云原生安全，沒那么簡單

科技云報道原創(chuàng)。

隨著云計算給信息基礎(chǔ)設(shè)施帶來的變革，加上5G、物聯(lián)網(wǎng)和產(chǎn)業(yè)互聯(lián)網(wǎng)的發(fā)展，云原生正在成為企業(yè)IT的標(biāo)配。統(tǒng)計數(shù)據(jù)顯示，到2021年，將有92%的公司成為云原生公司。

由于業(yè)務(wù)持續(xù)不斷的交付要求，需要持續(xù)不斷的安全保障，因此“云原生”帶來的是極為廣闊的安全市場空間。

面對這一新興市場，云原生安全的理念、技術(shù)及產(chǎn)品是否有所變革？

一、云原生安全：安全和云計算的深度融合

中國信通院云大所副所長栗蔚指出，云原生安全作為一種新興的安全理念，并不是只解決云原生技術(shù)帶來的安全問題，而是強(qiáng)調(diào)以原生的思維構(gòu)建云安全，推動安全與云計算深度融合。

結(jié)合我國產(chǎn)業(yè)現(xiàn)狀與痛點(diǎn)，中國信通院認(rèn)為“云原生安全”是指：云平臺安全原生化和云安全產(chǎn)品原生化。

一方面通過云計算特性幫助用戶規(guī)避部分安全風(fēng)險，另一方面能夠?qū)踩谌霃脑O(shè)計到運(yùn)營的整個過程中，向用戶交付更安全的云服務(wù)。

這是因為云計算具備分布式存儲、資源統(tǒng)一管理、網(wǎng)絡(luò)虛擬化等特性，能夠有效規(guī)避部分安全風(fēng)險，實現(xiàn)數(shù)據(jù)高可靠性、安全管理統(tǒng)一化、流量隔離與管控精細(xì)化等能力。另外，也提倡云服務(wù)商從研發(fā)階段關(guān)注安全問題，前置安全管理。

能夠內(nèi)嵌融合于云平臺，解決用戶云計算環(huán)境和傳統(tǒng)安全架構(gòu)割裂的痛點(diǎn)。

這類原生安全產(chǎn)品需要具備四大特性和優(yōu)勢，才能為用戶云上安全建設(shè)提供更有力保障：采用內(nèi)嵌的方式而無需外掛部署；充分利用云平臺原生的資源和數(shù)據(jù)優(yōu)勢；可以與用戶云資源、其它原生安全產(chǎn)品有效聯(lián)動；能夠解決云計算面臨的特有安全問題。

如果從這兩個角度出發(fā)，目前國內(nèi)云安全產(chǎn)品可以簡單直觀的分成三大類：

比如：防火墻、防入侵、端點(diǎn)安全、服務(wù)器監(jiān)控、終端檢測響應(yīng)和SIEM等，云運(yùn)營商可直接將第三方安全產(chǎn)品部署上云。

常見的有威脅檢測、云數(shù)據(jù)庫安全、API安全、容器和工作負(fù)載安全、用戶行為監(jiān)控、合規(guī)與風(fēng)險管理等產(chǎn)品，一般由服務(wù)商從第三方購買整合或自己開發(fā)。

與云天生具有較好的親和力，比如云工作負(fù)載保護(hù)平臺CWPP（Cloud Workload Protection Platform）、云安全態(tài)勢管理CSPM（Cloud Security Posture Management）、云訪問安全代理CASB（Cloud Access Security Broker）、微隔離等等。

第一類是傳統(tǒng)安全廠商的靜態(tài)存量市場，搬一塊少一塊，第二類和第三類則是云安全市場的創(chuàng)新和整合頻繁出現(xiàn)的地方，創(chuàng)業(yè)公司層出不窮，安全大廠并購頻繁，云運(yùn)營商也親自下場買買買，因此這是安全廠商的機(jī)會所在。

二、云原生基因的新安全產(chǎn)品：CWPP / CSPM / CASB

對于傳統(tǒng)安全產(chǎn)品和云服務(wù)商提供的安全產(chǎn)品，企業(yè)都已經(jīng)耳熟能詳了。下面就來聊聊基于云原生而生的新安全產(chǎn)品。

Gartner曾提出三大云安全管理工具，分別是CWPP、CSPM和CASB。雖然這三大工具在一些功能上有所重疊，但三者之間更多是起到互補(bǔ)作用。

CWPP是對云工作負(fù)載進(jìn)行保護(hù)，是對數(shù)據(jù)面的安全防護(hù)。

CSPM是聚焦控制面的安全屬性，包括配置策略和管理工作負(fù)載、合規(guī)評估、運(yùn)營監(jiān)控、DevOps集成、保障調(diào)用云運(yùn)營商API完整性等等。

CASB是專注于SaaS安全，為企業(yè)提供對SaaS使用情況的可視性和安全控制。

以上三者對于保障云應(yīng)用的實際運(yùn)行，密不可分。三者配合的目的，都是為了云計算業(yè)務(wù)的正常開展和租戶敏感數(shù)據(jù)得到妥善保護(hù)。

根據(jù)Gartner的定義，云工作負(fù)載保護(hù)平臺CWPP，意指在現(xiàn)代混合多云數(shù)據(jù)中心架構(gòu)下，以租戶的云工作負(fù)載為中心的安全機(jī)制。CWPP是IaaS安全的關(guān)鍵環(huán)節(jié)之一，也是促進(jìn)企業(yè)“上云”的保障。

時至今日，隨著云工作負(fù)載保護(hù)在云計算中重要性的提升，CWPP已經(jīng)與傳統(tǒng)大戶——終端安全防護(hù)EPP（Endpoint Protection Platform）分庭抗禮。

2019年全球的CWPP市場收入為12.44億美元，在2018年10億美元的基礎(chǔ)上，增長超過20%。三個最大的玩家分別是：趨勢科技、賽門鐵克和McAfee，占一半的營收。

2020年4月Gartner發(fā)布的CWPP市場指南，對業(yè)界已經(jīng)很熟悉的CWPP能力金字塔進(jìn)一步精簡。

由于不同安全廠商針對特定領(lǐng)域，聚焦一種或多種能力，這也造就了CWPP具體產(chǎn)品實現(xiàn)的不同基因。

Gartner據(jù)此把廠商分成七大類：廣泛能力和多系統(tǒng)支持，漏洞掃描和配置合規(guī)，基于身份的隔離和可視化與管控，應(yīng)用管控與狀態(tài)執(zhí)行，服務(wù)器行為監(jiān)測和威脅檢測和響應(yīng)，容器和K8S保護(hù)，以及對Serverless的保護(hù)。

當(dāng)前幾乎所有的云安全事件都涉及配置錯誤和管控失當(dāng)，而涉及到IaaS和PaaS服務(wù)的配置復(fù)雜性和用戶自助之普及，更凸顯正確配置和合規(guī)的重要性，這就讓控制面的安全機(jī)制變得越加重要。

CSPM正是在云服務(wù)商提供的基礎(chǔ)工具之外，負(fù)責(zé)強(qiáng)化控制面的安全，檢查和強(qiáng)化正確的配置。

CASB是置于企業(yè)內(nèi)部或基于云的安全策略執(zhí)行點(diǎn)，以便在訪問基于云的資源時結(jié)合和嵌入企業(yè)的安全策略。

CASB出現(xiàn)最早是為解決影子資產(chǎn)問題，尤其是隨著SaaS服務(wù)的快速發(fā)展，從底層硬件資源到上層軟件資源，最終用戶都無法實施控制。很多用戶在使用CASB產(chǎn)品之后，發(fā)現(xiàn)自身企業(yè)的云服務(wù)數(shù)量是他們所認(rèn)知十倍之多。

CCASB是最廣泛、最成熟的工具集，整合了多種類型的安全策略執(zhí)行，如身份驗證、單點(diǎn)登錄、授權(quán)、身份映射、設(shè)備畫像、數(shù)據(jù)加密、令牌化、日志、警報、惡意軟件檢測/預(yù)防等。

真正的CASB需要基于云原生技術(shù)來實現(xiàn)，而不是簡單的把傳統(tǒng)的安全技術(shù)搬到云端。Gartner也曾預(yù)測，到2022年，將有60%的大型企業(yè)使用CASB。

三、云原生安全技術(shù)再進(jìn)化：CNAPP

伴隨越來越多的行業(yè)、領(lǐng)域企業(yè)開始將部分乃至核心業(yè)務(wù)搬上云端，因云而生的應(yīng)用、技術(shù)也得到越來越廣泛、成熟的落地，云原生基礎(chǔ)設(shè)施不斷完善的同時，也迫切需要一套新的云安全運(yùn)維和治理手段。

因此，Gartner在2020年定義了一個新技術(shù)應(yīng)用CNAPP（Cloud-Native Application Protection Platform），即云原生應(yīng)用保護(hù)平臺，通過融合CSPM和CWPP的功能，可掃描開發(fā)中的工作負(fù)載和配置如虛擬機(jī)、容器、無服務(wù)器等，以起到運(yùn)行時保護(hù)作用。

其優(yōu)勢在于，具備強(qiáng)大自動化和編排能力，通過實現(xiàn)標(biāo)準(zhǔn)化和更深層次的防御，以提高安全性；以及允許更頻繁地訪問工作負(fù)載。

下面就來看看CNAPP誕生的歷史背景和價值。

傳統(tǒng)意義上來講，云安全大致有三個階段組成：一是CASB（Cloud Access Security Broker ），即用戶和應(yīng)用程序之間的檢查點(diǎn)；CSPM（Cloud Security Posture Management），即在測試和構(gòu)建階段防止配置錯誤并支持合規(guī)性；CWPP（Cloud Workload Protection Platform），即涵蓋了應(yīng)用程序的部署和操作。

但是，正是由于這些解決方案往往來自不同供應(yīng)商的獨(dú)立產(chǎn)品集成，會導(dǎo)致企業(yè)客戶的IT團(tuán)隊犯難，讓團(tuán)隊根本無法協(xié)同工作。這導(dǎo)致在云端往往缺乏端到端的可觀測性，給網(wǎng)絡(luò)攻擊提供了利用的盲點(diǎn)。

為了應(yīng)對云原生帶來的種種安全挑戰(zhàn)，越來越多的組織正轉(zhuǎn)向新的安全技術(shù)棧，能夠?qū)SPM和CWP的優(yōu)點(diǎn)融為一體。CNAPP雖然不算一個新穎的命題，但它正改變游戲規(guī)則。

對于云安全市場而言，CNAPP為從構(gòu)建到運(yùn)行時間的整個生命周期內(nèi)云基礎(chǔ)架構(gòu)提供了最佳保護(hù)等級。

這種整合帶來了諸多好處：由于個人不再需要關(guān)聯(lián)來自不同分析平臺的信息，因此技能集變得更容易，它減少了人為錯誤，提供了有關(guān)安全威脅的更多環(huán)境，并減少了在多個云安全產(chǎn)品上的成本。這等于是在提供了更安全的云環(huán)境的同時，減少了對已經(jīng)過度緊張的IT團(tuán)隊的需求。

對于客戶而言，CNAPP解決方案有以下幾點(diǎn)優(yōu)勢：

一是將CSPM和CWP集成到一個100%云原生管理控制臺中；二是它結(jié)合了機(jī)器學(xué)習(xí)、深度學(xué)習(xí)、攻擊指示器（IOA）、行為監(jiān)測與分析的功能，并結(jié)合了威脅獵人，以提供持續(xù)的運(yùn)行時保護(hù)；三是從端點(diǎn)到云的端到端可觀測性；四是能夠為本地?zé)o服務(wù)器容器提供相同等級的保護(hù)。

結(jié)語

從Gartner提出的三大云安全工具CASB、CSPM、CWPP，到最新的CNAPP概念，可以看到云原生安全理念和產(chǎn)品仍在快速演進(jìn)中。這些工具不一定能全面覆蓋所有安全問題，卻也為企業(yè)在采用云服務(wù)時，加強(qiáng)安全控制措施指明了方向，可以更好地針對具體問題制定具體的解決方案。

來源：科技云報道

生成海報

免責(zé)聲明：此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評論性文章，所有文字和圖片版權(quán)歸作者所有，且僅代表作者個人觀點(diǎn)，與極客網(wǎng)無關(guān)。文章僅供讀者參考，并請自行核實相關(guān)內(nèi)容。投訴郵箱：editor@fromgeek.com。

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。