云計算因其與生俱來的可擴展性和靈活性，以及高性能計算能力，已經獲得了大量企業用戶的青睞，并成為其關鍵任務負載的首選項。而云安全態勢管理（CSPM）是確保云計算基礎設施安全運營的有效工具，它能夠掃描企業的云配置和應用程序組件，并突出顯示任何可能導致數據泄露的錯誤配置，CSPM通過自動化手段正確配置云中的服務和資源，有效阻止攻擊者侵入系統，幫助企業保護系統安全。本文收集整理了目前市場上主流的7款CSPM解決方案，并對其應用優勢和存在的不足進行了分析。

01

Palo Alto Networks Prisma Cloud

推薦理由:  綜合能力表現較突出

Prisma Cloud是Palo Alto公司推出的一款CNAPP解決方案，擁有面向混合、多云和云原生等環境的全面云安全態勢管理功能。該解決方案能夠有效地兼容常見的公有云環境，包括：AWS、谷歌云、微軟Azure、甲骨文云和阿里云。與大多數CSPM方案相比，用戶很容易通過這個平臺實現定制和自動化。Prisma Cloud可以提供靈活的實施選項，與多家云服務商高效集成以確保安全和合規，具有機器學習驅動的威脅和異常檢測能力，以及代碼掃描和開發支持功能。它還是少數幾種提供全面的代碼掃描功能且易于使用的CSPM解決方案之一。

應用特點：

?工作負載和應用程序自動分類，可以追溯整個生命周期內的云應用資產變更；

?基于700多個策略和120多個云服務的配置評估；

?自動修復常見的云錯誤配置；

?自定義策略構建和報告功能；

?網絡威脅檢測、UEBA和集成式威脅檢測儀表板。

方案優勢：

?采用全面的方法跨多個數據源進行數據規范和分析，這是許多競爭對手無法比擬的；

?用戶可以使用機器學習驅動的基于異常的策略；

?支持可靠的數據安全功能。

主要不足：

?Palo Alto Networks的定價并不便宜，客戶可能很快超出預算；

?該解決方案缺乏某種支出跟蹤功能，不太適合小企業用戶。

傳送門：

https://www.paloaltonetworks.com/prisma/cloud/cloud-security-posture-management

02

Check Point CloudGuard 

推薦理由:  完善的合規功能

CSPM是Check Point  CloudGuard云原生安全平臺的一個重要組件，旨在支持云原生環境中的安全和合規功能，能夠為AWS、谷歌云、微軟Azure、阿里云和Kubernetes用戶提供完整的安全態勢管理功能。

許多用戶選擇這個CSPM方案的主要原因是由于其出色的合規功能，包括基于規則的、機器學習驅動的遙測映射（基于數十種合規框架）以及用于自動執行合規策略的CloudBots。該CSPM解決方案的其他突出功能包括AI驅動的上下文確定，主要是在風險評估活動、IDE風險管理以及高級基礎設施即代碼掃描之前進行。

應用特點：

?安全加固和運行時代碼分析；

?自動修復通過合規引擎來提供；

?IAM驅動的即時用戶訪問；

?可為50多個合規框架、250多個云原生API和2400多個安全規則集提供安全評估；

?工作負載和軟件供應鏈安全功能。

方案優勢：

?提供威脅情報支持，作為所有CloudGuard Cloud Security Posture Management用戶的補充性附件；

?治理和合規策略功能（尤其是CloudGuard的遙測映射）非常先進；

?CloudBots提供易于使用的低代碼開源自動化。

主要不足：

?能夠為Oracle Cloud用戶提供的支持和功能比較有限；

?CloudGuard平臺對小公司而言功能過于復雜。

傳送門：

https://www.checkpoint.com/cloudguard/cloud-security-posture-management/

03

Lacework

推薦理由:  強大的智能行為分析能力

Lacework是一個CNAPP平臺，可以將云安全態勢管理與漏洞管理、基礎設施即代碼（IaC）安全、身份分析和云工作負載保護相結合，面向AWS、微軟Azure、谷歌云和Kubernetes配置。Lacework不是主要依靠合規策略來進行風險和安全管理，而是依靠智能行為分析以確定云環境的基準行為，并根據這些標準評估異常和風險。

Lacework的機器學習驅動方法允許平臺自動管理云安全，不僅用于行為分析，還用于威脅情報和異常檢測。該工具的其他出色功能包括代理和無代理操作以及報告功能（比如按鈕和多種格式選項），因而很容易與企業的各利益相關方共享發現結果。

應用特點：

?具有云資產庫存表，可以每日記錄庫存；

?預構建的定義策略選項；

?按鈕式的報告定制與生成功能；

?提供云攻擊路徑分析和上下文修復指導；

?可以根據嚴重程度進行風險評估。

方案優勢：

?Lacework實驗室是一個內部研究團隊，負責識別新的威脅，并優先考慮優化Lacework平臺的方法；

?該解決方案可高度定制，特別是通過Polygraph行為引擎提供的功能來定制；

?該工具提供高級風險上下文，允許用戶將各種類型的錯誤配置與環境中已識別的異常活動相匹配。

主要不足：

?第三方集成和支持有限；

?在數據安全治理方面的功能相對有限。

傳送門：

https://www.lacework.com/platform/cloud-security-posture-and-compliance/

04

CrowdStrike Falcon Cloud Security

推薦理由:  較強的威脅情報能力

CrowdStrike Falcon Cloud Security可以為企業組織的混合云和多云應用環境提供先進的CSPM功能，能夠與三大公有云：AWS、Azure和GCP進行兼容。CrowdStrike主要采用了無代理的CSPM管理模式，提供了持續發現和智能監控功能，簡化了云環境中的風險管理和響應。CrowdStrike CSPM解決方案的一大亮點是在威脅情報方面的深厚積累，采用攻擊者優先的情報策略，可以基于對50多個攻擊指標和150個攻擊團伙持續監測，支持指導性修復，幫助企業安全團隊能夠更快速、更輕松地識別和修復最緊迫的安全問題。

應用特點：

?具有機器學習和行為分析驅動的TTP/IOA檢測能力；

?具有攻擊者驅動的威脅檢測和情報；

?可對錯誤配置提供指導性修復支持，由行業和組織基準作為指導；

?對未受保護的資源提供點擊式重新配置的功能；

?可與DevOps、SIEM及其他云安全系統集成。

方案優勢：

?該解決方案可與CrowdStrike的其他網絡安全解決方案無縫集成；

?可以集成較完善的XDR和EDR解決方案功能；

?可以實現身份驅動的實時威脅檢測。

主要不足：

?沒有代碼掃描功能；

?適配的公有云平臺范圍有限，主要針對AWS、谷歌云和微軟Azure提供完整功能。

傳送門：

https://www.crowdstrike.com/products/cloud-security/cloud-security-posture-management-cspm/

05

Cyscale

推薦理由:  完善的云安全映射能力

Cyscale是一款基于上下文的云安全態勢管理解決方案，可以支持AWS、微軟Azure、谷歌云和阿里云用戶的安全態勢管理。借助多個管理頁面、易于操控的界面和標準化的新用戶導入方法，Cyscale非常注重其解決方案的用戶使用體驗。

Cyscale為云資產和安全控制提供了一些良好的映射功能，比如監管標準和組織特有的策略。其工作方式是，將云基礎設施可能存在的安全問題映射到從既定策略到監管標準的方方面面，然后用戶能夠自定義安全閾值，以確定哪些資產滿足其安全和合規需求。如果組織經常受到審計，又需要一種快速的方法來呈現問題和可能適用的修復策略，Cyscale的映射方法將會特別有效。

應用特點：

?提供云資產清點、映射和安全性評估；

?擁有500多個內置安全控制措施和策略；

?應用程序內咨詢和修復指導；

?可將數據導出到PDF和CSV格式，最多保留一年；

?默認提供豁免選項（借助豁免審批程序）。

方案優勢：

?與Okta和Azure Active Directory等主流身份安全方案集成；

?是用戶體驗和可見性最佳的CSPM解決方案之一；

?提供了直接的、標準化的用戶導入和部署程序。

主要不足：

?價格非常昂貴，不適合小型企業用戶；

?其對“單個資產”的定義可能讓用戶感到困惑。

傳送門：

https://cyscale.com/products/cloud-security-posture-management/

06

Trend Micro Trend Cloud One Conformity

推薦理由:  完善的配置建議

Trend Micro公司推出的Trend Cloud One Conformity是一款功能領先的CSPM解決方案，擅長為新用戶提供詳細的解釋、指導和支持。Trend Micro致力于為潛在買家普及云安全應用知識。Trend Cloud One Conformity還提供了詳細的配置建議，這些建議基于名為良好架構框架（Well-Architected Frameworks）的云設計和基礎設施標準。有了這套原則作為其建議的基礎，用戶可以輕松檢查其配置決策如何與安全、卓越運營、可靠性、性能效率、成本優化和可持續性等云安全要求保持一致。該方案可以手動更新配置，也可以基于這些規則自動修復配置。

應用特點：

?修復指南和自動修復；

?為錯誤配置提供了可過濾的審計；

?可導出、可定制的報告；

?對照合規和行業標準進行持續掃描；

?免費的公共云風險評估。

方案優勢：

?具有簡單直觀、易于設置的自動化修復功能；

?可以與多款服務工單和通信工具集成，包括Slack、ServiceNow、Jira、PagerDuty和Microsoft Teams；

?Conformity知識庫為用戶提供了廣泛的自助修復指南集合。

主要不足：

?CIEM功能有限；

?目前僅支持三大公共云平臺：AWS、微軟Azure和谷歌云。

傳送門：

https://www.trendmicro.com/en_us/business/products/hybrid-cloud/cloud-one-conformity.html

07

Ermetic

推薦理由:  強大的特權訪問管理功能

Ermetic是一種CNAPP解決方案，主要面向AWS、谷歌云和微軟Azure用戶提供云安全態勢管理和云基礎設施授權管理（CIEM）。方案可以添加的高級CIEM功能使其成為監視云應用人員及其對基礎設施和配置決策的影響。Ermetic的一大特點是身份驅動的安全管理功能，包括多云資產管理和檢測、基于身份授權的風險評估以及注重IAM的策略建議，還可以為用戶提供特權訪問管理（PAM）和即時訪問管理功能。

應用特點：

?通過使用身份驅動的安全策略實現自動化修復；

?可以修復未使用的特權和過渡的用戶特權；

?可以將CSPM功能和CIEM功能相結合；

?Terraform和CloudFormation中的IaC代碼片段；

?策略的內置模板和可定制選項。

方案優勢：

?對于還想要全面CIEM功能的用戶來說，它是最好的CSPM選項之一；

?少數提供特權訪問管理的CSPM解決方案；

?可以與主流SIEM方案（比如Splunk、IBM QRadar、ServiceNow和Jira）高效集成。

主要不足：

?是市面上最昂貴的CSPM方案之一；

?僅限于AWS、Azure和GCP云用戶使用。

傳送門：

https://ermetic.com/solution/more-robust-cloud-security-posture-management-cspm/

參考鏈接：

https://www.esecurityplanet.com/products/cspm-tools/