研究背调：云安全--CASB、CSPM、CWPP

CASB 云访问安全代理(cloud access security brokers)

CASB是什么？[5]

CASB解决了组织部署应用程序时产生的复杂性。它充当安全策略强制网关，以确保用户的操作是经过授权的，并符合公司的策略。CASB的执行功能还可以帮助减轻影子IT的威胁

CASB的四个支柱包括可见性、合规性、威胁保护和数据安全性(参见下图)。

• 可见性通过云服务的使用跟踪、报告、日志和警报来实现
• 通过整合身份验证、授权、单点登录和法规要求强制功能来实现合规性
• 为了威胁保护和数据安全目的，CASB工具提供恶意软件检测，防火墙，加密和数据丢失预防功能

CASB如何生效？如何解决企业安全痛点？[3]

组织可以通过API或网络代理集成CASB，这样就可以跨所有IaaS和SaaS应用程序统一实现安全功能。

云访问安全代理是一种位于用户和云服务之间的软件，用于确保使用这些服务的个人获得授权，并确保他们的行为符合公司政策。CASB工具作为一种控制影子IT的手段出现。

IDC安全研究副总裁皮特林德斯特伦(Pete Lindstrom)解释说:“CASB的最佳领域是保护公共SaaS应用程序。“许多企业现在拥有6个或更多SaaS应用程序，它们需要工具来确保所有应用程序都以一致的方式实现安全。”

CASB具备的典型安全特性

• 防火墙：识别恶意软件，防止其进入企业网络。
• 身份验证：检查用户的凭证并确保他们只访问适当的公司资源。
• Web应用程序防火墙[4]：阻止旨在破坏应用程序级别(而不是网络级别)安全性的恶意软件。
• 防止数据丢失：确保用户不会将敏感信息传输到公司之外。

 CASB供应商附加特性

• 单点登录：允许员工一次输入他们的凭证并访问多个应用程序。
• 加密：对信息进行加密，从创建的那一刻开始，直到它在云中静止。
• 合规性：包括报告工具，确保公司的安全系统满足不断增长的合规性规范列表，如GDPR。
• 用户行为分析：挖掘信息并识别潜在的异常行为，这可能表明外部人员试图访问系统资源。

CSPM 云安全态势管理(cloud security posture management)

什么是CSPM？[5]

组织可以使用CSPM进行持续的合规监控(CIS, NIST, HIPAA, GDPR…).，防止配置漂移，支持安全运营中心审计。CSPM还可以作为DevOps的护栏，通过设置云中的允许配置或行为的限制。CSPM工具包括用于合规评估、运营监控、DevOps过程集成、事件响应、风险识别和风险可视化的用例。

Gartner建议使用CSPM来缓解一个更持久的云安全威胁——糟糕的配置（为了强调现代云安全的复杂性，gartner公司在2020年安全与风险管理峰会上发表了一个令人担忧的预测:“超过99%的云安全故障将是客户的错”，而且这种情况将永远如此）CSPM工具可以统一地将云安全最佳实践应用于日益复杂的系统，例如混合、多云和容器环境。

gartner高级主管兼分析师理查德·巴特利在高德纳2020安全与风险管理峰会上表示，CSPM的新功能中值得关注的是“安全服务的统一云愿景”。此外，AI和机器学习基线、本地云提供商工具增强和容器编排上下文可能会被纳入下一代CSPM工具。

CSPM如何生效？如何解决企业安全痛点？[6]

组织越来越多地使用云服务和资源，这导致了各种各样的云管理控制台和界面，从而产生了更多的责任。再加上Docker或Kubernetes等新技术的兴起，使得追踪属于某个产品或组织的资产变得困难。控制台和接口的集合术语是云控制平面——它可能很难安全。云控制平面可以包含各种各样的元素。最简单的是云管理控制台本身，必须小心地锁定它。除了多因素身份验证(MFA)之外，有限的特权和用户访问是确保云管理控制台安全的关键步骤。但是，由于云是一种软件定义的基础设施平台，云环境的许多其他方面都可能属于云控制平面的范畴。首先，云计算中有很多开放的api，包括用于IaaS或与Kubernetes和其他编配技术相关的命令行管理接口。控制平面安全的第二个方面是资产和外部网络之间的网络分区和分割。

许多云安全问题都是由于缺乏对哪些控制、如何配置它们以及在云环境中进行哪些更改的监督而产生的。由于云配置问题推动了当今的许多安全挑战和事件，安全团队必须优先考虑以下因素，这些因素始终推动云安全管理和监督的需求:

• 云是可编程的。在云中很容易出现配置错误，而且几乎没有任何疏忽，这几乎是一个肯定的结果。
• 云导致了大规模的扩张。这是因为许多新技术都是可用的，而实现对于技术人员来说只需要“点击一下”。
• 云不同于内部部署的工具、技术和服务。虽然在某些情况下概念可能是相似的，但云是它自己的软件平台，而且每个云都是独一无二的。
• 云库存管理具有挑战性。在无序扩张和缺乏监管的情况下尤其如此

Gartner将云安全态势管理(CSPM)定义为一组安全产品和服务，包括合规监控、动态云和DevOps集成、更全面的检测和事件响应能力（EDR）、风险评估和云控制平面的改进报告。CSPM工具和服务可以在任何云环境中监视各种各样的问题。目的是创建一个策略来定义云基础设施的“期望状态”或“期望配置”，此外还可以监视实际情况。

CSPM工具的好处[7]

• 资产可见性：我的云中的资产是什么?它们有什么结构?
• 安全策略：我的云符合哪些安全法规和标准?我该如何解决这些问题?我是否遵守组织的内部安全政策?
• 持续监视和立即检测：如何控制新资产继续遵守安全策略?我的产品的接触水平是多少?
• 适应CI/CD流程的安全性：我可以将安全性知识委托给客户或团队吗?一个DevOps能知道它的基础设施是否安全吗?
• 识别被遗忘或未使用的资产。
• 了解团队如何工作，了解他们在安全问题上的知识。
• 部署完成后，对系统进行完整性检查
• 确定组织中最常用的技术。

CSPM工具可以识别以下常见的云控制平面问题

• 云存储或数据库未启用加密;
• 对流动中的敏感数据没有加密;
• 缺乏健全的密钥管理，包括旧的或陈旧的密钥;
• 糟糕的身份和访问管理(IAM)政策，不遵守最小特权原则;
• 未启用外交部的特权帐户;
• 开放或允许的网络访问控制;
• 公开的数据存储，如可访问的S3桶
• 在云环境中启用最少或不启用日志记录。

CSMP供应商

这里有许多可供选择的云安全管理产品，包括：

• Palo Alto Networks的Prisma cloud
• Rapid7的DivvyCloud
• CloudCheckr
• Aqua security的CloudSploit
• FireEye的Cloudvisory
• Outpost24的Cloudsec Inspect

企业评估CSPM选项时需要考虑如下特性

• 可配置和自动化的修复功能。理想情况下，任何发现的问题都可以自动修复，或者只需极少的人工干预。
• 可在多云环境中执行自定义策略和规则引擎。策略引擎的粒度和灵活性是任何CSPM工具最重要的特性之一。策略需要正确和准确地评估云服务提供商设置和资产配置。
• 与DevOps管道阶段和工具的集成。对于任何代码或图像存储库、构建工具等，理想情况下CSPM平台也应该能够集成和监视这里的活动。
• 详细且可配置的报告。由于CSPM本质上是一个监视工具，因此报告是至关重要的。

企业实施CSPM时需要考虑如下特性

• 资产盘点和分类的速度和准确性;
• 重点识别云控制平面的访问权限;
• 监控策略的配置和遵从性;
• 监控操作策略和性能配置;
• 为事件响应收集工件和事件洞察;和
• 控制面风险的可视化和报告。

CWPP 云负载保护(cloud workload protection platforms)

什么是CWPP？[5]

云安全的一个重要障碍是工作负载以不同的状态存在。例如，工作负载可能在某一时刻运行在公有云环境中的Docker容器上，而在下一时刻运行在私有云环境中。由于越来越多地使用多云和混合环境，云工作负载放置变得更加复杂。确保在正确的位置使用正确的控制部署正确的工作负载是一个复杂的过程，这使得安全事件很容易发生。进入CWPP，它统一了跨多个云提供商的管理，并跨越了所有类型的工作负载，包括物理服务器、虚拟机、容器和无服务器功能。

Gartner副总裁兼杰出分析师尼尔•麦克唐纳(Neil MacDonald)表示，CWPP在内部办公场所和公共云环境中提供“单层玻璃的可视性和保护”。这种高级别的可见性对于主动促进混合和多云环境中的安全性和遵从性是不可或缺的。

CWPP这个术语是Gartner创造的，指的是为保护工作负载而设计的云本地安全策略。要理解这一点，首先要了解什么是工作负载。一般来说，工作负载指的是功能或能力的原子单位，以及运行它所需的任何东西——例如，数据、网络连接等。它是云功能的一个单元。

CWPP背后的思想是提供一种机制，以一致的方式保护这些工作负载;在多种云环境下运行良好，包括组织自己的私有云或混合云;无论周围发生了什么，它都具有相同的安全性和降低风险的价值。

CWPP如何生效？如何解决企业安全痛点？[8]

CWPP的好处

• 降低复杂性

相较传统基于端点、物理机的防护产品，CWPP安全产品能够适应私有云、公有云场景，可以以虚拟机、容器等粒度进行安全防护；也适合在无服务器的PaaS中使用或serverless场景

• 一致性

在当前云IT架构日益复杂的今天，无论有多少工作负载，CWPPs都提供更一致的视图

• 可移植性

这意味着无论工作负载在哪里或是什么，产品都要提高安全性——例如，今天运行在本地管理程序中的工作负载明天会转移到IaaS提供商，或者今天运行在专用IaaS中的引擎上的容器明天会转移到AWS Fargate或Azure容器实例

参考：

[1] 2021-gartner-Market Guide for Cloud Workload Protection Platforms

[2] 202108-Gartner 2021 CWPP市场指南解读 

[3] 201907-CASB-tools-evolve-to-meet-broader-set-of-cloud-security-needs

[4] Web application firewall (WAF) 

[5] CASB-CSPM-CWPP-emerge-as-future-of-cloud-security

[6] How cloud security posture management protects multi-cloud

[7] Securing your cloud with CSPM

[8] Cloud workload protection platform security benefits, features