作者：juniu网络   来源:互联网    发布时间:2022-04-20

　　近年来，跟着云信息处理市场的发展，不少公司都开始选择业务服务上云，而且公司并不只是选用一种云，而是选用多种云相互整合的方式，例如，公有云、私有云、混合云等等。公司选用多云方式已发展为主流趋势。

　　然而，业务服务上云之后也并非一劳永逸。由于云安全策略的制定总是滞后于云服务的使用，存放在云中的客户信息的泄露风险也相应增加。海内外的类似安全事件也层出不穷，例现在年，aws托管的capital one美国和加拿大1.06亿客户的个人信息发生泄露。下图比较形象地展示出，云信息处理还面临多账号权限管理、可视化问题以及一系列合规问题。

　　图1：云服务使用的理想状态和现实状态的差别

　　由于“云安全”的概念所涉范围内非常广，本文只针对gartner提出的比较流行的1类云安全产品开展阐述。gartner曾提出1大云安全管理工具，分别是casb、cspm和cwpp。虽然这1大工具在一些功能上有所重叠，但1者之间更多是起到互补功能。下文首先简单介绍了1大安全工具在运用场景上的差别，然后介绍了1大云安全工具的详细运用情况。对于这1类产品不熟悉的读者可以阅读后文的详细内容。

　　责任共担与1大云安全工具的运用场景

　　为了切实解决云安全问题，供应商和公司都需要共同承担责任，双方各自负责处于其控制之下的技术。双方各自需要承担哪些职责，是由主要场景决定的：本地布署、iaas、paas或saas(请参见图2)：

　　在传统的公司级it场景下，所有基础框架均在本地执行，公司负责所有安全措施;

　　在iaas场景下，云提供商负责保护后端idcidc信息中心、网络、服务器和虚拟化;公司负责保护很好地负荷，例如实际操作系统、信息库、安全性和运用程序。这种情况下，公司要负责保护自己在公有云中执行的工作负荷;

　　而在paas这种无服务器场景下，公司则主要负责保护运用程序;

　　对于saas场景，运用程序和信息的安全性全部由服务提供商负责，而访问安全性则取决于公司及其客户。

　　图2：提供商和公司之间的职责划分

　　依据上文对公司和供应商责任的划分，大家可以针对不同场景选择不同的安全工具。图3很好地说明了1大安全工具最适合哪类场景。首先从涵盖面积看，cwpp只涵盖了iaas场景，这说明cwpp只最适合iaas服务。而casb则涵盖了saas、paas、iaas1个区域，但是主要涵盖面积体现在saas上，其运用场景也不言而喻。最后，依据cspm的涵盖情况，也可以了解其主要是解决iaas安全问题，同时能解决部分paas安全问题。

　　图3：1大云安全工具的涵盖范围内关系图

　　casb作为布署在客户和云服务商之间的安全策略控制点，是在访问基于云的资源时公司实施的安全策略。而cspm产品通常使用全全自动化方式来解决云配置和合规性问题。cwpp作为一项以服务器为中心的解决方案，主要是满足这些idcidc信息中心的工作负荷保护需求，因此，主要适用于iaas层。

　　下文将对适用于不同方面的1大安全工具分别开展详细讲解。

　　云访问安全代理(casb)

　　casb出现最早是为解决影子资产问题，尤其是跟着saas服务的快速发展，从底层硬件资源到上层软件资源，最终客户都无法实施控制。而casb能很好解决此类问题，而且越来越多客户在使用casb产品之后，发现自身公司的云服务数量是他们所认知10倍之多。较好的使用效果，使casb产品得到了快速发展。gartner也曾预测，到2022年，将有60%的大型公司使用casb。

　　casb的功能主要是作为saas运用程序提供，偶尔也会用于本地的虚拟机和物理设备。在大多数用例中，saas交付明显更受欢迎。casb核心价值是解决深度可视化、信息安全、威胁防护、合规性这4类问题。

　　图4：casb的4大支柱

　　(1) 深度可视化—casb提供了影子it发现、组织机构云服务格局的统一视图以及从任何设备或位置访问云服务中信息的客户的详细信息。

　　(2) 信息安全性—casb能够实施以信息为中心的安全策略，以防止基于信息分类、信息发现以及因监控隐私信息访问或升级权限等客户活动而开展有害活动。通常是根据审计、警报、阻止、隔离、删除和只读等控制措施来实施策略。dlp(信息丢失防护)功能很普遍，而且是仅次于可视化的最常用的一项控制措施。

　　(3) 威胁防护—casb根据提供aac来防止有害设备、客户和运用程序版本来访问云服务。可以依据登录期间和登录之后观察到的信号来更改云运用程序功能。casb此类功能的其他示例包括根据嵌进式ueba识别异常行为、威胁情报、网络沙箱以及恶意软件识别和缓解。

　　(4) 合规性—casb可帮助组织机构证明，是组织机构在管理云服务的使用情况。casb提供了信息来确定云风险偏好并确定云风险承受水平。根据各种可视化、控制和报告功能，casb有助于满足信息驻留和falv合规性要求。

　　casb可以根据api、转发代理、反向代理等方式来完成，如下图所示。

　　图5：casb功能和框架集成模式概览

　　云安全配置管理(cspm)

　　公有云iaas和paas服务中的高度全全自动化和客户自助服务，更加突出了正确的云配置和合规性的重要性。一个错误就可能立即暴露出数千个系统或大量隐私信息。云服务的选用率不断增长，加之平台服务的数量不断增加，而云技能(包括安全性)却相对匮乏，这让公司信息和工作负荷暴露无遗。雪上加霜的是，对程序化云基础框架缺乏全面了解，这意味着很长一段时间都不会发现配置不正确和不合规问题。这就导致了，即便底层的云提供商基础框架本身是安全的，但大多数公司都没有准确的流程、成熟工具或规模来确保安全使用云服务。

　　cspm能够对基础设施安全配置开展分析与管理。这些安全配置包括账号特权、网络和存放配置、以及安全配置(如加密设定)。如果发现配置不合规，cspm会采取行动开展修正。如图6所示，应该将cspm视为一个持续改进和适应云安全态势的过程，其目标是降低流量攻击成功的可能性，以及在流量攻击者获得访问权限的情况下降低发生的损害。

　　由于云基础框架始终处于变化之中，因此，cspm策略应该是在云运用的整个生命周期中开展持续评估和改进的一个策略，从研发开始一直延伸到网络维护(图6中从左到右)，并在需要时做出反应和改进。同样，由于不断提出新的云功能，不断颁发新fagui，云使用安全的策略也在不断变化。图6的顶部显示，cspm策略应不断发展并适应新的情况、不断发展的行业标准和外部威胁情报，并依据在开发和网络维护中观察到的风险开展改进。

　　图6：cspm的持续全生命周期方式

　　云工作负荷保护平台(cwpp)

　　云工作负荷保护平台(cwpp)市场是指以工作负荷为中心的安全产品，旨在解决现代混合云、多云idcidc信息中心基础框架中服务器工作负荷的独特保护要求。cwpp应该不受地理位置的影响，为物理机、虚拟机、容器和无服务器工作负荷提供统一的可视化和控制力。cwpp产品通常整合使用网络分段、系统完整性保护、运用程序控制、行为监控、基于服务器的黑客侵进防护和可选的反恶意软件保护等措施，保护工作负荷免受流量攻击。(关于cwpp产品市场近几年来的发展演进，请参考之前的《干货|cwpp产品市场演进》。)

　　图7显示了现代混合多云idcidc信息中心框架中工作负荷保护策略的主要构成要素。

　　图7：cwpp控制措施层级结构图

　　图7是一个分层金字塔，底部是一个矩形基座。服务器工作负荷的安全性源于阴影基础中较好的网络维护习惯。任何工作负荷保护策略都必须从此处开始，并确保满足以下条件：

　　任何人(流量攻击者或管理员)都很难从物理和逻辑上访问工作负荷。

　　工作负荷镜像仅包含所需的代码。服务器镜像中应禁止使用浏览器和电子邮件。

　　需要根据严格管理流程，才能更改服务器工作负荷，而且根据强制性强身份验证来严格控制管理访问。

　　收集和监控os和运用程序日志。

　　对工作负荷开展固化、缩小容量及打补丁，减少流量攻击面。

　　总结

　　目前，gartner提出的1大云安全工具casb、cspm、cwpp，针对基础框架中iaas、paas和saas层中的不同安全问题，给出了针对性的解决方案。虽然这1大工具不一定能全面涵盖所有安全问题，却也为公司在选用云服务时，加强安全控制措施指明了方向，提供了思路，可以更好地针对主要问题制定主要的解决方案。

　　当然未来，跟着云服务的不断发展，安全控制措施肯定也会紧跟云服务的发展步伐，为云服务的发展保驾护航。

　　(来源：今日头条)