如何理解云安全态势管理（CSPM)

如何理解云安全态势管理（CSPM)

*越来越多的企业正在把数字业务迁移到云端，甚至连信息化建设一直比较滞后或者保守的政府行业也越来越认识到云的优势，弹性，方便性，敏捷性等等。云服务市场也正在猛增。但随着云平台服务使用量的增加，关键任务型数字行业中未管理的风险数量也在激增。传统的安全工具完全无法适配云环境下对安全的要求。针对云安全态势的管理需求越来越成为一种趋势，并得到行业的认可。本文将简单介绍什么是云态势管理（CSPM，Cloud Security Posture Management) CSPM的工作原理，以及他所带来的好处有哪些，为什么企业需要使用CSPM, 以及关于CSPM的实践。

什么是云安全态势管理？

*有许多引人注目的违规事件，引起了企业对一种名为CSPM（云安全态势管理）的新兴技术的兴趣。简单来说，它可以清理云环境，并提醒公司注意问题和可能的风险。

CSPM和我们传统的网络安全态势感知在概念上有点相似，但是其原理上有大相径庭。 主要区别在云环境的不同，简单的把传统的态势感知（尽管不少人也叫其大数据平台）迁移到云端是远远不够的。甚至有人是给客户虚拟化一个盒子到云端实现安全的态势感知，这种方法也是不可以的。难以真正解决客户面临的云上的安全问题。

云上安全著名事件：亚马逊网络服务(AWS)的一名前员工利用配置错误的网络应用防火墙(WAF)窃取了数百万个信用申请的数据的例子。在另一个例子中，沃尔玛的一个珠宝合作伙伴暴露了数百万客户的数据。这充分说明在云上的安全问题和传统安全网络所面临的安全问题完全不同。 显然，需要更好的云数据保护。

在安全能力的世界里，本文所提到的CSPM是一个相对较新的名词。在过去的几年里，随着越来越多的组织采用云优先的方法，CSPM已经变得很流行。CSPM允许他们监控风险并自动修复一些安全问题。没有任何间接的配置成本，用户可以受益于可扩展的部署和安全洞察力。*

CSPM的工作原理

*随着云空间的增加，跟踪和保护敏感数据防止错误配置变得非常重要。

由于云环境已经在许多领域扩展，组织可以使用CSPM来巩固任何可能的错误配置，并创建一个透明的信息传递平台。当他们使用CSPM时，他们可以遵守HIPAA、SOC2和CIS v1.1等框架。这加强了客户对您的业务和云安全的信心。

越来越多的软件工具，如云访问安全代理（CASB）与CSPM结合使用。CASB可以保护内部IT架构和云环境之间的数据流，并将组织的安全策略扩展到其内部基础设施之外。
CSPM可以检测到缺乏加密、加密密钥管理不当、额外账户权限等问题。 根据Gartner的一份报告，大多数对云服务的成功攻击都是由于配置不当造成的，而CSPM可以减轻这些风险。*

CSPM的好处

CSPM的好处有很多，包括。

1）发现配置错误的网络连接
2）评估数据风险，检测过于宽松的账户权限。
3）持续监控云环境，以检测任何违反政策的行为。
4）能够在某些情况下自动纠正错误的配置
5）遵守最佳实践的共同标准，如HIPAA、SOC2和PIC。

使用CSPM的理由

如果您的企业使用云服务，您需要一种防止数据泄漏的方法。虽然大多数企业认为他们的数据在云供应商那里是安全的，但即使在最强大和安全的云网络中，一些人为错误也会留下漏洞。例如，当开发人员面临DevOps最后期限的压力时，他们可能会匆忙推出新的虚拟机，从而使网络暴露。CSPM将帮助您主动识别和缓解云安全风险。

CSPM的方法在过去几年中不断发展。它从一个错误配置报告工具变成了可以自动修复问题的东西。它可以识别访问，检查是否符合政策，并检测和减轻风险。
CSPM还可以将安全程序与DevOps流程集成。这使得IT团队在处理从云安全设置到服务配置等一系列问题时更加轻松。拥有多云平台的企业可以从CSPM的风险监控和自动补救之间的互操作性中获益。

实现CSPM探索

目前有一些开源工具如Inspec对Openstack云平台做基线检查的开源工具 https://github.com/dev-sec/openstack-baseline，但是一个好的CSPM平台应该包括如下几个主要功能：

1）发现： 基于API与云服务商集成发现云资产和资产配置。
2）可见性：有关安全和合规状况的仪表板、视图和报告。
3）治理： 调整和管理信息安全要求和客户特定配置。
4）响应： 使用各种技术对错误配置进行修补，包括自动和指导性修补功能。

涵盖安全、合规、风险和数据隐私等方向。

1）安全：包括云基础架构配置、云IAM配置安全性检测、OS基线检测、资产安全、漏洞评估、k8s集群安全；
2）合规：合规态势检测，可以考虑用AI等技术实现合规自动检测；
3）风险：包括ISO 27005基于风险的优化矩阵，实时分析风险状况；
4）数据隐私：包括数据发现、数据分类等；