CASB, CSPM, CWPP三者的区别

云安全工具：CASB, CSPM, CWPP三者的区别

云安全毫无疑问已经成为一种趋势，无论是为政企等行业提供云服务平台的企业巨头，还是行业技术领袖，大家已经形成一种共识，就是未来的安全会在云端，云化已经成为一种趋势。我们经常会看到描述云安全的工具的一些术语如CASB, CSPM, CWPP，这些概念都比较新，即使一些云安全行业的从业者，也经常晕菜。但他们是云安全解决方案非常重要的组成模块，本文专门针对这三个术语进行说明。

1
云访问安全代理（CASB）

云访问安全代理（Cloud Access Security Brokers, 简称CASB）是置于云服务消费者和云服务提供商之间的企业内部或基于云的安全策略执行点，以便在访问基于云的资源时结合和嵌入企业的安全策略。CASB 整合了多种类型的安全策略执行，如身份验证、单点登录、授权、身份映射、设备画像、数据加密、令牌化、日志、警报、恶意软件检测/预防等。真正的CASB需要基于云原生技术来实现，而不是简单的把传统的安全技术搬到云端。

CASB是最广泛、最成熟的工具集。它专注于SaaS安全，为企业提供了对SaaS（主要云市场）使用情况的可视性和安全控制。通常作为代理部署在企业数据中心，常用于如Office 365、Salesforce等SaaS应用。这种部署模式使其有可能集成在企业的防火墙和网络安全硬件中，并开始扩展到PaaS和IaaS使用场景。

云工作负载保护平台（CWPP）
云工作负载保护平台(Cloud workload protection platform, 简称CWPP)是由以主机为中心的解决方案定义的，它针对现代混合数据中心架构中服务器工作负载保护的独特需求。

当IaaS市场开始增长时，就有了保护工作负载的需求，这些工作负载被迁移到AWS和Azure等IaaS上。这里没有什么革命，因为我们谈论的是调整成熟的解决方案，如漏洞管理、应用安全和反恶意软件，以适应IaaS在弹性和API连接方面的新要求。

云安全态势管理（CSPM）

有许多引人注目的违规事件，引起了企业对一种名为CSPM（即云安全态势管理）的新兴技术的兴趣。简单来说，它可以清理云环境，并提醒公司注意问题和可能的风险。

让我们考虑一下亚马逊网络服务(AWS)的一名前员工利用配置错误的网络应用防火墙(WAF)窃取了数百万个信用申请的数据的例子。在另一个例子中，沃尔玛的一个珠宝合作伙伴暴露了数百万客户的数据。显然，需要更好的云数据保护。

在安全能力的世界里，CSPM是一个相对较新的名词。在过去的几年里，随着越来越多的组织采用云优先的方法，CSPM已经变得很流行。CSPM允许他们监控风险并自动修复一些安全问题。没有任何间接的配置成本，用户受益于可扩展的部署和安全洞察力。
云安全态势管理(CSPM)根据最佳实践和安全违规行为自动评估您的云环境，以提供修补这些违规行为所需的步骤—通常是通过自动化的方式来实现的。

随着IaaS的广泛采用，通过对IaaS使用管理不善而导致的数据泄露正在变得司空见惯。几乎所有对云服务的成功攻击都是由于客户配置不当造成的。主要用途是验证云配置是否遵循安全最佳实践，如CIS AWS/Azure/GCP基准。

底线是看你的云用例和安全要求。一言以蔽之，如果你的组织将敏感数据放在SaaS中，部署一个CASB。如果您的组织正在IaaS中处理敏感数据，则同时部署CSPM来评估您的云配置，并通过CWPP将您的工作负载保护扩展到云中。