主机参考:VPS测评参考推荐/专注分享VPS服务器优惠信息!若您是商家可以在本站进行投稿,查看详情!此外我们还提供软文收录、PayPal代付、广告赞助等服务,查看详情! |
我们发布的部分优惠活动文章可能存在时效性,购买时建议在本站搜索商家名称可查看相关文章充分了解该商家!若非中文页面可使用Edge浏览器同步翻译!PayPal代付/收录合作 |
近年来,随着云计算市场的发展,很多企业开始为自己的业务选择云,而且企业并不仅仅使用一种云,而是使用多种云的组合,比如公有云、私有云、混合云等。企业采用多云方法已成为主流趋势。
但是,一旦您的业务上云,就不是一次性的了。由于云安全策略的制定总是滞后于云服务的使用,因此存储在云中的客户数据泄露的风险也相应增加。类似的安全事件在国内外层出不穷。例如,今年,Capital One 在美国和加拿大的 6 亿客户由 AWS 托管的个人数据被泄露。下图形象地展示了云计算也面临着多账号权限管理、可视化问题等一系列合规性问题。
图1:云服务使用的理想状态与实际状态的区别
由于“云安全”的概念涉及面非常广,本文只详细阐述Gartner提出的比较流行的三类云安全产品。 Gartner提出了三大云安全管理工具,分别是CASB、CSPM和CWPP。虽然这三个工具在某些功能上有重叠,但它们之间的互补性更强。下面先简单介绍一下三大安全工具在应用场景上的区别,然后再介绍三大云安全工具的详细应用。对这三类产品不熟悉的读者可以稍后阅读详细内容。
三大云安全工具的职责分担及应用场景
为了有效解决云安全问题,供应商和企业都需要分担责任,各自对自己控制的技术负责。各方需要承担哪些责任由具体场景决定:本地部署、IaaS、PaaS 或 SaaS(见图2):
在传统的企业级IT场景中,所有基础设施都在本地运行,所有安全措施由企业负责;
在 IaaS 场景中,云提供商负责保护后端数据中心、网络、服务器和虚拟化;企业负责保护有效负载,例如操作系统、数据库、安全性和应用程序。在这种情况下,企业有责任保护在公共云中运行的工作负载;
在PaaS的无服务器场景中,企业主要负责保护应用;
对于 SaaS 场景,应用程序和数据的安全完全是服务提供商的责任,而访问安全则取决于企业及其用户。
图 2:供应商和企业之间的责任划分
根据以上企业和供应商职责的划分,我们可以针对不同的场景选择不同的安全工具。图 3 很好地说明了这三种安全工具适用于哪些场景。首先,在覆盖区域方面,CWPP只覆盖IaaS场景,也就是说CWPP只适用于IaaS服务。 CASB虽然涵盖SaaS、PaaS、IaaS三个领域,但主要覆盖领域体现在SaaS上,其应用场景不言而喻。最后,根据CSPM的覆盖范围,也可以理解为主要解决IaaS安全问题,同时可以解决一些PaaS安全问题。
图3:三大云安全工具覆盖关系图
CASB作为部署在客户和云服务提供商之间的安全策略控制点,是企业在访问基于云的资源时实施的安全策略。而 CSPM 产品通常使用自动化方法来解决云配置和合规性问题。 CWPP作为以主机为中心的解决方案,主要满足这些数据中心的工作负载保护需求,因此主要适用于IaaS层。
下面将详细介绍适用于不同级别的三大安全工具。
云访问安全代理 (CASB)
CASB最早出现是为了解决影子资产的问题,尤其是随着SaaS服务的快速发展,最终用户无法从底层硬件资源到上层软件资源进行控制。 CASB可以很好的解决这些问题,很多用户在使用CASB产品后,发现自己企业的云服务数量比自己想象的要多十倍。良好的使用效果使CASB产品发展迅速。 Gartner 还预测,到 2022 年,60% 的大型企业将使用 CASB。
CASB 的功能主要以 SaaS 应用程序的形式提供,偶尔也可用于本地虚拟机和物理设备。在大多数用例中,SaaS 交付更受欢迎。 CASB的核心价值是解决四类问题:深度可视化、数据安全、威胁防护和合规。
图 4:CASB 的四大支柱
(1) 深度可见性 - CASB 提供影子 IT 发现、组织云服务环境的统一视图,以及用户从任何设备或位置访问云服务中数据的详细信息。
(2) 数据安全——CASB 可以实施以数据为中心的安全策略,以防止基于数据分类、数据发现和用户活动(例如监控敏感数据访问或权限提升)的有害活动。通常通过以下方式执行策略审计、警报、阻止、隔离、删除和只读等控件。DLP(数据丢失防护)功能广泛使用,是继可视化之后最常用的控件。
(3) 威胁防护—CASB 通过提供 AAC 防止不需要的设备、用户和应用程序版本访问云服务。云应用程序功能可以根据登录期间和登录后观察到的信号进行更改。CASB 其他此类示例功能包括通过嵌入式 UEBA、威胁情报、网络沙盒以及恶意软件识别和缓解来识别异常行为。
(4) 合规性——CASB 帮助组织证明组织正在管理云服务的使用。CASB 提供信息以确定云风险偏好和确定云风险承受能力。通过各种具有可视化、控制和报告功能, CASB 有助于满足数据驻留和法律合规性要求。
CASB可以通过API、正向代理、反向代理等方式实现,如下图所示。
图 5:CASB 功能和架构集成模式概述
云安全配置管理 (CSPM)
公有云 IaaS 和 PaaS 服务的高度自动化和用户自助服务凸显了正确的云配置和合规性的重要性。一个错误可能会同时暴露数千个系统或大量敏感数据。云服务的日益普及,加上平台服务的数量不断增加以及云技能(包括安全性)的相对稀缺,使企业信息和工作负载暴露在外。更复杂的是,缺乏对程序化云基础设施的全面理解,这意味着错误配置和不合规问题很长一段时间都没有被发现。因此,即使底层的云提供商基础架构本质上是安全的,但大多数企业没有精确的流程、经过验证的工具或规模来确保安全使用云服务。
CSPM 支持对基础架构安全配置进行分析和管理。这些安全配置包括账户权限、网络和存储配置,以及加密设置等安全配置。如果发现配置不合规,CSPM 会采取措施对其进行补救。如图 6 所示,CSPM 应被视为持续改进和适应云安全态势的过程,其目标是降低攻击成功的可能性,并减少攻击者获得访问权限时造成的损害.
由于云基础设施一直在变化,因此 CSPM 策略应该是一种在云应用程序的整个生命周期中持续评估和改进的策略,从研发开始,一直延伸到运维(图 6 左图)。正确),并根据需要做出响应和改进。同样,随着新的云功能不断被提出和新法规的发布,云使用安全政策也在不断变化。图 6 的顶部显示,CSPM 策略应不断发展并适应新情况、不断发展的行业标准和外部威胁情报,并根据开发和运营中观察到的风险进行改进。
图 6:CSPM 的连续生命周期方法
云工作负载保护平台 (CWPP)
云工作负载保护平台 (CWPP) 市场是指以工作负载为中心的安全产品,旨在满足现代混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。 CWPP 应该与地理无关,为物理机、虚拟机、容器和无服务器工作负载提供统一的可见性和控制。 CWPP 产品通常结合使用网络分段、系统完整性保护、应用程序控制、行为监控、基于主机的入侵防御和可选的反恶意软件保护来保护工作负载免受攻击。 (CWPP产品市场近几年的发展演变,请参考之前的《干货|CWPP产品市场演变》。)
图 7 显示了现代混合多云数据中心架构中工作负载保护策略的主要组成部分。
图 7:CWPP 控制措施的层次结构
图 7 是一个分层金字塔,底部有一个矩形底座。服务器工作负载的安全性源于影子基础的良好操作习惯。任何工作负载保护策略都必须从这里开始,确保满足以下条件:
任何人(攻击者或管理员)都很难从物理上和逻辑上访问工作负载。
工作负载映像仅包含所需的代码。应在服务器镜像中禁用浏览器和电子邮件。
更改服务器工作负载需要严格的管理流程,并且通过强制强身份验证严格控制管理访问。
收集和监控操作系统和应用程序日志。
修复、扩展和修补工作负载以减少攻击面。
总结
目前,Gartner提出的三大云安全工具CASB、CSPM和CWPP针对基础设施的IaaS、PaaS和SaaS层的不同安全问题提供了针对性的解决方案。虽然这三个工具可能无法完全覆盖所有的安全问题,但它们也为企业在采用云服务时加强安全控制措施指明了方向和提供思路,可以更好地针对具体问题制定具体的解决方案。
当然,未来随着云服务的不断发展,安全管控措施一定会跟上云服务的发展,为云服务的发展保驾护航。
这几篇文章你可能也喜欢:
- 暂无相关推荐文章
本文由主机参考刊发,转载请注明:三大云安全工具(CASB、CSPM、CWPP)的使用场景 https://zhujicankao.com/69553.html
评论前必须登录!
注册