云安全状态管理 (CSPM) 是一种网络安全技术,可以自动识别和修复混合云和多云环境和服务(包括基础架构即服务 (IaaS)、平台即服务 (PaaS) 和软件即服务 (SaaS))中的配置错误和安全风险。
组织越来越多地采用和结合多云(来自多个不同云服务提供商的服务)和混合云(结合公有云和私有云基础架构的云)。
利用多云和混合云,各种规模的组织获得了部署最佳应用程序和开发工具、快速扩展运营并加速数字化转型的灵活性。根据最近的一项估计,87% 的组织使用多云环境,72% 的组织使用混合云环境(ibm.com 外部链接)。
但除了这些好处之外,多云和混合云也带来了安全挑战。
安全人员和 DevOps/DevSecOps 团队必须管理他们跨多个提供商的云部署的云原生应用程序的所有组件的安全性和合规性 - 可能包括数百或数千个微服务、无服务器功能、容器和 Kubernetes 集群。
特别是,基础架构即代码 (IaC) 能够在每个持续集成/持续交付 (CI/CD) 周期中实现 API 驱动的动态配置,使得编程、分发和永久保留错误配置变得非常容易。数据和应用程序容易受到安全事件和网络威胁。根据 IBM 的 《2023 年数据泄露成本报告》,2023 年有 11% 的数据泄露其初始攻击媒介是由于云配置错误。
CSPM 解决方案的工作原理是发现组织的云资产并对其编目,根据已建立的安全性和合规性框架持续监控它们,并提供工具和自动化功能,用于快速识别和修复漏洞和威胁。
由于有多个云提供商和分布式云组件,缺乏可见性可能会成为安全团队的一个问题。CPSM 可在组织的混合多云环境中自动发现所有公有云和私有云服务以及所有云提供商(例如 Amazon Web Services、Google Cloud Platform、IBM Cloud、Microsoft Azure)中的所有云服务和应用程序组件及其相关配置、元数据、安全设置等,从而解决这一问题。
CSPM 的持续监控可在部署时实时发现所有云资源和资产。安全团队可以通过单个仪表板监控和管理一切。
CSPM 工具根据行业和组织基准(如国际标准化组织 (ISO)、美国国家标准技术学会 (NIST) 和互联网安全中心 (CIS) 的基准)以及组织自身的基准和安全策略,不断评估配置,从而监控配置错误。CSPM 解决方案通常提供引导式云配置修复,以及自动化功能,可以无需人工干预即可解决某些配置错误。
CSPM 还可监控和修复其他漏洞,如数据访问权限中的漏洞,黑客可利用这些漏洞访问敏感数据。大多数 CSPM 解决方案都与 DevOps/DevSecOps 工具集成,以加快修复速度并防止未来部署中的配置错误。
CSPM 工具还提供持续的合规监控,帮助组织遵守合规性标准,例如通用数据保护条例 (GDPR)、健康保险可移植性和责任法案 (HIPAA) 和支付卡行业数据安全标准 (PCI DSS),并识别潜在的违规行为。
除了识别云安全和合规风险之外,CSPM 解决方案还监控整个环境中的恶意或可疑活动,并结合威胁情报来识别威胁并确定警报的优先级。大多数 CSPM 解决方案都与安全工具(例如安全信息和事件管理 (SIEM))集成,以捕获背景和洞察,从而改进威胁检测和事件响应。
CISPA 是第一代 CSPM,主要旨在报告配置错误和安全问题。CSPM 不仅仅是简单的报告,还可以自动化检测和修复过程。CSPM 解决方案使用先进的人工智能持续监控安全问题,并根据既定的安全最佳实践进行基准测试。
CWPP 跨云提供商保护特定工作负载,并允许组织跨多个云环境执行安全功能,重点关注漏洞管理、反恶意软件和应用程序安全。相比之下,CSPM 保护整个云环境,而不仅仅是特定的工作负载。CSPM 还结合了更先进的自动化功能和引导性修复,以帮助安全团队在发现问题后解决问题。
CASB(或云访问安全代理)充当云服务提供商与其客户之间的安全检查点。它们帮助执行政策,在授予访问权限之前对网络流量进行监管,并提供防火墙、身份验证机制和恶意软件检测等基本工具。CSPM 工具可执行同样的监控任务,但还会更进一步,提供持续的合规监控,并制定出策略,概要描述出理想的基础架构状态。然后,CSPM 解决方案根据此策略检查所有网络活动,确保网络符合既定标准并维护安全的云环境。
云原生应用程序保护平台 (CNAPP) 将多种云安全和 CI/CD 安全技术整合到一个平台中,帮助安全、开发和 DevOps/DevSecOps 团队协作开发、交付和运行更安全、更合规的云原生应用程序。
CNAPP 最初被定义为 CSPM、CWPP 和云服务网络安全 (CSNS) 的组合,CSNS 是一种保护网络流量的技术。但根据您询问的对象,CNAPP 可以包含其他几种技术,例如用于持续监控和管理云权限的云基础架构授权管理 (CIEM),以及用于捕获 CI/CD 周期中的配置错误的基础架构即代码扫描。您可以在此处阅读行业分析公司 Gartner 对 CNAPP 的定义(ibm.com 外部链接)。