一. 前言
企业云化战略推进,诸多重要、核心的基础设施、服务已迁移到公有云中、小微企业更是将整个工作负载置于公有云中。随着云上基础设施数量增加,云上安全风险也随之增加,如云上服务漏洞利用、云上资源未授权访问及权限滥用等。2022年10月,黑客入侵了澳大利亚健康保险公司Medibank的云数据网络,造成该公司的大规模数据泄露,包含大量客户信息,包括姓名、地址、电话号码、健康索赔数据等,影响了超过 900 万客户。而云安全态势管理平台(Cloud Security Posture Management,CSPM)作为一种云安全实践,通过持续监控和自动化修复,帮助组织发现并纠正云安全风险,提升云安全防护能力,已然成为保护云上资产的重要工具。
二. 什么是CSPM
在Gartner发布的《Gartner Top 10 Security Projects for 2018》首次提出了CSPM的概念,用于对企业、组织的IaaS、PaaS的安全态势进行全面、自动化评估,以识别高风险[1]。Gartner官方将CSPM定义为“通过预防、检测和应对云基础设施风险,持续管理IaaS和PaaS安全态势的解决方案[2]”。表1展示了CSPM与云访问安全代理(Cloud Access Security Broker,CASB)、云工作负载保护平台(Cloud Workload Protection Platform,CWPP)、云基础设施授权管理(Cloud Infrastructure Entitlement Management,CIEM)之间的区别,这些工具分别提供了相应功能来解决云上风险,但没有一个工具能够代替其他工具的所有功能[3]。
表1 各解决方案之间的区别
与其他工具不同,CSPM是将通用框架、监管要求和企业政策应用于云服务配置核查和风险评估中,并针对发现的风险提供自动化或人工修复建议。图1展示了CSPM的核心能力,包含以下几点:
多云环境适配:Gartner预测到2025年,80%的企业将采用多个公有云基础设施即服务(IaaS)解决方案[4]。CSPM应适配更多国内外不同的云厂商,帮助用户更加直观、便捷地管理所使用的多云环境。
云上资产管理:CSPM应能够持续发现、监控云上所有服务、资产(如虚拟机、存储桶、函数服务等),发现资产、服务之间的关联性。且能够将不同云平台的资产、服务抽象为统一资源进行分类、分级管理、展示。
身份权限管理:CSPM应能够发现并监控云账户中存在的所有权限,以及用户、服务被赋予权限后能够访问到的资源。通过对用户、权限、资源之间的关系进行分析,强制执行对云基础设施和资源的最低权限访问原则。这部分能力通常也会被定义为一个新的研究方向——云基础设施权限管理 (Cloud Infrastructure Entitlement Management,CIEM) ,然而当前优秀的CSPM产品几乎涵盖了CIEM的能力[5]。
云上合规性审计:CSPM应能够持续监控云环境中资产的配置的合规状况并自动映射合规框架(《信息安全技术网络安全等级保护定级指南》、《个人信息保护法》、《网络数据安全管理条例》等)或最佳实践,且能够快速生成审计报告,并给出整改建议或提供自动化整改的能力。
云上风险管理:CSPM应能够根据可见的资产、服务及权限分析当前云环境存在的安全风险,包括但不局限于配置风险、权限风险等。并且能够根据风险资产存在位置的上下文给出风险路径的展示及风险整改意见。
图1 CSPM能力项
三. 为什么需要CSPM?
3.1
多云之间资产管理繁琐
Gartner预测,到2026年,公有云基础设施即服务(IaaS)和平台即服务(PaaS)的5年复合增长率分别为26.9%和22.2%[6],且至少80%的企业将采用多个不同的公有云服务提供商。随着云服务种类数量、云服务商类别的增加,加上不同平台用户交互逻辑有差异,导致云上资产、业务管理起来十分繁琐。繁琐的资源管理流程会造成“影子”资产的出现,增加云环境攻击面。而CSPM能够帮助企业实现云上资产可见性,消灭存在风险的“影子”资产。
3.2
云环境安全风险增加
Gartner曾指出到2023年,至少99%的云安全风险是由于使用者的错误配置导致。云服务的多样性增加了安全管理的复杂性,简单的错误配置可能造成严重的安全事件。如:土耳其航空公司Pegasus Airlines由于AWS S3存储桶配置错误而泄露了约6.5 TB的敏感数据,包含航班数据、机组人员信息等。CSPM能够通过安全策略标记错误配置,避免因错误配置导致的安全风险[7]。另外,我们实验室也对存储桶相关风险做了深入研究,详情见《警钟长鸣:S3存储桶数据泄露情况研究》[8]。
3.3
合规驱动
云上环境也属于企业范畴内的信息系统,企业同样需要对云环境进行持续的合规审计。通过CSPM对云环境的合规审计,能够帮助企业避免因违反合规条例而造成的罚单,更能够避免重大安全事件的发生[9]。
四. CSPM发展趋势
为了更好地探索CSPM的未来发展趋势,我们对当前部分优秀云安全厂商的CSPM产品以及较为成熟的开源CSPM工具进行了调研。表2展示了我们的调研、分析结果,除CSPM常规功能——资产可见性、合规审计外,如AI+、威胁情报联动及数据安全治理等额外的“亮点”功能也被不同的厂商添加进自自家CSPM产品中,提高竞争力。
表2 CSPM调研情况
CSPM作为一种关键的云安全实践,会随着云计算技术的发展而进行进行持续演变、进化。CSPM的发展趋势会有以下几个方向:
完善的数据安全治理:集成数据安全治理能力,持续监控并分类、分级治理云环境中的数据。提供相应措施保护企业云数据免遭未经授权的访问、滥用或盗窃。
自动化和智能化:未来的CSPM工具可能会更加注重自动化和智能化,通过机器学习和人工智能技术,实现对云安全事件的自动识别、响应和修复,以降低人工干预的需求。
与DevSecOps的集成:CSPM将更与DevSecOps实践集成,通过提供开发、安全和运维团队共享的安全工具和数据,促进安全的持续集成和交付。
实时威胁情报和响应:CSPM需要更加注重实时威胁情报的集成和响应能力,以帮助企业更快速地发现并应对云安全威胁。
参考文献
[1] https://www.gartner.com/smarterwithgartner/gartner-top-10-security-projects-for-2018
[2] https://www.gartner.com/en/information-technology/glossary/cloud-security-posture-management
[3] Comparing the Use of CASB, CSPM and CWPP Solutions to Protect Public Cloud Services
[4] Market Guide for Cloud-Native Application Protection Platforms
[5] https://www.checkpoint.com/cyber-hub/cloud-security/what-is-cloud-infrastructure-entitlement-management-ciem/
[6] Forecast Analysis: Cloud Security Posture Management, Worldwide
[7] https://www.wiz.io/academy/what-is-cloud-security-posture-management-cspm
[8] https://mp.weixin.qq.com/s/N5f9hqg3swg1CFhXTZMtLQ
[9] https://www.paloaltonetworks.com/cyberpedia/what-is-cloud-security-posture-management
内容编辑:创新研究院 刘文新
责任编辑:创新研究院 陈佛忠
本公众号原创文章仅代表作者观点,不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权,严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用,转载须注明来自绿盟科技研究通讯并附上本文链接。
关于我们
绿盟科技研究通讯由绿盟科技创新研究院负责运营,绿盟科技创新研究院是绿盟科技的前沿技术研究部门,包括星云实验室、天枢实验室和孵化中心。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。
绿盟科技创新研究院作为“中关村科技园区海淀园博士后工作站分站”的重要培养单位之一,与清华大学进行博士后联合培养,科研成果已涵盖各类国家课题项目、国家专利、国家标准、高水平学术论文、出版专业书籍等。
我们持续探索信息安全领域的前沿学术方向,从实践出发,结合公司资源和先进技术,实现概念级的原型系统,进而交付产品线孵化产品并创造巨大的经济价值。
长按上方二维码,即可关注我