云安全态势

最新推荐文章于 2025-02-10 09:41:03 发布

凌松LSJ

最新推荐文章于 2025-02-10 09:41:03 发布

阅读量509

点赞数

CC 4.0 BY-SA版权

分类专栏：云原生文章标签：运维

本文链接：https://blog.csdn.net/xlsj228/article/details/127758376

云原生专栏收录该内容

8 篇文章

订阅专栏

随着容器、Kubernetes 和无服务器等云原生应用程序架构的出现，组织现在可以更轻松地在云中部署其应用程序，从而降低成本并提高敏捷性。

随着云的普及，云安全也逐渐被重视起来。保护公有云资产是云服务提供商（CSP）和使用这些服务的组织之间的共同责任。典型的责任共担模型如下：

1 云环境中安全防护

检测和预防恶意软件

传统的 EDR 解决方案无法部署在包含临时容器和无服务器功能的云原生微服务架构中，且反恶意软件扫描程序在基于云的文件存储库中的有效性有限。

识别和保护存在风险的数据

使用者通常不知道哪些数据在云中以及存储在哪里，这意味着敏感数据可能缺乏标准和法规要求的控制或可被公开访问，从而增加了违规和数据丢失的风险。

修复云配置错误

云配置错误通常是广为人知的数据泄露的原因，例如 AWS Simple Storage Service （S3）存储桶完全打开，或者配置了公共访问权限的 Azure blob 存储。

寻址身份和访问管理

知道服务器或虚拟机（VM）可以访问哪些 Amazon 虚拟私有云（VPC）或数据库、开发人员或管理员有权访问哪些资源以及如何访问数据。

确保云安全合规性

2 CNAPP

2.1 什么是CNAPP

CNAPP 在一个平台中提供云安全风险的整体视图，并在整个软件开发生命周期中保护云原生应用程序。CNAPP 集成了多种云安全功能，包括云安全态势管理（CSPM）、云工作负载保护平台（CWPP）和云基础设施授权管理（CIEM），以及合规性和网络安全风险管理。

CNAPP应包含“左移”功能，以在开发生命周期的早期识别风险。通过结合漏洞、上下文和关系，一些CNAPP 能够进行云攻击路径分析，识别看似无关的低严重性风险如何组合起来创建危险的攻击路径。

2.2 CWPP 保护云工作负载

保护云工作负载： CWPP 发现基于云的组织部署中存在的工作负载，并提供对云资源和工作负载的可见性。

详细可见性：CWPP 擅长收集有关漏洞、敏感信息、恶意软件、资产版本等的详细信息，这在放大工作负载时非常有用。

运行时保护： CWPP 还可以提供文件完整性监控（FIM）、恶意软件扫描、日志检查、应用程序控制以及保护运行时所需的“允许列表”CA功能。

基于身份的分段： CWPP 可以提供基于应用程序和工作负载身份（如标签和标签）实施策略的技术。

工作负载的合规性： CWPP 可以将发现的风险分类到选定的合规性框架中，以实现简单而持续的报告和审计。

虽然CWPP 解决方案提供了对工作负载内部发生的情况的详细可见性，但它们缺乏上下文和对工作负载与其所在基础设施配置之间连接的可见性。

其次CWPP技术也存在自身的限制。CWPP 需要为每个要保护的资产安装和维护单独的代理，从而导致部署时间缓慢、持续维护、运营成本，甚至对资源性能产生负面影响；CWPP 仅涵盖工作负载;它们不提供对控制平面的任何见解；CWPP 缺乏了解安全问题的全部影响所需的可见性和上下文；覆盖不全、横向移动监测不足。

2.3 CSPM理顺云安全状况

CSPM 平台可跨云基础架构自动识别风险，云基础架构监控可以通过定期查询来完成，这些查询返回一系列有关安全策略或最佳策略违规的警报。CSPM 为组织提供其整个云基础架构的集中可见性和风险评估。

安全策略实施： CSPM 监控配置错误的问题和合规性风险，并在云环境中实施安全策略。

多云配置管理： CSPM 非常适合跨多个云服务提供 RS 集中查看整个云控制平面配置。

控制平面审计：CSPM 通过应用程序编程接口（API）连接，允许跨多云环境的整个控制平面即时访问和审计配置。

基础架构的合规性报告： CSPM 不断审查正确和错误发现并将其分组到合规性框。

与第三方威胁情报集成： 大多数CSPM都消化了原生云服务提供商的威胁工具，这些工具可以帮助进一步识别错误配置并确定其优先级。

CSPM 解决方案可确保正确设置多云基础架构的公共云服务和配置。CSPM 解决方案非常适合为审计提供云治理和云合规性，但它们缺乏对云基础架构之外的风险和威胁（例如恶意软件和漏洞）的深入可见性，从而在覆盖范围上留下了差距。

2.4 使用 CIEM 识别和管理 IAM 问题

IT 和安全组织使用 CIEM 解决方案来管理公有云和多云环境中的身份和访问权限。CIEM 解决方案将最小特权访问原则应用于云基础架构和服务，从而降低由于过度授权而导致的数据泄露风险。

身份和访问管理（IAM）： CIEM 管理对云资源具有过多权限的特权身份，并在云规模上强制实施最低特权。

多云访问权限审核：CIEM 持续监控和审查跨多个云服务提供商的所有访问权限。

与身份提供商（IdP）解决方案集成： CIEM 可以与 IdP 密切合作，将覆盖范围从系统和云服务扩展到具有托管数字身份的人员。

风险和合规性监控： CIEM 提供对有风险或不合规的云授权的可见性，这些授权决定了识别可以执行哪些任务以及可以访问哪些资源。

权限建议： CIEM 还能够了解整个云标识环境，为策略和修正提供建议的最佳做法，以减少访问，从而实现最低特权。

最低特权权限分析： CIEM 不仅启用最低特权权限;它们还确保权限不会过度管理。

IAM和CIEM解决方案仍然缺乏云基础设施和负载的全面安全覆盖。CIEM 无法识别备用 IAM 机制，例如磁盘上的安全外壳（SSH）密钥和亚马逊云科技（AWS）密钥，以及横向移动。其次缺乏对 CSPM 提供的控制平面以及实际工作负载（CWPP 涵盖）中运行的内容的可见性。

2.5 CASB云访问安全代理

云访问安全代理（Cloud Access Security Brokers, 简称CASB）是置于云服务消费者和云服务提供商之间的企业内部或基于云的安全策略执行点，以便在访问基于云的资源时结合和嵌入企业的安全策略。CASB 整合了多种类型的安全策略执行，如身份验证、单点登录、授权、身份映射、设备画像、数据加密、令牌化、日志、警报、恶意软件检测/预防等。真正的CASB需要基于云原生技术来实现，而不是简单的把传统的安全技术搬到云端。