成人在线你懂的-成人在线免费小视频-成人在线免费网站-成人在线免费视频观看-日韩精品国产一区二区-日韩精品国产一区

掃一掃
關(guān)注微信公眾號

云原生時代來臨,云安全技術(shù)將何去何從?
2022-05-27   安全牛


      云原生理念經(jīng)過幾年的落地實踐已經(jīng)得到企業(yè)市場的廣泛認(rèn)可,成為企業(yè)數(shù)字化轉(zhuǎn)型的必選項?;谠圃夹g(shù)架構(gòu)開發(fā)的軟件產(chǎn)品和工具,也開始逐漸應(yīng)用在企業(yè)的日常工作當(dāng)中。隨著云原生時代的正式到來,以CWPP、CSPM、CIEM、CNAPP為代表的主流云安全技術(shù)又將會如何發(fā)展與演進呢?

  1.CWPP:云工作負載保護平臺
 
  2010年,Gartner正式提出“云工作負載保護平臺”(CloudWorkloadProtectionPlatform,CWPP)概念,旨在為虛擬機和容器的早期采用提供保護。根據(jù)Gartner的定義,CWPP是一種“以工作負載為中心的安全解決方案,可滿足現(xiàn)代混合數(shù)據(jù)中心架構(gòu)中服務(wù)器工作負載保護的獨特要求,這些架構(gòu)涵蓋本地、物理和虛擬機(VM)以及多個公共云基礎(chǔ)架構(gòu)即服務(wù)(IaaS)環(huán)境。”CWPP的部署也將支持基于容器的應(yīng)用程序架構(gòu)。
 
  CWPP技術(shù)的目的是保護公共云中的服務(wù)器工作負載。CWPP解決方案可發(fā)現(xiàn)組織基于云的部署和本地基礎(chǔ)設(shè)施中存在的工作負載,提供集中式解決方案以擴展對云資源的可見性,并保護云工作負載。
 
  CWPP的主要功能:
 
  保護云和本地工作負載:CWPP能夠發(fā)現(xiàn)組織基于云的部署和本地基礎(chǔ)設(shè)施中存在的工作負載,并提供對云資源和安全工作負載的可見性。
 
  精細、詳盡的可見性:CWPP非常擅長收集有關(guān)漏洞、敏感信息、惡意軟件掃描、資產(chǎn)版本等的詳細信息,這在擴展工作負載時會很有幫助。
 
  運行時(Runtime)保護:CWPP還可以提供文件完整性監(jiān)控(FIM)、惡意軟件掃描、日志檢查、應(yīng)用程序控制和允許列出保護運行時所需的功能。
 
  基于身份的隔離:CWPP可以提供基于應(yīng)用程序/工作負載身份執(zhí)行策略的技術(shù)。
 
  工作負載的合規(guī)性:CWPP可以將發(fā)現(xiàn)的風(fēng)險分類到選定的合規(guī)性框架中,以便輕松、持續(xù)地報告和審計。
 
  CWPP面臨的挑戰(zhàn):
 
  需要維護一個單獨的代理:CWPP需要為所保護的每項資產(chǎn)安裝和維護一個單獨的代理,這會導(dǎo)致部署時間變慢、持續(xù)維護成本增加,甚至影響資產(chǎn)性能。
 
  無法深入了解云控制平面:CWPP僅涵蓋工作負載,它們不提供對控制平面(controlplane)的任何見解。為此,用戶需要使用CSPM解決方案。
 
  難以區(qū)分告警優(yōu)先級:CWPP缺乏了解安全問題全部含義所需的可見性和上下文信息。如果沒有對云基礎(chǔ)設(shè)施的可見性,單獨的CWPP無法看到整個云資產(chǎn),也無法根據(jù)環(huán)境上下文確定警報的優(yōu)先級。
 
  資產(chǎn)覆蓋不夠:由于不太可能在任何地方部署代理,而且即便是部署了代理,也不太可能與每個操作系統(tǒng)兼容,且代理的維護成本很高,這就導(dǎo)致CWPP不可避免地會存在盲點。OrcaSecurity研究表明,云主機安全解決方案平均覆蓋的資產(chǎn)不到50%。此外,基于代理的CWPP無法查看停止、暫?;蚩臻e的機器,從而使它們很容易受到攻擊。
 
  缺乏橫向移動風(fēng)險檢測:攻擊者經(jīng)常會嘗試在云環(huán)境中獲得初始立足點,然后橫向移動到實際目標(biāo)。單獨的CWPP無法識別哪些密鑰可以為攻擊者提供對其他資產(chǎn)的訪問權(quán)限,從而暴露了一個重要的攻擊向量。
 
  總體來看,CWPP技術(shù)可確保公共云工作負載的安全,但并未涵蓋所有云安全要求。雖然CWPP解決方案提供了對工作負載內(nèi)部發(fā)生事情的詳細可見性,但它缺乏對工作負載之間連接及其駐留基礎(chǔ)架構(gòu)配置的上下文信息和可見性。
 
  2.CSPM:云安全平臺管理
 
  2014年左右,當(dāng)AWS、MicrosoftAzure和GoogleCloud等公有云服務(wù)獲得普及時,Gartner又創(chuàng)造了一個新的云安全管理定義——“云安全平臺管理”(CloudSecurityPlatformManagement,CSPM),幫助企業(yè)組織維護云服務(wù)的正確配置,保障其在公共云上業(yè)務(wù)的合規(guī)。CSPM解決方案的一個重要目標(biāo)是持續(xù)監(jiān)控云基礎(chǔ)設(shè)施,以發(fā)現(xiàn)安全策略執(zhí)行方面的漏洞。
 
  CSPM可以為組織提供對其整個云基礎(chǔ)架構(gòu)的集中可見性和風(fēng)險評估,它可以自動識別跨云基礎(chǔ)架構(gòu)的風(fēng)險,并在某些情況下進行補救。云基礎(chǔ)設(shè)施的監(jiān)控可以通過定期查詢來完成,這些查詢會返回一系列關(guān)于安全策略或最佳實踐違規(guī)的警報。
 
  CSPM解決方案涵蓋云環(huán)境,并提醒員工注意可能使云環(huán)境面臨安全風(fēng)險或運營效率低下的錯誤配置。CSPM還可以通過這種方式,幫助組織節(jié)省資金、識別重要的安全風(fēng)險以及對團隊進行培訓(xùn)。
 
  CSPM的主要功能:
 
  安全策略實施:CSPM監(jiān)控錯誤配置問題及合規(guī)風(fēng)險,并在云環(huán)境中實施安全策略。
 
  多云配置管理:CSPM通過對云配置的可見性,實現(xiàn)對多個云服務(wù)進行的集中管控。
 
  審計云控制平面:CSPM通過API連接,允許即時訪問和審計跨多云環(huán)境的整個控制面配置。
 
  為云基礎(chǔ)架構(gòu)提供合規(guī)性報告:CSPM不斷審查云環(huán)境并將正確和錯誤配置的結(jié)果分組到合規(guī)性框架中,幫助組織審核其云基礎(chǔ)架構(gòu)的正確管理。
 
  與第三方威脅情報集成:大多數(shù)CSPM能夠集成原生云服務(wù)提供商的威脅工具,這些工具可以幫助組織進一步識別風(fēng)險并確定優(yōu)先級和錯誤配置風(fēng)險。
 
  CSPM面臨的挑戰(zhàn):
 
  無法深入了解工作負載:CSPM解決方案無法深入研究工作負載。例如,如果用戶有易受攻擊的Web服務(wù)器或受感染的工作負載,它們不會提供警報。為此,用戶還需要CWPP或CNAPP解決方案。
 
  缺乏橫向移動風(fēng)險檢測:攻擊者經(jīng)常會嘗試在云環(huán)境中獲得初始立足點,然后橫向移動實際目標(biāo)。CSPM無法識別哪些密鑰可以為攻擊者提供對其他資產(chǎn)的訪問權(quán)限,從而暴露或無法識別重要的攻擊向量。
 
  總體來看,CSPM解決方案可確保正確配置公共云服務(wù)和多云基礎(chǔ)架構(gòu)。CSPM解決方案非常適合為審計提供云治理和云合規(guī)性服務(wù),但是,它們?nèi)狈υ苹A(chǔ)架構(gòu)之外風(fēng)險和威脅的深度可見性,從而在覆蓋范圍上留下空白。
 
  3.CIEM:云基礎(chǔ)設(shè)施授權(quán)管理
 
  CIEM,全稱CloudInfrastructureEntitlementsManagement,即云基礎(chǔ)設(shè)施授權(quán)管理,可有效監(jiān)控識別云賬戶行為中的異常情況。企業(yè)IT和安全團隊可以使用CIEM解決方案來管理公共云和多云環(huán)境中的身份和訪問權(quán)限。CIEM解決方案將“最小權(quán)限”原則應(yīng)用于云基礎(chǔ)設(shè)施和服務(wù),幫助組織降低由于權(quán)限混亂而導(dǎo)致的數(shù)據(jù)泄露風(fēng)險。
 
  企業(yè)的云環(huán)境需要向包括員工、業(yè)務(wù)系統(tǒng)和終端設(shè)備授予數(shù)量巨大的訪問權(quán)限,其中許多可能包括未使用的權(quán)限、過期賬戶以及默認(rèn)和錯誤配置的權(quán)限。如果不加以檢查,這些權(quán)限將成為攻擊者滲透云部署的簡便途徑。CIEM解決方案允許組織的安全團隊管理哪些用戶(業(yè)務(wù)人員和應(yīng)用系統(tǒng))可以訪問哪些資源等。
 
  CIEM的主要功能:
 
  身份和訪問管理(IAM):CIEM能夠管理對云資源擁有過多權(quán)限的特權(quán)身份,并在云環(huán)境中實施最低權(quán)限。
 
  審核多云訪問權(quán)限:CIEM持續(xù)監(jiān)控和審查跨多個云服務(wù)提供商的所有訪問權(quán)限。
 
  與IDP(身份提供商)解決方案集成:CIEM可以與身份提供商密切合作,將覆蓋范圍從系統(tǒng)和云服務(wù)擴展到所有擁有托管數(shù)字身份的人。
 
  授權(quán)風(fēng)險和合規(guī)性報告:CIEM提供對有風(fēng)險或不合規(guī)云授權(quán)的可見性,從而確定身份可以執(zhí)行哪些任務(wù)以及可以跨組織的云基礎(chǔ)架構(gòu)訪問哪些資源。
 
  提供授權(quán)建議:CIEM還能夠了解整個云身份環(huán)境,為策略和補救措施提供最佳實踐建議,以減少訪問,實現(xiàn)最低權(quán)限。
 
  最小特權(quán)權(quán)限分析:CIEM不僅啟用最小特權(quán)權(quán)限,而且還確保權(quán)限不會過度管理。
 
  CIEM面臨的挑戰(zhàn):
 
  不完整的身份和訪問管理(IAM):CIEM無法識別“另類的”身份和訪問管理(IAM)機制,例如磁盤上的SSH密鑰和AWS密鑰,以及橫向移動風(fēng)險。
 
  完整上下文和可見性方面的缺口:由于CIEM解決方案主要專注于保護云的“新邊界”,即身份訪問管理,因此一般缺乏對CSPM提供的控制面以及實際工作負載中運行內(nèi)容的可見性。
 
  總的來看,CIEM解決方案可以確保身份和訪問管理(IAM)遵循對云基礎(chǔ)設(shè)施和服務(wù)的最低權(quán)限訪問原則,因為它的功能主要集中在IAM、授權(quán)風(fēng)險和合規(guī)性方面。不過,盡管IAM被認(rèn)為是“云計算的新邊界”,但IAM和CIEM解決方案仍然缺乏對云基礎(chǔ)設(shè)施和工作負載的全面安全覆蓋。
 
  4.CNAPP:云原生應(yīng)用保護平臺
 
  CNAPP是Gartner新提出的一個云安全技術(shù)概念,代表“云原生應(yīng)用程序保護平臺”(Cloud-NativeApplicationProtectionPlatform)。作為一種創(chuàng)新的云安全技術(shù),CNAPP目前受到了廣泛關(guān)注,因為它將多種安全功能以原生化方式融合到統(tǒng)一的云安全平臺中。
 
  CNAPP可以保護從系統(tǒng)代碼到業(yè)務(wù)開展的整個應(yīng)用程序開發(fā)生命周期,未來將在很大程度替代傳統(tǒng)防護模式的云安全狀態(tài)管理(CSPM)、云工作負載保護平臺(CWPP)和云基礎(chǔ)設(shè)施授權(quán)管理(CIEM)等云安全技術(shù)。
 
  正確的CNAPP解決方案并非孤立的視圖,而是提供對云資產(chǎn)的全面覆蓋和可見性,并且可以檢測整個技術(shù)堆棧的風(fēng)險,包括云配置錯誤、不安全的工作負載和管理不善的身份訪問。
 
  此外,CNAPP還包含“左移”功能,以便在開發(fā)生命周期的早期階段識別風(fēng)險。通過結(jié)合漏洞、上下文和關(guān)聯(lián),一些CNAPP能夠執(zhí)行云攻擊路徑分析,識別看似不相關(guān)的“低危”風(fēng)險如何組合以創(chuàng)建危險的攻擊向量。
 
  CNAPP的主要能力:
 
  管理錯誤配置風(fēng)險:減少云原生應(yīng)用程序的錯誤配置以及安全管理不善的機會。
 
  整合安全投資:減少工具和供應(yīng)商的數(shù)量。
 
  簡化治理和合規(guī)性:降低與創(chuàng)建安全且合規(guī)云原生應(yīng)用程序的復(fù)雜性和成本。
 
  優(yōu)先處理關(guān)鍵警報:允許安全部門根據(jù)關(guān)系(安全漏洞、錯誤配置、權(quán)限、暴露的秘密)了解攻擊路徑。
 
  提高DevSecOps可見性:通過雙向連接(Bi-directionallylink)開發(fā)和運營可見性以及對風(fēng)險分析的洞察力,改善企業(yè)整體安全狀況。
 
  CNAPP面臨的挑戰(zhàn):
 
  重疊的能力:一個組織可能有他們無法刪除的遺留云安全系統(tǒng)。隨著時間的推移,安全部門負責(zé)人可以通過更新云戰(zhàn)略并在合同到期時移除冗余技術(shù)來消除這些障礙。
 
  總體而言,CNAPP在許多方面都具有優(yōu)勢,其主要優(yōu)勢在于提高了對云的可見性。Gartner在《云原生應(yīng)用程序保護平臺創(chuàng)新洞察報告》中指出,“CNAPP方法的最大好處是更好地了解和控制云原生應(yīng)用程序風(fēng)險。”
 
  云原生安全性的發(fā)展,為組織在不犧牲安全性和合規(guī)性的情況下加速增長和創(chuàng)造收入開辟了新機遇。與其部署、分析和關(guān)聯(lián)多點解決方案,不如節(jié)省時間深入了解風(fēng)險和攻擊路徑,而這只有通過集中式CNAPP解決方案才有可能實現(xiàn)。

熱詞搜索:

上一篇:從微補丁應(yīng)用看漏洞修復(fù)技術(shù)的發(fā)展與挑戰(zhàn)
下一篇:攻擊面管理——網(wǎng)絡(luò)安全運營技術(shù)革新 原創(chuàng)

分享到: 收藏
主站蜘蛛池模板: 猛鬼追魂| 尹雪喜电影| 2025年豆瓣评分排行榜| 浙江卫视今日播出节目表| 小敏家| 二胡独奏北国之春| 男女打扑克视频网站| 富含维生素c的水果和蔬菜| 黄瓜在线| 87版七仙女台湾| 守株待兔评课| 爱爱免费视频观看| 就爱小姐姐| 韩佳熙演的所有电影有哪些| 极度猎杀| 视频h| 找保姆| 李采潭全部作品| 新一剪梅电视剧演员表| 电影《塔蒂亚娜1》演员表| 一二三年级的童话绘画| 美丽女老师| 荒岛大逃亡电影| 韩国女主播热舞视频| http://www.douyin.com/| 爱自有天意| 白雪公主和七个小矮人的原文| 欧美一级大胆视频| 文史茶馆| 惊弦电视剧完整版免费观看高清| 金珠韩国电影| 黑咖啡早上空腹喝还是饭后喝| 唐朝诡事录最大败笔是谁| 日本十大歌姬排名| 王宝强最新电影叫什么| 爱情秘密| 电商运营计划| 四大名著好词好句摘抄| 陷阱:致命的诱惑| 职业探索怎么写| 行李箱品牌排行榜前十名|