未使用的权限、过期账户以及默认和错误配置的权限。如果不加以检查，这些权限将成为攻击者渗透云部署的简便途径。CIEM解决方案允许组织的安全团队管理哪些用户(业务人员和应用系统)可以访问哪些资源等。

CIEM的主要功能：

• 身份和访问管理(IAM)：CIEM能够管理对云资源拥有过多权限的特权身份，并在云环境中实施最低权限。
• 审核多云访问权限：CIEM持续监控和审查跨多个云服务提供商的所有访问权限。
• 与IDP(身份提供商)解决方案集成：CIEM可以与身份提供商密切合作，将覆盖范围从系统和云服务扩展到所有拥有托管数字身份的人。
• 授权风险和合规性报告：CIEM提供对有风险或不合规云授权的可见性，从而确定身份可以执行哪些任务以及可以跨组织的云基础架构访问哪些资源。
• 提供授权建议：CIEM还能够了解整个云身份环境，为策略和补救措施提供最佳实践建议，以减少访问，实现最低权限。
• 最小特权权限分析：CIEM不仅启用最小特权权限，而且还确保权限不会过度管理。

CIEM面临的挑战：

• 不完整的身份和访问管理(IAM)：CIEM无法识别“另类的”身份和访问管理(IAM)机制，例如磁盘上的SSH密钥和AWS密钥，以及横向移动风险。
• 完整上下文和可见性方面的缺口：由于CIEM解决方案主要专注于保护云的“新边界”，即身份访问管理，因此一般缺乏对CSPM提供的控制面以及实际工作负载中运行内容的可见性。

总的来看，CIEM解决方案可以确保身份和访问管理(IAM)遵循对云基础设施和服务的最低权限访问原则，因为它的功能主要集中在IAM、授权风险和合规性方面。不过，尽管IAM被认为是“云计算的新边界”，但IAM和CIEM解决方案仍然缺乏对云基础设施和工作负载的全面安全覆盖。

4. CNAPP：云原生应用保护平台

CNAPP是Gartner新提出的一个云安全技术概念，代表“云原生应用程序保护平台”(Cloud-Native Application Protection Platform)。作为一种创新的云安全技术，CNAPP目前受到了广泛关注，因为它将多种安全功能以原生化方式融合到统一的云安全平台中。

CNAPP可以保护从系统代码到业务开展的整个应用程序开发生命周期，未来将在很大程度替代传统防护模式的云安全状态管理(CSPM)、云工作负载保护平台(CWPP)和云基础设施授权管理(CIEM)等云安全技术。

正确的CNAPP解决方案并非孤立的视图，而是提供对云资产的全面覆盖和可见性，并且可以检测整个技术堆栈的风险，包括云配置错误、不安全的工作负载和管理不善的身份访问。

此外，CNAPP还包含“左移”功能，以便在开发生命周期的早期阶段识别风险。通过结合漏洞、上下文和关联，一些CNAPP能够执行云攻击路径分析，识别看似不相关的“低危”风险如何组合以创建危险的攻击向量。

CNAPP的主要能力：

• 管理错误配置风险：减少云原生应用程序的错误配置以及安全管理不善的机会。
• 整合安全投资：减少工具和供应商的数量。
• 简化治理和合规性：降低与创建安全且合规云原生应用程序的复杂性和成本。
• 优先处理关键警报：允许安全部门根据关系(安全漏洞、错误配置、权限、暴露的秘密)了解攻击路径。
• 提高DevSecOps可见性：通过双向连接(Bi-directionally link)开发和运营可见性以及对风险分析的洞察力，改善企业整体安全状况。

CNAPP面临的挑战：

• 重叠的能力：一个组织可能有他们无法删除的遗留云安全系统。随着时间的推移，安全部门负责人可以通过更新云战略并在合同到期时移除冗余技术来消除这些障碍。

总体而言，CNAPP在许多方面都具有优势，其主要优势在于提高了对云的可见性。Gartner在《云原生应用程序保护平台创新洞察报告》中指出，“CNAPP方法的最大好处是更好地了解和控制云原生应用程序风险。”

云原生安全性的发展，为组织在不牺牲安全性和合规性的情况下加速增长和创造收入开辟了新机遇。与其部署、分析和关联多点解决方案，不如节省时间深入了解风险和攻击路径，而这只有通过集中式CNAPP解决方案才有可能实现。

参考链接：https://cloudsecurityalliance.org/blog/2022/05/20/know-your-cloud-security-acronyms-cwpp-cspm-ciem-and-cnapp/