云安全实践:CWPP、CSPM和CNAPP

MSSP
2年前

suningcloud01.jpg

  今年,又有更加多的组织开始使用公有云。大部分企业在使用不止一个公有云供应商,而且他们依然还有需要已经部署的工作负载需要保护。与此同时,他们在几乎将所有新的应用都在云端进行开发。这一向云以及云原生的迁移,意味着有效实现云安全不只是重要的,也是必要的。

  对于许多同时有部署的应用,以及在多云环境应用的企业,这一对云安全的新聚焦带来了一系列的新概念,以及对提前部署的应用和服务不同的考量。CWPP(Cloud Workload Protection Platform,云工作负载保护平台)是Gartner定义的新词,描述“主要用于保护用于服务的公有云基础设施的服务器负载”的技术解决方案。

  CWPP可以统一管理多个不同的云供应商,同时保护工作负载连贯性。CSPM(Cloud Security Posture Management,云安全态势管理)是另一个由Gartner提出的概念,表示能够识别云误配置问题以及合规风险的安全工具。CSPM帮助企业持续监测云基础设施,识别在实现安全策略时出现的缺口。

  这两类工具也在逐渐聚合,形成CNAPP(Cloud Native Application Protection Platform,云原生应用保安平台)。CNAPP将CWPP和CSPM中可用的管控合到一起,使团队更容易管理云安全。

connections-696x392.jpeg

对于云原生应用,最好部署工作负载安全

  CWPP是对所有类型的应用工作负载的工作负载核心安全防护解决方案,包括物理服务器、虚拟机、容器、以及无服务器工作负载。

  CWPP解决方案兴起的原因在于服务器工作负载保护需要不同类型的能力,而非传统上保护笔记本和工作站的EDR解决方案。

CWPP能提供单一面板的可视化能力以及包含本地部署、混合和纯云环境的防护

  CWPP解决方案基于和EDR解决方案不同的需求,比如会有更严格的性能要求,以及技术稳定性要求。这些都很重要,因为基于容器的工作负载更颗粒化,运行时的生命周期更短。

  流程和线程来去之快,完全没有时间载入签名文件进行反病毒操作,或者运行反病毒扫描。CWPP用于处理短暂的工作负载,并且增加全环境的可视化能力。

CWPP处理数据平面,对工作负载有更深入的理解

  CWPP能确保特权管理正在执行,会通过一个数据平面代理分析工作负载。代理会在数据平面上提供正在发生事情的可视化能力:

  • 发现每个用户在运行哪些东西——在哪个许可等级。

  • 确保没有任意代码、邮件、或者网站客户端在数据平面运行。

  • 扫描漏洞。

  在数据平面上检查误配置和漏洞,可以帮助企业在开发流程更早期——在应用和服务进入生产环境前,识别安全风险。这可以让组织在软件开发生命周期进行安全左移。

只看数据平面还不够,还需要注意控制平面

  CSPM解决方案通过评估云平台的控制平面,确定配置是否安全合规,来保护来自外部的工作负载。这些解决方案基于一系列定义好的最佳实践以及已知风险,检查并比较现有的云环境。在追求云优先策略的企业,可以使用CSPM将一些最佳实践延展到混合云以及多云环境之中。

  随着CWPP带来的安全扫描将安全在开发阶段中进行了左移(包括扫描开源漏洞、库、可执行漏洞、依赖性、硬编码机密、以及恶意软件),扫描云配置发现其他风险同样重要。

Kubernetes也是一个控制平面

  云原生技术,比如微服务、容器和Kubernetes,能帮助组织在云原生架构建立并运行可扩展的应用。由于Kubernetes基于现实标准的容器编排,CSPM也需要能够包含一个新概念:KSPM(Kubernetes安全态势管理,Kubernetes Security Posture Management)。

  KSPM帮助组织保护Kubernetes节点配置、应用最小权限准入、发现漏洞并修复、以及增强Kubernetes策略合规性。Kubernetes包括云原生管控,但是默认配置并不安全。如果组织忽略了管理Kubernetes配置的重要性或者最佳实践,就会在实现有效云安全的道路上困难重重。

CWPP+CSPM(包括KSPM)=CNAPP

  CNAPP是另一个Gartner定义的概念,指能够扫描在开发环境中工作负载以及配置,并且实时保护的解决方案。CWPP和CSPM的能力在这里合二为一,CNAPP解决方案也以一种两者混合的形态出现。

  云安全和Kubernetes两者本身都是相对年轻的技术,但同时也在快速成熟起来。最重要的事,是确保组织认真对待云安全,同时寻找能够有效管理跨环境安全的解决方案。

  这一领域正在极其快速地演化着,同时许多企业也在因疫情的原因以比预期更快的速度进行云迁移。在这个混乱的情况下,组织正在寻找保护他们变化的云负载的最佳方案。


数世点评

  云安全的技术在日趋成熟,各种产品与解决方案都逐渐有了自己的最佳实践。云安全需要从生产环境到业务环境,达成整个生命周期的防护。因此,安全左移在云安全中是必须要做到的,最终做到在云端的安全无处不在。



参考阅读

响应团队最优先考虑的五件事

云原生安全的五个建议

【调查】多云环境增加安全挑战