云原生安全,没那么简单

2022-04-16 14:26:03 浏览数 (1)

随着云计算给信息基础设施带来的变革,加上5G、物联网和产业互联网的发展,云原生正在成为企业IT的标配。 统计数据显示,到2021年,将有92%的公司成为云原生公司。

由于业务持续不断的交付要求,需要持续不断的安全保障,因此“云原生”带来的是极为广阔的安全市场空间。

面对这一新兴市场,云原生安全的理念、技术及产品是否有所变革?

云原生安全:

安全和云计算的深度融合

中国信通院云大所副所长栗蔚指出,云原生安全作为一种新兴的安全理念,并不是只解决云原生技术带来的安全问题,而是强调以原生的思维构建云安全,推动安全与云计算深度融合。

结合我国产业现状与痛点,中国信通院认为“云原生安全”是指:云平台安全原生化和云安全产品原生化。

  • 云平台安全原生化

一方面通过云计算特性帮助用户规避部分安全风险,另一方面能够将安全融入从设计到运营的整个过程中,向用户交付更安全的云服务。

这是因为云计算具备分布式存储、资源统一管理、网络虚拟化等特性,能够有效规避部分安全风险,实现数据高可靠性、安全管理统一化、流量隔离与管控精细化等能力。

另外,也提倡云服务商从研发阶段关注安全问题,前置安全管理。

  • 云安全产品原生化

能够内嵌融合于云平台,解决用户云计算环境和传统安全架构割裂的痛点。

这类原生安全产品需要具备四大特性和优势,才能为用户云上安全建设提供更有力保障:采用内嵌的方式而无需外挂部署;充分利用云平台原生的资源和数据优势;可以与用户云资源、其它原生安全产品有效联动;能够解决云计算面临的特有安全问题。

如果从这两个角度出发,目前国内云安全产品可以简单直观的分成三大类:

  • 第一类是对云原生要求不高的传统安全产品

比如:防火墙、防入侵、端点安全、服务器监控、终端检测响应和SIEM等,云运营商可直接将第三方安全产品部署上云。

  • 第二类是云服务商为配套云服务而提供的安全产品,也可称为“云服务商原生提供的安全(Native Cloud Security)”。

常见的有威胁检测、云数据库安全、API安全、容器和工作负载安全、用户行为监控、合规与风险管理等产品,一般由服务商从第三方购买整合或自己开发。

  • 第三类则是基于云原生应运而生的“新安全”产品和服务

与云天生具有较好的亲和力,比如云工作负载保护平台CWPP(Cloud Workload Protection Platform)、云安全态势管理CSPM(Cloud Security Posture Management)、云访问安全代理CASB(Cloud Access Security Broker)、微隔离等等。

第一类是传统安全厂商的静态存量市场,搬一块少一块,第二类和第三类则是云安全市场的创新和整合频繁出现的地方,创业公司层出不穷,安全大厂并购频繁,云运营商也亲自下场买买买,因此这是安全厂商的机会所在。

云原生基因的新安全产品:

CWPP / CSPM / CASB

对于传统安全产品和云服务商提供的安全产品,企业都已经耳熟能详了。下面就来聊聊基于云原生而生的新安全产品。

Gartner曾提出三大云安全管理工具,分别是CWPP、CSPM和CASB。

虽然这三大工具在一些功能上有所重叠,但三者之间更多是起到互补作用。

CWPP是对云工作负载进行保护,是对数据面的安全防护。

CSPM是聚焦控制面的安全属性,包括配置策略和管理工作负载、合规评估、运营监控、DevOps集成、保障调用云运营商API完整性等等。

CASB是专注于SaaS安全,为企业提供对SaaS使用情况的可视性和安全控制。

以上三者对于保障云应用的实际运行,密不可分。三者配合的目的,都是为了云计算业务的正常开展和租户敏感数据得到妥善保护。

  • CWPP的能力和分类

根据Gartner的定义,云工作负载保护平台CWPP,意指在现代混合多云数据中心架构下,以租户的云工作负载为中心的安全机制。

CWPP是IaaS安全的关键环节之一,也是促进企业“上云”的保障。

时至今日,随着云工作负载保护在云计算中重要性的提升,CWPP已经与传统大户——终端安全防护EPP(Endpoint Protection Platform)分庭抗礼。

2019年全球的CWPP市场收入为12.44亿美元,在2018年10亿美元的基础上,增长超过20%。

三个最大的玩家分别是:趋势科技、赛门铁克和McAfee,占一半的营收。

2020年4月Gartner发布的CWPP市场指南,对业界已经很熟悉的CWPP能力金字塔进一步精简。

由于不同安全厂商针对特定领域,聚焦一种或多种能力,这也造就了CWPP具体产品实现的不同基因。

Gartner据此把厂商分成七大类:广泛能力和多系统支持,漏洞扫描和配置合规,基于身份的隔离和可视化与管控,应用管控与状态执行,服务器行为监测和威胁检测和响应,容器和K8S保护,以及对Serverless的保护。

  • CSPM的能力集和分类

当前几乎所有的云安全事件都涉及配置错误和管控失当,而涉及到IaaS和PaaS服务的配置复杂性和用户自助之普及,更凸显正确配置和合规的重要性,这就让控制面的安全机制变得越加重要。

CSPM正是在云服务商提供的基础工具之外,负责强化控制面的安全,检查和强化正确的配置。

  • CASB

CASB是置于企业内部或基于云的安全策略执行点,以便在访问基于云的资源时结合和嵌入企业的安全策略。

CASB出现最早是为解决影子资产问题,尤其是随着SaaS服务的快速发展,从底层硬件资源到上层软件资源,最终用户都无法实施控制。 很多用户在使用CASB产品之后,发现自身企业的云服务数量是他们所认知十倍之多。

CCASB是最广泛、最成熟的工具集,整合了多种类型的安全策略执行,如身份验证、单点登录、授权、身份映射、设备画像、数据加密、令牌化、日志、警报、恶意软件检测/预防等。

真正的CASB需要基于云原生技术来实现,而不是简单的把传统的安全技术搬到云端。

Gartner也曾预测,到2022年,将有60%的大型企业使用CASB。

云原生安全技术再进化:

CNAPP

伴随越来越多的行业、领域企业开始将部分乃至核心业务搬上云端,因云而生的应用、技术也得到越来越广泛、成熟的落地,云原生基础设施不断完善的同时,也迫切需要一套新的云安全运维和治理手段。

因此,Gartner在2020年定义了一个新技术应用CNAPP(Cloud-Native Application Protection Platform),即云原生应用保护平台,通过融合CSPM和CWPP的功能,可扫描开发中的工作负载和配置如虚拟机、容器、无服务器等,以起到运行时保护作用。

其优势在于,具备强大自动化和编排能力,通过实现标准化和更深层次的防御,以提高安全性;以及允许更频繁地访问工作负载。

下面就来看看CNAPP诞生的历史背景和价值。

传统意义上来讲,云安全大致有三个阶段组成:一是CASB(Cloud Access Security Broker ),即用户和应用程序之间的检查点;CSPM(Cloud Security Posture Management),即在测试和构建阶段防止配置错误并支持合规性;CWPP(Cloud Workload Protection Platform),即涵盖了应用程序的部署和操作。

但是,正是由于这些解决方案往往来自不同供应商的独立产品集成,会导致企业客户的IT团队犯难,让团队根本无法协同工作。

这导致在云端往往缺乏端到端的可观测性,给网络攻击提供了利用的盲点。

为了应对云原生带来的种种安全挑战,越来越多的组织正转向新的安全技术栈,能够将CSPM和CWP的优点融为一体。

CNAPP虽然不算一个新颖的命题,但它正改变游戏规则。

对于云安全市场而言,CNAPP为从构建到运行时间的整个生命周期内云基础架构提供了最佳保护等级。

这种整合带来了诸多好处:由于个人不再需要关联来自不同分析平台的信息,因此技能集变得更容易,它减少了人为错误,提供了有关安全威胁的更多环境,并减少了在多个云安全产品上的成本。

这等于是在提供了更安全的云环境的同时,减少了对已经过度紧张的IT团队的需求。

对于客户而言,CNAPP解决方案有以下几点优势:

一是将CSPM和CWP集成到一个100%云原生管理控制台中;二是它结合了机器学习、深度学习、攻击指示器(IOA)、行为监测与分析的功能,并结合了威胁猎人,以提供持续的运行时保护;三是从端点到云的端到端可观测性;四是能够为本地无服务器容器提供相同等级的保护。

结语 从Gartner提出的三大云安全工具CASB、CSPM、CWPP,到最新的CNAPP概念,可以看到云原生安全理念和产品仍在快速演进中。这些工具不一定能全面覆盖所有安全问题,却也为企业在采用云服务时,加强安全控制措施指明了方向,可以更好地针对具体问题制定具体的解决方案。

0 人点赞