云计算因其与生俱来的可扩展性和灵活性，以及高性能计算能力，已经获得了大量企业用户的青睐，并成为其关键任务负载的首选项。而云安全态势管理（CSPM）是确保云计算基础设施安全运营的有效工具，它能够扫描企业的云配置和应用程序组件，并突出显示任何可能导致数据泄露的错误配置，CSPM通过自动化手段正确配置云中的服务和资源，有效阻止攻击者侵入系统，帮助企业保护系统安全。本文收集整理了目前市场上主流的7款CSPM解决方案，并对其应用优势和存在的不足进行了分析。

Palo Alto Networks Prisma Cloud

推荐理由:  综合能力表现较突出

Prisma Cloud是Palo Alto公司推出的一款CNAPP解决方案，拥有面向混合、多云和云原生等环境的全面云安全态势管理功能。该解决方案能够有效地兼容常见的公有云环境，包括：AWS、谷歌云、微软Azure、甲骨文云和阿里云。与大多数CSPM方案相比，用户很容易通过这个平台实现定制和自动化。Prisma Cloud可以提供灵活的实施选项，与多家云服务商高效集成以确保安全和合规，具有机器学习驱动的威胁和异常检测能力，以及代码扫描和开发支持功能。它还是少数几种提供全面的代码扫描功能且易于使用的CSPM解决方案之一。

应用特点：

•工作负载和应用程序自动分类，可以追溯整个生命周期内的云应用资产变更；

•基于700多个策略和120多个云服务的配置评估；

•自动修复常见的云错误配置；

•自定义策略构建和报告功能；

•网络威胁检测、UEBA和集成式威胁检测仪表板。

方案优势：

•采用全面的方法跨多个数据源进行数据规范和分析，这是许多竞争对手无法比拟的；

•用户可以使用机器学习驱动的基于异常的策略；

•支持可靠的数据安全功能。

主要不足：

•Palo Alto Networks的定价并不便宜，客户可能很快超出预算；

•该解决方案缺乏某种支出跟踪功能，不太适合小企业用户。

传送门：

https://www.paloaltonetworks.com/prisma/cloud/cloud-security-posture-management

Check Point CloudGuard 

推荐理由:  完善的合规功能

CSPM是Check Point  CloudGuard云原生安全平台的一个重要组件，旨在支持云原生环境中的安全和合规功能，能够为AWS、谷歌云、微软Azure、阿里云和Kubernetes用户提供完整的安全态势管理功能。

许多用户选择这个CSPM方案的主要原因是由于其出色的合规功能，包括基于规则的、机器学习驱动的遥测映射（基于数十种合规框架）以及用于自动执行合规策略的CloudBots。该CSPM解决方案的其他突出功能包括AI驱动的上下文确定，主要是在风险评估活动、IDE风险管理以及高级基础设施即代码扫描之前进行。

应用特点：

•安全加固和运行时代码分析；

•自动修复通过合规引擎来提供；

•IAM驱动的即时用户访问；

•可为50多个合规框架、250多个云原生API和2400多个安全规则集提供安全评估；

•工作负载和软件供应链安全功能。

方案优势：

•提供威胁情报支持，作为所有CloudGuard Cloud Security Posture Management用户的补充性附件；

•治理和合规策略功能（尤其是CloudGuard的遥测映射）非常先进；

•CloudBots提供易于使用的低代码开源自动化。

主要不足：

•能够为Oracle Cloud用户提供的支持和功能比较有限；

•CloudGuard平台对小公司而言功能过于复杂。

传送门：

https://www.checkpoint.com/cloudguard/cloud-security-posture-management/

Lacework

推荐理由:  强大的智能行为分析能力

Lacework是一个CNAPP平台，可以将云安全态势管理与漏洞管理、基础设施即代码（IaC）安全、身份分析和云工作负载保护相结合，面向AWS、微软Azure、谷歌云和Kubernetes配置。Lacework不是主要依靠合规策略来进行风险和安全管理，而是依靠智能行为分析以确定云环境的基准行为，并根据这些标准评估异常和风险。

Lacework的机器学习驱动方法允许平台自动管理云安全，不仅用于行为分析，还用于威胁情报和异常检测。该工具的其他出色功能包括代理和无代理操作以及报告功能（比如按钮和多种格式选项），因而很容易与企业的各利益相关方共享发现结果。

应用特点：

•具有云资产库存表，可以每日记录库存；

•预构建的定义策略选项；

•按钮式的报告定制与生成功能；

•提供云攻击路径分析和上下文修复指导；

•可以根据严重程度进行风险评估。

方案优势：

•Lacework实验室是一个内部研究团队，负责识别新的威胁，并优先考虑优化Lacework平台的方法；

•该解决方案可高度定制，特别是通过Polygraph行为引擎提供的功能来定制；

•该工具提供高级风险上下文，允许用户将各种类型的错误配置与环境中已识别的异常活动相匹配。

主要不足：

•第三方集成和支持有限；

•在数据安全治理方面的功能相对有限。

传送门：

https://www.lacework.com/platform/cloud-security-posture-and-compliance/

CrowdStrike Falcon Cloud Security

推荐理由:  较强的威胁情报能力

CrowdStrike Falcon Cloud Security可以为企业组织的混合云和多云应用环境提供先进的CSPM功能，能够与三大公有云：AWS、Azure和GCP进行兼容。CrowdStrike主要采用了无代理的CSPM管理模式，提供了持续发现和智能监控功能，简化了云环境中的风险管理和响应。CrowdStrike CSPM解决方案的一大亮点是在威胁情报方面的深厚积累，采用攻击者优先的情报策略，可以基于对50多个攻击指标和150个攻击团伙持续监测，支持指导性修复，帮助企业安全团队能够更快速、更轻松地识别和修复最紧迫的安全问题。

应用特点：

•具有机器学习和行为分析驱动的TTP/IOA检测能力；

•具有攻击者驱动的威胁检测和情报；

•可对错误配置提供指导性修复支持，由行业和组织基准作为指导；

•对未受保护的资源提供点击式重新配置的功能；

•可与DevOps、SIEM及其他云安全系统集成。

方案优势：

•该解决方案可与CrowdStrike的其他网络安全解决方案无缝集成；

•可以集成较完善的XDR和EDR解决方案功能；

•可以实现身份驱动的实时威胁检测。

主要不足：

•没有代码扫描功能；

•适配的公有云平台范围有限，主要针对AWS、谷歌云和微软Azure提供完整功能。

传送门：

https://www.crowdstrike.com/products/cloud-security/cloud-security-posture-management-cspm/

Cyscale

推荐理由:  完善的云安全映射能力

Cyscale是一款基于上下文的云安全态势管理解决方案，可以支持AWS、微软Azure、谷歌云和阿里云用户的安全态势管理。借助多个管理页面、易于操控的界面和标准化的新用户导入方法，Cyscale非常注重其解决方案的用户使用体验。

Cyscale为云资产和安全控制提供了一些良好的映射功能，比如监管标准和组织特有的策略。其工作方式是，将云基础设施可能存在的安全问题映射到从既定策略到监管标准的方方面面，然后用户能够自定义安全阈值，以确定哪些资产满足其安全和合规需求。如果组织经常受到审计，又需要一种快速的方法来呈现问题和可能适用的修复策略，Cyscale的映射方法将会特别有效。

应用特点：

•提供云资产清点、映射和安全性评估；

•拥有500多个内置安全控制措施和策略；

•应用程序内咨询和修复指导；

•可将数据导出到PDF和CSV格式，最多保留一年；

•默认提供豁免选项（借助豁免审批程序）。

方案优势：

•与Okta和Azure Active Directory等主流身份安全方案集成；

•是用户体验和可见性最佳的CSPM解决方案之一；

•提供了直接的、标准化的用户导入和部署程序。

主要不足：

•价格非常昂贵，不适合小型企业用户；

•其对“单个资产”的定义可能让用户感到困惑。

传送门：

https://cyscale.com/products/cloud-security-posture-management/

Trend Micro Trend Cloud One Conformity

推荐理由:  完善的配置建议

Trend Micro公司推出的Trend Cloud One Conformity是一款功能领先的CSPM解决方案，擅长为新用户提供详细的解释、指导和支持。Trend Micro致力于为潜在买家普及云安全应用知识。Trend Cloud One Conformity还提供了详细的配置建议，这些建议基于名为良好架构框架（Well-Architected Frameworks）的云设计和基础设施标准。有了这套原则作为其建议的基础，用户可以轻松检查其配置决策如何与安全、卓越运营、可靠性、性能效率、成本优化和可持续性等云安全要求保持一致。该方案可以手动更新配置，也可以基于这些规则自动修复配置。

应用特点：

•修复指南和自动修复；

•为错误配置提供了可过滤的审计；

•可导出、可定制的报告；

•对照合规和行业标准进行持续扫描；

•免费的公共云风险评估。

方案优势：

•具有简单直观、易于设置的自动化修复功能；

•可以与多款服务工单和通信工具集成，包括Slack、ServiceNow、Jira、PagerDuty和Microsoft Teams；

•Conformity知识库为用户提供了广泛的自助修复指南集合。

主要不足：

•CIEM功能有限；

•目前仅支持三大公共云平台：AWS、微软Azure和谷歌云。

传送门：

https://www.trendmicro.com/en_us/business/products/hybrid-cloud/cloud-one-conformity.html

Ermetic

推荐理由:  强大的特权访问管理功能

Ermetic是一种CNAPP解决方案，主要面向AWS、谷歌云和微软Azure用户提供云安全态势管理和云基础设施授权管理（CIEM）。方案可以添加的高级CIEM功能使其成为监视云应用人员及其对基础设施和配置决策的影响。Ermetic的一大特点是身份驱动的安全管理功能，包括多云资产管理和检测、基于身份授权的风险评估以及注重IAM的策略建议，还可以为用户提供特权访问管理（PAM）和即时访问管理功能。

应用特点：

•通过使用身份驱动的安全策略实现自动化修复；

•可以修复未使用的特权和过渡的用户特权；

•可以将CSPM功能和CIEM功能相结合；

•Terraform和CloudFormation中的IaC代码片段；

•策略的内置模板和可定制选项。

方案优势：

•对于还想要全面CIEM功能的用户来说，它是最好的CSPM选项之一；

•少数提供特权访问管理的CSPM解决方案；

•可以与主流SIEM方案（比如Splunk、IBM QRadar、ServiceNow和Jira）高效集成。

主要不足：

•是市面上最昂贵的CSPM方案之一；

•仅限于AWS、Azure和GCP云用户使用。

传送门：

https://ermetic.com/solution/more-robust-cloud-security-posture-management-cspm/

参考链接：

https://www.esecurityplanet.com/products/cspm-tools/