记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

2021年Gartner云安全技术成熟度曲线新增CNAPP,解读五大云安全管理工具

2021-09-16 00:15

Gartner发布了2021年的云安全技术成熟度曲线,该曲线总结了29项重要的技术,这些技术可以实现可控的、合规的、低成本的交付:


相比2020年的云安全技术成熟度曲线,本周期新增了Cloud Native Application Protection Platforms (CNAPP)、Security Service Edge (SSE)、SaaS Security Posture Management (SSPM)。


根据Gartner的数据,2021年全球公有云支出预计将达到3049亿美元,高于2020年的2575亿美元,增长率达18.4%。而又因为新冠疫情,使转向云的IT支出比例加快,预计到2024年,云将占全球企业IT支出市场总量的14.2%,高于2020年的9.1%。


Gartner全球公有云服务最终用户支出预测(单位:百万美元)

可以看到,SaaS仍然是最大的市场,预计到2021年将增长到1177亿美元。而PaaS也预计将以26.6%的较高利润率增长。


随着云使用的越来越多,云安全也越来越重要。本文重点关注曲线里的云安全管理工具。一直以来,CASB、CSPM和CWPP被称为三大云安全管理工具,该曲线发布以后,我更愿意将它调整为五大安全管理工具,新增CIEM和CNAPP。对比下2020年的曲线,可以发现CASB和CSPM有些许的提升,而CWPP基本持平。不过这三大管理工具都进入了快速爬坡期,产品逐渐成熟。


本文就简单介绍下这五大管理工具。


PART.1

一些基本概念


谈这些云安全管理平台前,有些概念得回顾或者科普下。

1、IaaS、PaaS、SaaS

IaaS:Infrastructure-as-a-Service(基础设施即服务)

基础设施层,厂商提供机房、网络、机器、存储设备等。


PaaS:Platform-as-a-Service(平台即服务)

平台软件层,厂商提供各种框架、中间件等。


SaaS:Software-as-a-Service(软件即服务)

应用软件层,厂商直接提供软件,拿来即用。


用IT系统组成来描述如下:


NIST对云服务的定义如下:


经典的披萨理论是:

完全自己部署:完全自己做一个披萨,包括买面粉,烤箱,发面,揉面等等

IaaS:直接买披萨的成品,自己到家烤一下就能上餐桌吃了

PaaS:直接点个披萨外卖,披萨送到就开吃

SaaS:自己到披萨店吃,什么都不用准备,到店就开吃。

2、云工作负载

所谓云工作负载,即运行的特定应用程序、服务、功能或特定工作量的工作平台。工作负载包含物理服务器、虚拟机、容器、甚至是severless服务。

云工作负载抽象概念进化:

3、云原生安全

根据信通院的云安全白皮书,云原生安全的定义为:云原生安全指云平台安全原生化和云安全产品原生化。安全原生化的云平台,一方面通过云计算特性帮助用户规避部分安全风险,另一方面能够将安全融入从设计到运营的整个过程中,向用户交付更安全的云服务;原生化的云安全产品能够内嵌融合于云平台,解决用户云计算环境和传统安全架构割裂的痛点。

简单来说,包括就是云原生环境的安全和具有原生特性的安全。包括原生主机安全、容器安全、网络安全(DDOS、防火墙、WAF)、安全管理平台,包括威胁检测、数据安全、API安全、合规安全等等。


PART.2

CASB


Cloud Access Security Broker(CASB),云访问安全代理,是部署在云服务使用者和提供商之间的策略中心,用于监视与云相关的活动,解决数据可视的问题,保障云服务的安全性、合规性等。


随着SaaS化的发展,用户使用云上的SaaS化的应用服务,从底层硬件资源到应用软件,用户都是未知的。跟用户打交道的就是数据。由于从存储设备到数据都不在自己的IT手中,因此企业就无法控制这里存在的安全风险。而且还有一些不知道的SaaS,以及大量的BYOD(自携带设备)来访问SaaS服务,风险就更大了。基于此,CASB诞生了。它的诞生,可以让企业能够看见有多少影子IT,用户、设备、数据在云中的活动情况,同时对用户使用云应用进行一定的访问控制。目的是为了确定云的访问是安全的。


因此,Gartner给出的CASB的4个能力支柱:Visibility(可见性)、Data Security(数据安全)、Threat Protection(威胁防护)、Compliance(合规)。

  • 可见性:发现影子IT、云服务、设备、用户,以及用户的访问活动可视化;

  • 数据安全:数据的加密、凭证化、数据防泄露(DLP),并加以对数据的审计、阻止、删除等访问控制;

  • 威胁防护:防护有风险的设备、用户或者进程来访问云上的服务。可以通过嵌入UEBA、威胁情报、HIDS等来实现;

  • 合规:保障驻留和访问的数据的法律合规性,如GDPR。检测和审计访问数据的合规性。


根据Gartner 2020年数据,目前处于领导地位的CASB厂商主要为Bigglass、Netskope、McAfree、Microsoft:

PART.3

CSPM


Cloud Security Posture Management(CSPM),云安全配置管理。

因为有太多的数据泄漏事件的发生是因为配置错误而导致的,如:

  • 安卓游戏开发商EskyFun服务器配置错误100万玩家数据泄露;

  • 前以色列总理内塔尼亚胡领导的利库德集团(Likud)开发的选举应用程序配置中的错误导致650万以色列公民的个人资料;

  • 云存储配置错误导致美国一家区块链超市泄露大量客户的敏感信息;

  • ......

由此可见,一个简单的配置错误就可能暴露出数千个系统或大量敏感数据。而且由于大量的企业的员工对云基础架构缺少全面了解,因此很长时间都没办法发现云上的配置错误和不合规。为了解决这个数据的正确性和合规性的问题CSPM出现了。


CSPM可以持续管理云安全风险,它能够检测、记录、报告并自动化的解决问题。这些问题可以从云服务配置到安全设置。


同样,CSPM侧重的4个重点为:

  • 身份、安全、合规性

  • 监测与分析

  • 资产的盘点和分类

  • 成本管理与资源分配


不过,CSPM的功能和能力也在不断的进行进化:

当前的能力已经覆盖到云生命的整个周期,包括从研发(Dev)到整个运维(Ops)过程。未来,也会包含上下文分析、控制,数据、身份的治理,自动化等。


PART.4

CWPP


Cloud Workload Protection Platform(CWPP),云工作负载保护平台。

最开始基于基础设施的保护是针对PC或者服务器的安全产品,但是随着云的发展,工作负载已经不是单纯的服务器了,还包括了虚拟机、容器、无服务(serverless)等,部署的模式也有公有云、私有云、混合云、甚至多云等,因此之前的那一套已经无法满足需求了,于是开始诞生了CWPP。CWPP是以工作负载为主体,保护混合云、多云架构下工作负载的安全产品。简单的说,CWPP就是云上工作负载的全家桶。


CWPP的能力金字塔模型如下:


当然随着工作负载的粒度和动态的变化,CWPP产品和策略也在不断发展和进化。


从金字塔中可以看到,传统的杀毒在能力模型中是属于比较次要的,这其实也不难理解,因为工作负载的寿命越来越短,这意味着没有时间来进行传统的杀毒。


CWPP的核心保护策略是防护,包括:

  • 漏洞利用防护/内存保护

    漏洞利用防护主要体现在0day的防护。包括web漏洞,系统漏洞等。主要的思路是采用RASP;

    内存保护主要用来解决一些fileless攻击、内存马等问题。

  • 应用程序控制/白名单

    为了解决一些应用程序权限过高但又合理的问题。如数据库可以执行如创建文件在内的操作。因此直接禁止掉该些应用其实并不合理,但不禁止又无法解决白利用的问题。因此需要通过一些方式阻止高权限,或者对行为进行监控和恶意行为的识别。

  • 系统完整性保护

    指对工作负载中的核心文件的防护。如对某些目录或者某些文件,防止修改、删除等。

  • 微隔离与流可视化

    微隔离主要解决东西向流量问题,防止横向移动。

    流可视化是指工作负载互相访问关系的可视化。

  • 加固、配置和漏洞管理

    包括打补丁,升级文件等等,是CWPP最核心的能力要求。现在也一般跟CSPM配合,管控应用从研发到运维的所有周期,防止供应链攻击。



PART.5

CIEM


Cloud Infrastructure Entitlement Management(CIEM),云基础设施权限管理平台。

CIEM是一个比CSPM更新的类别,是为解决CSPM工具所留下的安全漏洞而构建的。主要用来进行访问控制和权限管理,用于访问治理、最低特权权利、权利隔离和身份风险分析:

  • 提供访问云资源的对象和内容的可见性;

  • 保护敏感数据

  • 管控权限,防止权限过高引发的过度访问、意外访问等

  • 启用并授权审计和合规功能


当然,许多CIEM解决方案不是整体构建的。而且,许多在云之外处理IAM的供应商正在创建基于独立产品的解决方案,这些产品涉及身份治理和管理、访问管理和多因素身份验证。而且管理云上的访问需要企业对云环境和决定访问和权限的各种复杂策略层有很好的上下文理解。因此CIEM也存在一定的局限性。


PART.6

CNAPP


Cloud-Native Application Protection Platform(CNAPP),云原生应用保护平台。

CNAPP是新上成熟度周期的一个产品,也是新定义的一个产品。CNAPP在CSPM和CWPP的融合中引入了应用程序和数据上下文,以保护主机和工作负载,包括VM、容器和无服务器(serverless)功能。


CWPP在数据面对云工作负载进行保护,CSPM在控制面对云工作负载进行保护。数据面和控制面的云安全产品通过相互融合组成统一的解决方案,能够更好地保护多云和多租户。


当然对于CNAPP还有一种理解方式为:CWPP进行左移与CSPM融合,就变成了CNAPP。因此CNAPP需要对开发、发布、部署和运营等整个生命周期进行保护。


如McAfree的CNAPP产品:

具备以下几个能力:

  • 深度的发现和基于风险的编排能力

  • DevOps:防止配置漂移(某些文件在部署到服务器之后发生了一些变化),并在虚拟机、容器和无服务器环境中提供漏洞评估

  • 基于零信任建立策略并观察行为,以消除误报并通过良好的行为执行来实现规模

  • 云主机威胁映射到ATT&CK中,增强安全运营中心的能力

  • 自动的安全处理能力,以及数据的合规、权限的治理


PART.7

总结


CWPP、CASB、CSPM、CIEM、CNAPP为云安全管理的五大工具。其中CASB、CSPM、CWPP已经进入了光明的爬坡期,产品和市场也越来越成熟。而CIEM和CNAPP才刚刚起步,尤其是CNAPP,第一次进入Gartner的云安全成熟度曲线。


从保护对象看:

CASB保护IaaS、PaaS、Saas,重点是SaaS

CSPM保护IaaS、PaaS

CWPP只保护IaaS

CIEM和CNAPP保护IaaS、PaaS


当然随着云原生安全的发展,各种平台的能力也相互的融合。如CNAPP就包含CSPM、CWPP,CIEM也可以包含在CSPM里。


总而言之,随着云计算的发展,上云的服务越来越多,云原生安全任重而道远。


知识来源: ?id=b7870cb9676f25a96f0fc02c13fd0000&source_url=https%3A%2F%2Fmp.weixin.qq.com%2Fs%2FHYL6m1MeLyogY2nCIbuR3Q

阅读:40861 | 评论:0 | 标签:app 安全

想收藏或者和大家分享这篇好文章→复制链接地址

“2021年Gartner云安全技术成熟度曲线新增CNAPP,解读五大云安全管理工具”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求赞助求支持💖

标签云

本页关键词