每周都会有那么一些新闻,总有那么几个运维人员因为各种原因将带有客户敏感信息的数据库暴露在没有安全配置的存储容器里。有些很严重,比如去年11月,有超过1,000万带有旅行数据的文档暴露在一个未恰当配置的AWS S3 bucket中。同样的事情依然在上演:就在五月初,某个微软用户的错误配置存储容器暴露在了Azure上。
最近,Proofpoint对全球1,400名CSO进行了一次调研,其中第二大的网络威胁就是云账户失陷——有三分之一的受访者都对此表示了担忧。在Gartner于2019年的报告中有一句话总是被引用:“几乎所有针对云服务的成功攻击都是由于用户的错误配置和失误导致。”Check Point的研究也显示 了相同的观点:在2020年,他们发现受访者提到的威胁中,有三分之二是云平台配置错误。
Gartner同样预测,到2023年,至少99%的云安全失效都是客户自己的责任。Gartner调研的企业中,有近一半的组织因为自己的失误导致数据、API、或者网络分区暴露到公网之上。比如,这条链接中的一些过去被攻陷的公开存储容器——不过这份三年前的列表早已赶不上现代的变化了。
这些无意中的配置错误引发了一些新的重要关注点。在过去,许多安全产品致力于将坏人排除在外,阻止外部人员和恶意的内部人员。这个方式在云架构只是企业运营的一小部分的时候还有效,但现在我们需要一些能够发现和修复无意中的失误的工具。
何为CSPM?
CSPM将威胁情报、检测和修复结合,能够作用于复杂的云应用集合。
CSPM能够为CASB和CWPP的能力进行补充,填补其中的不足。一些CASB和CWPP厂商现在也会为自己现有的产品提供CSPM的附加组件。
云技术一般被分为IaaS、PaaS和IaaS。然而,这三者的差异越来越模糊,以至于有时候名字逐渐不再有太大的意义。随着企业购买更多样的云能力,有一个像CSPM通过一个工具覆盖所有云设施的方案越来越有吸引力。一个市场分析预测CSPM的全球市场会从2020年的40亿美元增长到2026年的90亿美元,因此CSPM绝对是一个值得仔细观察的领域。
CSPM厂商在过去几年经历大规模的并购事件,包括:
- Check Point在几年前收购Dome9以后,最终推出了自己的Cloudguard。
- Zcaler在2020年收购了Cloudneeti的CSPM工具。
- 趋势科技收购了Cloud Conformity的Cloud One。
- 派拓网络从Redlock收购了现在的Prisma Cloud,并从Twistlock收购了一个负载保护模组。
- Aqua Security收购了CloudSploit。
- Sophos收购了Avid Secure。
其他厂商还包括Accurics、CrowdStrike的Falcon Horizon、Rapid7的DivvyCloud、初创公司Orca Security、Sysdig Secure和SecureSky主动安全平台。
为什么需要CSPM?
所有的云技术都有一个通病:缺乏边界性。这就意味着即使有了像CASB这样的某种保护,依然没有一个简单的方式可以决定哪个进程或者人员能够接入云端,或者拒绝没有权限的访问。因此,需要一系列的保护组合来确保接入和阻断的问题。
另一个挑战在于手动处理没法跟上扩展、容器和API的速度。这就是现在基础设施即代码出现的原因,可以通过机器可读的文件对基础设施进行管理和供应。这些文件都基于API。这种方式能集成到云优先环境,不仅因为它能轻松快速修改基础设施,但也很容易产生配置错误,导致环境会暴露在漏洞上。
再说到容器,也很难在大量的云服务中进行追踪。AWS自己也有Elastic容器服务、无服务器计算引擎Fargate、以及Elastic Kubernetes服务。像Docker和Terraform等公共容器服务不一定会被每个CSPM支持。
不依靠大量集成的话,可视化能力也会很难做。企业只需要一个关于自身云安全态势的真相来源。这就意味着CSPM的展示界面会在SOC中有一席之地——哪怕SOC的面板已经十分拥挤了。另外,SOC人员还需要考虑如何将这些数据融入现有的战术手册中。这也意味着CSPM应该能够融入这些现有的工具中,并且共享IOC或者针对基础设施的攻击信息。
一些工具,比如CrowdStrike的Falcon和Orca的工具,进一步进行了集成。两者都能能做到一些像给Slack频道推送告警、启动Jira工作流、给ServiceNow发送进一步调查的故障单等行为。
Gartner认为“架构师使用CSPM来验证云原生数据,并贯彻应用控制。”他们标出了五个对CSPM而言常见的功能:
- 合规评估。
- 运营日志、告警监测以及威胁检测。
- DevOps集成与持续部署修复。
- 近乎实时的事件响应。
- 统一风险评估与可视化。
需要询问CSPM供应商的几个问题
- 如何计算你的基线,从而能够追踪你的云上资产变化?
- 该解决方案是否适用于主流公有云,以及不同的Kubernetes和其他基于容器的部署模式?又是否能支持像Box、Salesforce、Workday、ServiceNow等SaaS应用?某些产品会在云端部署代理,有些通过只读接入的方式扫描环境和资源,还有一些需要写入权限对账户进行修复。
- 针对各类变化、政策违规和其他异常事件的告警实时性如何?它会不会追踪配置错误的安全组、远程接入、应用控制错误、以及网络变化?所有的云厂商都会提供内置的活动监测,但如果使用多云,就会需要CSPM对这些丰富的数据来源进行分隔,从而能有效利用这些数据。
- 自动化修复的实时性如何?最好的CSPM会持续扫描有隐患的系统,有一些还能够在一个新的虚拟机上线造成不安全情况的时候进行检测。
- 它还能集成哪些安全和通知工具?比如SIEM和SOAR?
- 在每个云供应商上能支持多少合规和审计的报告框架?每个工具都会支持一种不同的框架集合,所以不一定会在所有云上都是统一的方式,只会让使用者用起来更麻烦。
- 成本如何?一些厂商会提供有限的试用期;一些会根据主机数量收费,或者用某些更复杂的方式收费——能够让客户在收到账单的时候大吃一惊。极少有能像Sysdig那样会提供一个公开透明的价格页面。
5个国外CSPM产品以及其关键功能
(1) CrowdStrike Falcon Horizon
CrowdStrike Falcon Horizon支持多种在AWS和Azure之间不同的服务。它有一个单独的控制台,可以管理两个云的安全组;同时可以报告在两个服务中被管理的Kubernetes节点的风险。它能被用于主动识别软件开发生命周期中的威胁,然后使用代理监测行为。
(2) Orca Security
Orca是一家CSPM初创厂商,用无代理的方式支持所有三种国外主流云平台。它的工具有一些负载保护功能,还提供对各个云服务的容器深度检查。
(3) SecureSky Active Protection Platform
SecureSky Active Protection Platform支持所有三种国外主流公有云厂商,同时支持多种SaaS应用,包括Office 365、Workday、Salesforce、ServiceNow和Box。它集成了SIEM以及多种合规工具,还集成了一个威胁管理功能。
(4) Sysdig Secure
Sysdig从为AWS提供服务开始,现在在谷歌云有测试版本,并且在明年会增加在Azure的能力。Sysdig最多能够扫描250个在AWS Fargate和ECR中被管理的容器镜像。他们有一个免费账号等级,以及多个付费账号等级。付费账号可以加入容器监测等功能,费用在每个主机24美金起,并且有年度折扣。
(5) Zscaler
Zcaler的CSPM产品去年被Cloudneeti收购了。Zcaler提供30天的免费试用。从被收购以来,他们加入了资产管理功能、大量的预定义策略、以及一个构筑策略的查询语言,同时增加了谷歌云平台的支持。他们还有13种合规框架,尽管说每个云平台可能会支持不同的系列。