關于CSPM需要了解的幾件事

每周都會有那么一些新聞，總有那么幾個運維人員因為各種原因將帶有客戶敏感信息的數據庫暴露在沒有安全配置的存儲容器里。有些很嚴重，比如去年11月，有超過1,000萬帶有旅行數據的文檔暴露在一個未恰當配置的AWS S3 bucket中。同樣的事情依然在上演：就在五月初，某個微軟用戶的錯誤配置存儲容器暴露在了Azure上。

最近，Proofpoint對全球1,400名CSO進行了一次調研，其中第二大的網絡威脅就是云賬戶失陷——有三分之一的受訪者都對此表示了擔憂。在Gartner于2019年的報告中有一句話總是被引用：“幾乎所有針對云服務的成功攻擊都是由于用戶的錯誤配置和失誤導致。”Check Point的研究也顯示 了相同的觀點：在2020年，他們發現受訪者提到的威脅中，有三分之二是云平臺配置錯誤。

Gartner同樣預測，到2023年，至少99%的云安全失效都是客戶自己的責任。Gartner調研的企業中，有近一半的組織因為自己的失誤導致數據、API、或者網絡分區暴露到公網之上。比如，這條鏈接中的一些過去被攻陷的公開存儲容器——不過這份三年前的列表早已趕不上現代的變化了。

這些無意中的配置錯誤引發了一些新的重要關注點。在過去，許多安全產品致力于將壞人排除在外，阻止外部人員和惡意的內部人員。這個方式在云架構只是企業運營的一小部分的時候還有效，但現在我們需要一些能夠發現和修復無意中的失誤的工具。

何為CSPM?

CSPM將威脅情報、檢測和修復結合，能夠作用于復雜的云應用集合。

CSPM能夠為CASB和CWPP的能力進行補充，填補其中的不足。一些CASB和CWPP廠商現在也會為自己現有的產品提供CSPM的附加組件。

云技術一般被分為IaaS、PaaS和IaaS。然而，這三者的差異越來越模糊，以至于有時候名字逐漸不再有太大的意義。隨著企業購買更多樣的云能力，有一個像CSPM通過一個工具覆蓋所有云設施的方案越來越有吸引力。一個市場分析預測CSPM的全球市場會從2020年的40億美元增長到2026年的90億美元，因此CSPM絕對是一個值得仔細觀察的領域。

CSPM廠商在過去幾年經歷大規模的并購事件，包括：

? Check Point在幾年前收購Dome9以后，最終推出了自己的Cloudguard。

? Zcaler在2020年收購了Cloudneeti的CSPM工具。

? 趨勢科技收購了Cloud Conformity的Cloud One。

? 派拓網絡從Redlock收購了現在的Prisma Cloud，并從Twistlock收購了一個負載保護模組。

? Aqua Security收購了CloudSploit。

? Sophos收購了Avid Secure。

其他廠商還包括Accurics、CrowdStrike的Falcon Horizon、Rapid7的DivvyCloud、初創公司Orca Security、Sysdig Secure和SecureSky主動安全平臺。

為什么需要CSPM？

所有的云技術都有一個通病：缺乏邊界性。這就意味著即使有了像CASB這樣的某種保護，依然沒有一個簡單的方式可以決定哪個進程或者人員能夠接入云端，或者拒絕沒有權限的訪問。因此，需要一系列的保護組合來確保接入和阻斷的問題。

另一個挑戰在于手動處理沒法跟上擴展、容器和API的速度。這就是現在基礎設施即代碼出現的原因，可以通過機器可讀的文件對基礎設施進行管理和供應。這些文件都基于API。這種方式能集成到云優先環境，不僅因為它能輕松快速修改基礎設施，但也很容易產生配置錯誤，導致環境會暴露在漏洞上。

再說到容器，也很難在大量的云服務中進行追蹤。AWS自己也有Elastic容器服務、無服務器計算引擎Fargate、以及Elastic Kubernetes服務。像Docker和Terraform等公共容器服務不一定會被每個CSPM支持。

不依靠大量集成的話，可視化能力也會很難做。企業只需要一個關于自身云安全態勢的真相來源。這就意味著CSPM的展示界面會在SOC中有一席之地——哪怕SOC的面板已經十分擁擠了。另外，SOC人員還需要考慮如何將這些數據融入現有的戰術手冊中。這也意味著CSPM應該能夠融入這些現有的工具中，并且共享IOC或者針對基礎設施的攻擊信息。

一些工具，比如CrowdStrike的Falcon和Orca的工具，進一步進行了集成。兩者都能能做到一些像給Slack頻道推送告警、啟動Jira工作流、給ServiceNow發送進一步調查的故障單等行為。

Gartner認為“架構師使用CSPM來驗證云原生數據，并貫徹應用控制。”他們標出了五個對CSPM而言常見的功能：

?合規評估。

?運營日志、告警監測以及威脅檢測。

?DevOps集成與持續部署修復。

?近乎實時的事件響應。

?統一風險評估與可視化。

需要詢問CSPM供應商的幾個問題

? 如何計算你的基線，從而能夠追蹤你的云上資產變化？

? 該解決方案是否適用于主流公有云，以及不同的Kubernetes和其他基于容器的部署模式？又是否能支持像Box、Salesforce、Workday、ServiceNow等SaaS應用？某些產品會在云端部署代理，有些通過只讀接入的方式掃描環境和資源，還有一些需要寫入權限對賬戶進行修復。

? 針對各類變化、政策違規和其他異常事件的告警實時性如何？它會不會追蹤配置錯誤的安全組、遠程接入、應用控制錯誤、以及網絡變化？所有的云廠商都會提供內置的活動監測，但如果使用多云，就會需要CSPM對這些豐富的數據來源進行分隔，從而能有效利用這些數據。

? 自動化修復的實時性如何？最好的CSPM會持續掃描有隱患的系統，有一些還能夠在一個新的虛擬機上線造成不安全情況的時候進行檢測。

? 它還能集成哪些安全和通知工具？比如SIEM和SOAR？

? 在每個云供應商上能支持多少合規和審計的報告框架？每個工具都會支持一種不同的框架集合，所以不一定會在所有云上都是統一的方式，只會讓使用者用起來更麻煩。

? 成本如何？一些廠商會提供有限的試用期；一些會根據主機數量收費，或者用某些更復雜的方式收費——能夠讓客戶在收到賬單的時候大吃一驚。極少有能像Sysdig那樣會提供一個公開透明的價格頁面。

5個國外CSPM產品以及其關鍵功能

CrowdStrike Falcon Horizon

CrowdStrike Falcon Horizon支持多種在AWS和Azure之間不同的服務。它有一個單獨的控制臺，可以管理兩個云的安全組；同時可以報告在兩個服務中被管理的Kubernetes節點的風險。它能被用于主動識別軟件開發生命周期中的威脅，然后使用代理監測行為。

Orca Security

Orca是一家CSPM初創廠商，用無代理的方式支持所有三種國外主流云平臺。它的工具有一些負載保護功能，還提供對各個云服務的容器深度檢查。

SecureSky Active Protection Platform

SecureSky Active Protection Platform支持所有三種國外主流公有云廠商，同時支持多種SaaS應用，包括Office 365、Workday、Salesforce、ServiceNow和Box。它集成了SIEM以及多種合規工具，還集成了一個威脅管理功能。

Sysdig Secure

Sysdig從為AWS提供服務開始，現在在谷歌云有測試版本，并且在明年會增加在Azure的能力。Sysdig最多能夠掃描250個在AWS Fargate和ECR中被管理的容器鏡像。他們有一個免費賬號等級，以及多個付費賬號等級。付費賬號可以加入容器監測等功能，費用在每個主機24美金起，并且有年度折扣。

Zscaler

Zcaler的CSPM產品去年被Cloudneeti收購了。Zcaler提供30天的免費試用。從被收購以來，他們加入了資產管理功能、大量的預定義策略、以及一個構筑策略的查詢語言，同時增加了谷歌云平臺的支持。他們還有13種合規框架，盡管說每個云平臺可能會支持不同的系列。