每周都會有那么一些新聞，總有那么幾個運維人員因為各種原因?qū)в锌蛻裘舾行畔⒌臄?shù)據(jù)庫暴露在沒有安全配置的存儲容器里。有些很嚴重，比如去年11月，有超過1,000萬帶有旅行數(shù)據(jù)的文檔暴露在一個未恰當(dāng)配置的AWS S3 bucket中。同樣的事情依然在上演：就在五月初，某個微軟用戶的錯誤配置存儲容器暴露在了Azure上。

最近，Proofpoint對全球1,400名CSO進行了一次調(diào)研，其中第二大的網(wǎng)絡(luò)威脅就是云賬戶失陷——有三分之一的受訪者都對此表示了擔(dān)憂。在Gartner于2019年的報告中有一句話總是被引用：“幾乎所有針對云服務(wù)的成功攻擊都是由于用戶的錯誤配置和失誤導(dǎo)致。”Check Point的研究也顯示 了相同的觀點：在2020年，他們發(fā)現(xiàn)受訪者提到的威脅中，有三分之二是云平臺配置錯誤。

Gartner同樣預(yù)測，到2023年，至少99%的云安全失效都是客戶自己的責(zé)任。Gartner調(diào)研的企業(yè)中，有近一半的組織因為自己的失誤導(dǎo)致數(shù)據(jù)、API、或者網(wǎng)絡(luò)分區(qū)暴露到公網(wǎng)之上。比如，這條鏈接中的一些過去被攻陷的公開存儲容器——不過這份三年前的列表早已趕不上現(xiàn)代的變化了。

這些無意中的配置錯誤引發(fā)了一些新的重要關(guān)注點。在過去，許多安全產(chǎn)品致力于將壞人排除在外，阻止外部人員和惡意的內(nèi)部人員。這個方式在云架構(gòu)只是企業(yè)運營的一小部分的時候還有效，但現(xiàn)在我們需要一些能夠發(fā)現(xiàn)和修復(fù)無意中的失誤的工具。

何為CSPM?

CSPM將威脅情報、檢測和修復(fù)結(jié)合，能夠作用于復(fù)雜的云應(yīng)用集合。

CSPM能夠為CASB和CWPP的能力進行補充，填補其中的不足。一些CASB和CWPP廠商現(xiàn)在也會為自己現(xiàn)有的產(chǎn)品提供CSPM的附加組件。

云技術(shù)一般被分為IaaS、PaaS和IaaS。然而，這三者的差異越來越模糊，以至于有時候名字逐漸不再有太大的意義。隨著企業(yè)購買更多樣的云能力，有一個像CSPM通過一個工具覆蓋所有云設(shè)施的方案越來越有吸引力。一個市場分析預(yù)測CSPM的全球市場會從2020年的40億美元增長到2026年的90億美元，因此CSPM絕對是一個值得仔細觀察的領(lǐng)域。

CSPM廠商在過去幾年經(jīng)歷大規(guī)模的并購事件，包括：

• Check Point在幾年前收購Dome9以后，最終推出了自己的Cloudguard。
• Zcaler在2020年收購了Cloudneeti的CSPM工具。
• 趨勢科技收購了Cloud Conformity的Cloud One。
• 派拓網(wǎng)絡(luò)從Redlock收購了現(xiàn)在的Prisma Cloud，并從Twistlock收購了一個負載保護模組。
• Aqua Security收購了CloudSploit。
• Sophos收購了Avid Secure。

其他廠商還包括Accurics、CrowdStrike的Falcon Horizon、Rapid7的DivvyCloud、初創(chuàng)公司Orca Security、Sysdig Secure和SecureSky主動安全平臺。

為什么需要CSPM?

所有的云技術(shù)都有一個通病：缺乏邊界性。這就意味著即使有了像CASB這樣的某種保護，依然沒有一個簡單的方式可以決定哪個進程或者人員能夠接入云端，或者拒絕沒有權(quán)限的訪問。因此，需要一系列的保護組合來確保接入和阻斷的問題。

另一個挑戰(zhàn)在于手動處理沒法跟上擴展、容器和API的速度。這就是現(xiàn)在基礎(chǔ)設(shè)施即代碼出現(xiàn)的原因，可以通過機器可讀的文件對基礎(chǔ)設(shè)施進行管理和供應(yīng)。這些文件都基于API。這種方式能集成到云優(yōu)先環(huán)境，不僅因為它能輕松快速修改基礎(chǔ)設(shè)施，但也很容易產(chǎn)生配置錯誤，導(dǎo)致環(huán)境會暴露在漏洞上。

再說到容器，也很難在大量的云服務(wù)中進行追蹤。AWS自己也有Elastic容器服務(wù)、無服務(wù)器計算引擎Fargate、以及Elastic Kubernetes服務(wù)。像Docker和Terraform等公共容器服務(wù)不一定會被每個CSPM支持。

不依靠大量集成的話，可視化能力也會很難做。企業(yè)只需要一個關(guān)于自身云安全態(tài)勢的真相來源。這就意味著CSPM的展示界面會在SOC中有一席之地——哪怕SOC的面板已經(jīng)十分擁擠了。另外，SOC人員還需要考慮如何將這些數(shù)據(jù)融入現(xiàn)有的戰(zhàn)術(shù)手冊中。這也意味著CSPM應(yīng)該能夠融入這些現(xiàn)有的工具中，并且共享IOC或者針對基礎(chǔ)設(shè)施的攻擊信息。

一些工具，比如CrowdStrike的Falcon和Orca的工具，進一步進行了集成。兩者都能能做到一些像給Slack頻道推送告警、啟動Jira工作流、給ServiceNow發(fā)送進一步調(diào)查的故障單等行為。

Gartner認為“架構(gòu)師使用CSPM來驗證云原生數(shù)據(jù)，并貫徹應(yīng)用控制。”他們標(biāo)出了五個對CSPM而言常見的功能：

• 合規(guī)評估。
• 運營日志、告警監(jiān)測以及威脅檢測。
• DevOps集成與持續(xù)部署修復(fù)。
• 近乎實時的事件響應(yīng)。
• 統(tǒng)一風(fēng)險評估與可視化。

需要詢問CSPM供應(yīng)商的幾個問題

• 如何計算你的基線，從而能夠追蹤你的云上資產(chǎn)變化?

• 該解決方案是否適用于主流公有云，以及不同的Kubernetes和其他基于容器的部署模式?又是否能支持像Box、Salesforce、Workday、ServiceNow等SaaS應(yīng)用?某些產(chǎn)品會在云端部署代理，有些通過只讀接入的方式掃描環(huán)境和資源，還有一些需要寫入權(quán)限對賬戶進行修復(fù)。

• 針對各類變化、政策違規(guī)和其他異常事件的告警實時性如何?它會不會追蹤配置錯誤的安全組、遠程接入、應(yīng)用控制錯誤、以及網(wǎng)絡(luò)變化?所有的云廠商都會提供內(nèi)置的活動監(jiān)測，但如果使用多云，就會需要CSPM對這些豐富的數(shù)據(jù)來源進行分隔，從而能有效利用這些數(shù)據(jù)。

• 自動化修復(fù)的實時性如何?最好的CSPM會持續(xù)掃描有隱患的系統(tǒng)，有一些還能夠在一個新的虛擬機上線造成不安全情況的時候進行檢測。

• 它還能集成哪些安全和通知工具?比如SIEM和SOAR?

• 在每個云供應(yīng)商上能支持多少合規(guī)和審計的報告框架?每個工具都會支持一種不同的框架集合，所以不一定會在所有云上都是統(tǒng)一的方式，只會讓使用者用起來更麻煩。

• 成本如何?一些廠商會提供有限的試用期;一些會根據(jù)主機數(shù)量收費，或者用某些更復(fù)雜的方式收費——能夠讓客戶在收到賬單的時候大吃一驚。極少有能像Sysdig那樣會提供一個公開透明的價格頁面。

5個國外CSPM產(chǎn)品以及其關(guān)鍵功能

(1) CrowdStrike Falcon Horizon

CrowdStrike Falcon Horizon支持多種在AWS和Azure之間不同的服務(wù)。它有一個單獨的控制臺，可以管理兩個云的安全組;同時可以報告在兩個服務(wù)中被管理的Kubernetes節(jié)點的風(fēng)險。它能被用于主動識別軟件開發(fā)生命周期中的威脅，然后使用代理監(jiān)測行為。

(2) Orca Security

Orca是一家CSPM初創(chuàng)廠商，用無代理的方式支持所有三種國外主流云平臺。它的工具有一些負載保護功能，還提供對各個云服務(wù)的容器深度檢查。

(3) SecureSky Active Protection Platform

SecureSky Active Protection Platform支持所有三種國外主流公有云廠商，同時支持多種SaaS應(yīng)用，包括Office 365、Workday、Salesforce、ServiceNow和Box。它集成了SIEM以及多種合規(guī)工具，還集成了一個威脅管理功能。

(4) Sysdig Secure

Sysdig從為AWS提供服務(wù)開始，現(xiàn)在在谷歌云有測試版本，并且在明年會增加在Azure的能力。Sysdig最多能夠掃描250個在AWS Fargate和ECR中被管理的容器鏡像。他們有一個免費賬號等級，以及多個付費賬號等級。付費賬號可以加入容器監(jiān)測等功能，費用在每個主機24美金起，并且有年度折扣。

(5) Zscaler

Zcaler的CSPM產(chǎn)品去年被Cloudneeti收購了。Zcaler提供30天的免費試用。從被收購以來，他們加入了資產(chǎn)管理功能、大量的預(yù)定義策略、以及一個構(gòu)筑策略的查詢語言，同時增加了谷歌云平臺的支持。他們還有13種合規(guī)框架，盡管說每個云平臺可能會支持不同的系列。