1.概述
Gartner曾提出三大雲安全管理工具,分別是CASB、CSPM和CWPP
2.CASB
雲訪問安全代理(CASB)Cloud Access Security Broker
而CASB則覆蓋了SaaS、PaaS、IaaS三個區域,但是主要覆蓋面積體現在SaaS上
CASB核心價值是解決深度可視化、數據安全、威脅防護、合規性這四類問題
(1) 深度可視化—CASB提供了影子IT發現、組織機構雲服務格局的統一視圖以及從任何設備或位置訪問雲服務中數據的用戶的詳細信息。
(2) 數據安全性—CASB能夠實施以數據為中心的安全策略,以防止基於數據分類、數據發現以及因監控敏感數據訪問或提升權限等用戶活動而進行有害活動。通常是通過審計、警報、阻止、隔離、刪除和只讀等控制措施來實施策略。DLP(數據丟失防護)功能很普遍,並且是僅次於可視化的最常用的一項控制措施。
(3) 威脅防護—CASB通過提供AAC來防止有害設備、用戶和應用程序版本來訪問雲服務。可以根據登錄期間和登錄之后觀察到的信號來更改雲應用程序功能。CASB此類功能的其他示例包括通過嵌入式UEBA識別異常行為、威脅情報、網絡沙箱以及惡意軟件識別和緩解。
(4) 合規性—CASB可幫助組織機構證明,是組織機構在管理雲服務的使用情況。CASB提供了信息來確定雲風險偏好並確定雲風險承受能力。通過各種可視化、控制和報告功能,CASB有助於滿足數據駐留和法律合規性要求。
CASB可以通過API、轉發代理、反向代理等方式來實現,如下圖所示。
3.CSPM
雲安全配置管理 CSPM()
CWPP只適合IaaS服務
公有雲IaaS和PaaS服務中的高度自動化和用戶自助服務,更加突出了正確的雲配置和合規性的重要性。一個錯誤就可能立即暴露出數千個系統或大量敏感數據。雲服務的采用率不斷增長,加之平台服務的數量不斷增加,而雲技能(包括安全性)卻相對匱乏,這讓企業信息和工作負載暴露無遺。雪上加霜的是,對程序化雲基礎架構缺乏全面了解,這意味着很長一段時間都不會發現配置不正確和不合規問題。這就導致了,即便底層的雲提供商基礎架構本身是安全的,但大多數企業都沒有准確的流程、成熟工具或規模來確保安全使用雲服務。
CSPM能夠對基礎設施安全配置進行分析與管理。這些安全配置包括賬號特權、網絡和存儲配置、以及安全配置(如加密設置)。如果發現配置不合規,CSPM會采取行動進行修正。如圖6所示,應該將CSPM視為一個持續改進和適應雲安全態勢的過程,其目標是降低攻擊成功的可能性,以及在攻擊者獲得訪問權限的情況下降低發生的損害。
由於雲基礎架構始終處於變化之中,因此,CSPM策略應該是在雲應用的整個生命周期中進行持續評估和改進的一個策略,從研發開始一直延伸到運維(圖6中從左到右),並在需要時做出響應和改進。同樣,由於不斷提出新的雲功能,不斷頒發新法規,雲使用安全的策略也在不斷變化。圖6的頂部顯示,CSPM策略應不斷發展並適應新的情況、不斷發展的行業標准和外部威脅情報,並根據在開發和運維中觀察到的風險進行改進。
4.CWPP
雲工作負載保護平台
雲工作負載保護平台(CWPP)市場是指以工作負載為中心的安全產品,旨在解決現代混合雲、多雲數據中心基礎架構中服務器工作負載的獨特保護要求。CWPP應該不受地理位置的影響,為物理機、虛擬機、容器和無服務器工作負載提供統一的可視化和控制力。CWPP產品通常結合使用網絡分段、系統完整性保護、應用程序控制、行為監控、基於主機的入侵防御和可選的反惡意軟件保護等措施,保護工作負載免受攻擊。
圖7顯示了現代混合多雲數據中心架構中工作負載保護策略的主要構成要素
CWPP只覆蓋了IaaS場景
服務器工作負載的安全性源於陰影基礎中良好的運維習慣。任何工作負載保護策略都必須從此處開始,並確保滿足以下條件:
任何人(攻擊者或管理員)都很難從物理和邏輯上訪問工作負載。
工作負載鏡像僅包含所需的代碼。服務器鏡像中應禁止使用瀏覽器和電子郵件。
需要通過嚴格管理流程,才能更改服務器工作負載,並且通過強制性強身份驗證來嚴格控制管理訪問。
收集和監控OS和應用程序日志。
對工作負載進行固化、縮小容量及打補丁,減少攻擊面。