事实上,在疫情发生之前,云的采用就已成为一个热门选项,而随着疫情的反复,更是加快了组织“上云”的速度,而伴随这一趋势,也面临着新的安全挑战,如组织为了能够实现软件的快速部署等特点,均加大了云原生应用的开发力度,但相应的安全仍是他们的最大顾虑。据信通院此前对云原生技术应用的调研结果显示,安全性连续两年成为企业用户的最大顾虑,2021年近七成用户担心在生产环境中大规模应用云原生技术时的安全性。
因此,在上云的同时,企业也须对网络、云服务以及云原生应用等的安全保障措施同步完善或升级,以适应新的技术、应用和场景需求,以令业务稳定、可靠地运转。
三大主流且较为成熟的云安全管理工具
在应用云服务的过程中,考虑到用户和服务供应商之间包括服务本身以及安全责任在内的复杂关系,也需要更适合的安全管理工具。Gartner此前曾提出三个云安全管理工具,目前已较为成熟,分别是CWPP、CSPM以及CASB。
CWPP(云工作负载保护平台,Cloud Workload Protection Platform)是目前比较主流的云安全管理工具,主要目的是确保云原生应用的基础设施层安全,可以保护包括多云、混合云的工作负载,它通过包括漏洞管理、应用防护等10余个能力集合在一起,通过单一的控制台进行管理,这样便可以在无需关注某个工作负载所处的具体位置而进行安全管理和保护。目前此类产品较为普遍,目前能够提供该CWPP的厂商也较多。
CSPM(云安全态势管理,Cloud Security Posture Management)则重点关注对云安全风险的持续管理,提高对风险的可见性。通过CSPM,可以用于发现配置错误、评估数据风险、对云环境的整体持续监控,同时还可以覆盖合规态势检测等内容。当通过CSPM发现问题后,企业可以实施补救,也有一些CSPM产品支持在发现部分问题后实施自动修复。
CASB(云访问安全代理,Cloud Access Security Broker)的目的在于提升企业相关人员在访问各种云服务时的可见性,同时还可看到数据在混合云、多云间的流动,而有利于企业更好地保障数据安全,规避涉及到数据泄露及相关合规等风险。
总体来看,这三者之间在功能上是略有重叠的,但彼此之间又能形成较好的互补。不过随着数字化转型进程推进的速度不断加快,越来越多的行业、企业开始拥抱云,也推动相关技术、应用的不断成熟,云原生基础设施也不断完善,云安全也变得更加复杂和难以管理,因而组织越来越多地关注CNAPP(云原生应用保护平台,Cloud-Native Application Protection Platform),该平台被Gartner于2020年提出,其想法是通过整合单点解决方案,以实现更多自动化并减少工具之间的安全差距,解决工作负载、配置安全问题,令用户可以更便捷地借助安全产品所提供的能力以提升安全性。
融合多个安全能力 CNAPP成未来云原生安全重要趋势
从Gartner的定义来看,CNAPP首先是融合了包括前述的CWPP、CSPM,同时还包含CIEM(云基础架构授权管理,)、IaC扫描以及容器扫描。通过这五个核心组件,形成了可将应用与风险场景融合在一起的CNAPP。
Gartner将CIEM定义为一种软件即服务(SaaS)解决方案,用于通过监控和控制权限来管理云访问。CIEM使用“分析、机器学习和其他方法来检测帐户权限中的异常情况,例如累积权限以及休眠和不必要的权限。CIEM是理想的最小权限方法的补救和实施方案。”
另外IaC(基础设施即代码)扫描重点关注的是IaC中的配置问题,以确保发现错误配置和相关安全问题。同时,DevSecOps这一理念同样适用于IaC,因此将IaC扫描嵌入到处事的开发工作流程中也是非常重要的,以保证一些不必要的错误、漏洞风险消灭在初始阶段;容器是云原生应用的主要载体,其安全的重要性不言而喻,相关的安全工具在云原生安全中也是不可或缺的部分。
CNAPP从其内容上看,将CSPM、CWPP、CIEM等功能整合在一起并非是一种革命性的创新,而是为了更匹配发展趋势而做出的一种进化。将诸多能力整合在一起的最大好处,除了可以覆盖更多的风险,提高对风险的控制能力之外,还可以简化相关的安全建设,这些解决方案或安全产品此前往往来自于不同的供应商,从而导致企业及其客户在实际应用过程中难以轻松的驾驭。
总体来说,CNAPP提供了面向云基础架构全生命周期的防护,覆盖了从构建开始一直到运行时的过程,企业可轻松实现对来自于多个云安全产品、平台的信息进行关联分析,安全能力得以更简单且充分发挥的同时,降低因人为操作、判断可能会导致的错误概率。
这里再简单总结一下CNAPP的优点:
1、提供从端点到云的端到端可见性。这种可见性是统一的。
2、可覆盖全生命周期的防护能力,尤其是持续的运行时保护。CNAPP这一特性正在吸引安全和开发团队,满足他们从产品涉及到上线后这一过程中的安全控制需求,更好地应对云基础设施所面临的挑战。”
3、对安全投入的整体性更强,降低安全的复杂性和成本。这一点非常重要,因为有超过六成的用户在选择云原生安全解决方案时最大的考虑因素就是成本。CNAPP的出现,不仅可以有效减少用户在安全产品、供应商的数量,有利于用户降低云原生应用程序在安全方面的复杂性,而且在成本方面也有所降低,无论是安全管理还是人员要求等方面。
CNAPP仍处起步阶段 众多挑战徐
由于云原生安全保护需要一种从开发到运行时全生命周期的一体化防护方案,而CNAPP无疑是当前最适合的,因此我国对于CNAPP也给予了足够高的关注,此前我们曾关注到,国内的《云原生应用保护平台(CNAPP)能力要求》标准正在推进中。
根据官方表述情况来看,该标准结合国内云原生安全实践对云原生应用保护平台框架进行规范化定义,对框架中的各个工作组件提出具体的分级能力要求,规范行业相关产品质量,为企业云原生安全建设与评估提供参考。
目前CNAPP概念相关内容在国内仍处在起步阶段,相比于较为成熟的云安全管理工具,CNAPP的确也会面临很多挑战,其中一个重要问题在于企业层面在云安全建设方面已经起步一段时间,已有的云安全工具、产品、解决方案可能会给建设以CNAPP这种融合技术能力的平台带来一定的障碍,不过这一点随着时间的推移或将逐渐消逝,凭借着更优的能力和更合理的成本,CNAPP 有理由在未来会成为更多企业更新安全策略时的优先选择。
就安全厂商而言,时间也许是个朋友,从目前来看,国内涉足CNAPP领域的企业仍然不是很多,一些此前从事于CWPP或云主机安全的专业企业正在开展尝试,但他们想要覆盖CNAPP所有的能力也同样需要时间,事实上,一个不完整的CNAPP对于企业而言仍然是一个很大的未知数,因为无法判断相关安全产品提供商能否在未来将其应有的安全能力覆盖全。另外,云服务提供商在CNAPP方面的动作也是频频,依靠自身角色的优势,只要能力到位,相信这类厂商可能会成为企业更主流的选择。
云原生应用程序在未来的发展趋势已经较为确定,相关云原生安全的发展也将伴随其成为未来安全领域的重要趋势之一,更好实现对安全与合规的保障,令企业可以更从容地投入到数字创新和业务增长,相信CNAPP在这里会有它的一席之地。
京公网安备 11010802033237号
