云原生时代来袭,云安全技术将何去何从?
发布时间:2022-05-27 09:07:37 所属栏目:安全 来源:互联网
导读:原生理念经过几年的落地实践已经得到企业市场的广泛认可,成为企业数字化转型的必选项。基于云原生技术架构开发的软件产品和工具,也开始逐渐应用在企业的日常工作当中。随着云原生时代的正式到来,以CWPP、CSPM、CIEM、CNAPP为代表的主流云安全技术又将会如
|
原生理念经过几年的落地实践已经得到企业市场的广泛认可,成为企业数字化转型的必选项。基于云原生技术架构开发的软件产品和工具,也开始逐渐应用在企业的日常工作当中。随着云原生时代的正式到来,以CWPP、CSPM、CIEM、CNAPP为代表的主流云安全技术又将会如何发展与演进呢? 1. CWPP:云工作负载保护平台 2010年,Gartner正式提出 “云工作负载保护平台”(Cloud Workload Protection Platform,CWPP)概念,旨在为虚拟机和容器的早期采用提供保护。根据Gartner的定义,CWPP是一种“以工作负载为中心的安全解决方案,可满足现代混合数据中心架构中服务器工作负载保护的独特要求,这些架构涵盖本地、物理和虚拟机(VM)以及多个公共云基础架构即服务(IaaS)环境。” CWPP的部署也将支持基于容器的应用程序架构。 CWPP技术的目的是保护公共云中的服务器工作负载。CWPP解决方案可发现组织基于云的部署和本地基础设施中存在的工作负载,提供集中式解决方案以扩展对云资源的可见性,并保护云工作负载。 CWPP的主要功能: 保护云和本地工作负载:CWPP能够发现组织基于云的部署和本地基础设施中存在的工作负载,并提供对云资源和安全工作负载的可见性。 精细、详尽的可见性:CWPP非常擅长收集有关漏洞、敏感信息、恶意软件扫描、资产版本等的详细信息,这在扩展工作负载时会很有帮助。 运行时(Runtime)保护:CWPP还可以提供文件完整性监控(FIM)、恶意软件扫描、日志检查、应用程序控制和允许列出保护运行时所需的功能。 基于身份的隔离:CWPP可以提供基于应用程序/工作负载身份执行策略的技术。 工作负载的合规性:CWPP可以将发现的风险分类到选定的合规性框架中,以便轻松、持续地报告和审计。 CWPP面临的挑战: 需要维护一个单独的代理:CWPP需要为所保护的每项资产安装和维护一个单独的代理,这会导致部署时间变慢、持续维护成本增加,甚至影响资产性能。 无法深入了解云控制平面:CWPP仅涵盖工作负载,它们不提供对控制平面(control plane)的任何见解。为此,用户需要使用CSPM解决方案。 难以区分告警优先级:CWPP缺乏了解安全问题全部含义所需的可见性和上下文信息。如果没有对云基础设施的可见性,单独的CWPP无法看到整个云资产,也无法根据环境上下文确定警报的优先级。 资产覆盖不够:由于不太可能在任何地方部署代理,而且即便是部署了代理,也不太可能与每个操作系统兼容,且代理的维护成本很高,这就导致CWPP不可避免地会存在盲点。Orca Security研究表明,云主机安全解决方案平均覆盖的资产不到50%。此外,基于代理的CWPP无法查看停止、暂停或空闲的机器,从而使它们很容易受到攻击。 缺乏横向移动风险检测:攻击者经常会尝试在云环境中获得初始立足点,然后横向移动到实际目标。单独的CWPP无法识别哪些密钥可以为攻击者提供对其他资产的访问权限,从而暴露了一个重要的攻击向量。 总体来看,CWPP技术可确保公共云工作负载的安全,但并未涵盖所有云安全要求。虽然CWPP解决方案提供了对工作负载内部发生事情的详细可见性,但它缺乏对工作负载之间连接及其驻留基础架构配置的上下文信息和可见性。 2. CIEM:云基础设施授权管理 CIEM,全称Cloud Infrastructure Entitlements Management,即云基础设施授权管理,可有效监控识别云账户行为中的异常情况。企业IT和安全团队可以使用CIEM解决方案来管理公共云和多云环境中的身份和访问权限。CIEM解决方案将“最小权限”原则应用于云基础设施和服务,帮助组织降低由于权限混乱而导致的数据泄露风险。 企业的云环境需要向包括员工、业务系统和终端设备授予数量巨大的访问权限,其中许多可能包括未使用的权限、过期账户以及默认和错误配置的权限。如果不加以检查,这些权限将成为攻击者渗透云部署的简便途径。CIEM解决方案允许组织的安全团队管理哪些用户(业务人员和应用系统)可以访问哪些资源等。 CIEM的主要功能: 身份和访问管理(IAM):CIEM能够管理对云资源拥有过多权限的特权身份,并在云环境中实施最低权限。 审核多云访问权限:CIEM持续监控和审查跨多个云服务提供商的所有访问权限。 与IDP(身份提供商)解决方案集成:CIEM可以与身份提供商密切合作,将覆盖范围从系统和云服务扩展到所有拥有托管数字身份的人。 授权风险和合规性报告:CIEM提供对有风险或不合规云授权的可见性,从而确定身份可以执行哪些任务以及可以跨组织的云基础架构访问哪些资源。 提供授权建议:CIEM还能够了解整个云身份环境,为策略和补救措施提供最佳实践建议,以减少访问,实现最低权限。 最小特权权限分析:CIEM不仅启用最小特权权限,而且还确保权限不会过度管理。 CIEM面临的挑战: 不完整的身份和访问管理(IAM):CIEM无法识别“另类的”身份和访问管理(IAM)机制,例如磁盘上的SSH密钥和AWS密钥,以及横向移动风险。 完整上下文和可见性方面的缺口:由于CIEM解决方案主要专注于保护云的“新边界”,即身份访问管理,因此一般缺乏对CSPM提供的控制面以及实际工作负载中运行内容的可见性。 总的来看,CIEM解决方案可以确保身份和访问管理(IAM)遵循对云基础设施和服务的最低权限访问原则,因为它的功能主要集中在IAM、授权风险和合规性方面。不过,尽管IAM被认为是“云计算的新边界”,但IAM和CIEM解决方案仍然缺乏对云基础设施和工作负载的全面安全覆盖。 3. CNAPP:云原生应用保护平台 CNAPP是Gartner新提出的一个云安全技术概念,代表“云原生应用程序保护平台”(Cloud-Native Application Protection Platform)。作为一种创新的云安全技术,CNAPP目前受到了广泛关注,因为它将多种安全功能以原生化方式融合到统一的云安全平台中。 CNAPP可以保护从系统代码到业务开展的整个应用程序开发生命周期,未来将在很大程度替代传统防护模式的云安全状态管理(CSPM)、云工作负载保护平台(CWPP)和云基础设施授权管理(CIEM)等云安全技术。 正确的CNAPP解决方案并非孤立的视图,而是提供对云资产的全面覆盖和可见性,并且可以检测整个技术堆栈的风险,包括云配置错误、不安全的工作负载和管理不善的身份访问。 此外,CNAPP还包含“左移”功能,以便在开发生命周期的早期阶段识别风险。通过结合漏洞、上下文和关联,一些CNAPP能够执行云攻击路径分析,识别看似不相关的“低危”风险如何组合以创建危险的攻击向量。 (编辑:南通站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐