前言
随着更多的企业将其业务应用迁移至云端,云上的安全威胁日益加剧,保护云环境的安全运行已成为企业面临的重大挑战之一,云安全态势管理(CSPM)应运而生。为帮助广大客户更加详细地了解云安全态势管理,默安科技特推出系列文章,向各位逐一介绍云安全面临的主要风险挑战及解决方案。
本文将从多云场景的角度,分享CSPM多云的统一接入管理、多云安全的一致性等功能,以及宵明·云安全态势管理平台在多云场景下的应用。
什么是CSPM?
CSPM最早出现在云安全联盟(Cloud Security Alliance)于2019年发布的《Cloud Security Posture Management》,是一个相对较新的云安全产品,旨在解决云基础设施中的配置和合规风险。CSPM使组织能够自动发现、评估和补救跨云资源的策略配置偏差以及多账户的安全配置标准,确保在任何时刻都能保证元基础设施的一致性、安全性和兼容性。
Gartner对CSPM作出如下定义:CSPM产品基于相应的政策法规、企业标准以及最佳云安全实践提供持续性的云上风险监管,包括对风险的预防、检测和响应。其核心在于主动发现并及时响应云服务配置(如网络和存储配置)和安全设置(如帐户特权和加密)的风险。
企业为什么采用多云?
多云、混合云正成为当下云计算的重要发展趋势,据Flexera 《云状态报告2023》,87% 的企业实施多云战略,多云客户中,72% 的企业选择了混合云架构,对于调研企业来说,现在有超过一半的工作负载和数据在公有云上。那么,为什么越来越多的企业采用多云战略呢?
一是充分利用云计算平台的优势。不同的云计算平台都有各自的优势,通过部署多云战略,企业可以将自身的需求与各个云计算平台的优势融合起来。
二是业务的可靠性。通过在多个云服务提供商之间分布工作负载和数据,企业可以提升系统的可靠性和弹性。当一个云服务提供商发生故障或中断时,其它云服务提供商可以继续提供服务,保证业务的连续性。
三是成本优化。建设多云环境可以降低对单一供应商的依赖,使企业能够更灵活地选择不同的云服务提供商,根据具体需求进行服务选择;为了提高竞争力,云供应商也会降低价格以吸引最具成本意识的消费者。
多云安全管理为什么难做?
企业在多云安全管理上主要面临以下六个方面的挑战:
多服务商
企业建设多云环境,势必要面对多个云服务提供商,而每个云服务提供商都有自己独立的管理控制台和操作方式,这就导致企业需要同时了解和管理多个云平台的特点、功能及工具,增加了统一管理的复杂度。
多云资产梳理困难
企业建设完多云平台后,首要面临的是多云资产台账梳理的问题。云上资产类型复杂,需要梳理的云上资产类型包括但不限于虚拟机、云原生服务、存储、数据库、网络组件等;且不同云平台提供商的资源管理界面和API有所不同,导致资产发现和可视化变得复杂。此外,不同云平台中的资源命名约定和标识符可能不同,导致对资产进行统一分类和命名变得困难。因此,用户很难从多云平台梳理出资产台账清单。
多云配置的复杂度
不同云平台,云服务类型不统一,配置方式不同,安全要求也不同。以AWS为例,EC2和S3的配置安全相关有上百页,这就要求企业运维人员对其深度了解并进行相应的安全配置,如此企业就需要投入更多的人力才能保障安全配置。
而在云安全联盟的《云安全风险、合规性、配置不当》报告中提到,几乎所有对云服务的成功攻击都是由于错误的云配置造成的。此类安全事件也频频发生:2021年9月,巴西一家名为WSpot的WiFi管理软件公司,由于云上存储桶错误配置导致公开访问泄露顾客个人信息约10GB;2022年9月,微软Azure Blob存储服务器配置错误,65000个实体的敏感数据公开……
安全一致性困难
一方面,不同的云厂商有不同的配置方式和安全要求,意味着用户很难有统一的安全规范去建设多云一致的安全基线标准;另一方面,不同部门(比如安全、运维、开发)对于安全的要求、定义也难以达成一致,可能会产生对应的安全风险。
多云监控的复杂性
在多云环境中,监控和日志审计将变得更加复杂。企业需要跟踪和监测多个云平台的安全性,并能够及时发现和解决问题,而用户需要登录不同的平台去查看各个平台的安全告警,将使运维的日常工作变得更加繁琐,问题跟踪变得更加复杂。
合规驱动
在国内,云上合规驱动一般分为两种情况。第一种是满足政策合规,例如,云上安全配置需要符合《网络安全等级保护2.0 》三级的要求:
● 应采用密码技术保证通信过程中数据的保密性。如果检测到未启用OSS安全传输,就会影响OSS存储桶的安全性。
● 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出。那么就应该避免全端口暴露,应基于每个服务创建安全组规则,并避免允许所有端口或协议。
再比如《网络安全法》中提到“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息”,如果存储桶配置了公开访问权限,就有可能导致存储桶暴露,从而引起数据泄露风险。
此外,金融企业需要符合PCIDSS的要求,出海企业需要符合GDPR的要求,医疗企业需要符合HIPAA的要求,等等。
第二种属于内驱,不同行业有属于自己内部的云配置最佳实践,需要厂商具备自定义合规基线的能力,去满足不同行业不同用户的个性化合规需求。
云安全责任共担模型下云租户的隐忧
根据云安全责任共担模型,责任的划分取决于云服务模型的类型,包括基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS)。
基础设施即服务(IaaS):在IaaS模型下,云厂商负责基础设施的安全,包括物理设备的安全、网络安全、虚拟化平台的安全等;云租户负责在云基础设施上运行的操作系统、应用程序和数据的安全。
平台即服务(PaaS):在PaaS模型下,云厂商负责基础设施和平台的安全,包括硬件、操作系统、数据库等;云租户则负责在云平台上开发和运行的应用程序和数据的安全。
软件即服务(SaaS):在SaaS模型下,云厂商承担更多的安全责任,包括应用程序本身的安全、用户数据的保护等;云租户主要关注对SaaS应用程序的正确配置和合规使用。
云安全责任共担模型的最终目的是确保云计算环境的安全性,界定云厂商和客户各自所承担的责任。云厂商依托其专业的技术和资源提供强大的基础安全保护,而云租户则需要采取适当的安全措施来保护其在云环境中的数据和应用程序。
上文中提到,几乎所有对云服务的成功攻击都是由于错误配置造成的。以特斯拉的Kubernetes集群被滥用为例,由于未正确地配置Kubernetes集群的访问权限,黑客成功入侵了特斯拉的云平台,并滥用计算资源进行加密货币挖掘。所以在租户侧,云平台配置风险是不可忽视的。
多云安全态势管理解决方案
企业通过建设宵明·云安全态势管理平台,可以在多云场景下,进行统一高效的安全态势管理。
多云运维管理的便捷性
在一个统一的WEB界面中使用同样的操作习惯,管理多个公有云、混合云的安全,不需要登录不同的云提供商的安全界面进行完全不同的操作。
跨多云环境的全面可见性
宵明通过云提供商的API连接所有的云平台,自动发现、识别、管理云上资产,建立资产模型,并持续更新资产状态,解决用户多云环境下难以统一管理资产的难题。
多云安全的一致性
宵明将等保2.0二级、三级、个人信息保护法、网络数据安全管理条例、GDPR、PCIDSS、CIS、HIPAA等国内外常见法律规定的关于网络、计算、数据等单元的安全要求,映射到云基础设施的各项配置上,检测并修复存在的错误。同时宵明在面对不同行业客户时,可以结合不同行业和业务的特点,为用户提供个性化的自定义基线规则模板,用户可以根据自己企业内部的条例,建立最适合自己企业的最佳基线实践。
部署方式的灵活性
在部署上,宵明不需要安装任何安全代理,完全避免了复杂的兼容性问题。同时宵明提供SaaS和私有化部署两种交付形式,满足不同的用户场景。最低只需要一个只读权限的AK/SK或者STS凭据就可以简单地连接到云提供商完成全部的功能,不需要长期的数据积累或者繁琐的配置,五分钟内就可以看到效果。
结语
CSPM的本质在于增强企业对云环境的可见性、合规性和安全性。本篇文章从CSPM的概念、企业建设多云的原因、多云安全管理面临的挑战、云安全责任共担模型及多云安全态势管理解决方案等五个方面,对CSPM在多云场景下的应用进行了详细阐述。后续本系列也将持续更新,敬请关注。
