Gartner云安全简要解读
Gartner探讨的云安全主要以租户视角,探讨在共有云环境下,使用IaaS、PaaS、SaaS服务时,云安全的发展趋势和技术的安全能力要求。
Gartner预测到2025年,大于99%的云安全的失败都将是客户的过失导致,主要包括由于客户方的原因,如云账号和密码外泄、云存储配置不当且保存密钥等敏感信息、应用的安全配置不当等原因,更多的是配置疏忽或缺失加固等,导致云上系统或数据被攻击。那么云安全的主要目标是学会如何避免这类通用的失误。
云安全和混合云的安全,这里混合云说的是由于业务的原因,将应用部署在多个公有云环境中,主要包括云风险管理,即控制云供应商,IaaS安全,即保护工作负载;保护数据,即SaaS安全。
- 云风险管理,公有云中最大的风险之一是多租户的风险,无论使用IaaS服务还是SaaS应用,都可能与其他的租户共享虚拟化层或者共享OS系统,租户共用的基础设施由云供应商统一管理,所以对客户来说,缺乏可管控的能力也就导致对这些基础设施可见性的缺乏。只能通过供应商的安全控制能力、与供应商的合同约定、第三方对云供应商的认证结果来有效减轻这方面的风险。
这部分由云供应商提供的安全能力,称为Native Cloud security,作为云中的Basic Security,除了云风险管理,还包括运行和监控能力和安全治理。在使用云的PaaS和SaaS服务时,系统的安全控制已交由云供应商管控。 - IaaS安全,保护企业在云中的各类工作负载的安全,可包括物理主机、虚拟机、容器和无服务器计算。Gartner清晰定义了工作负载保护安全能力的集合和层次,根据能力的重要程度划分为核心的保护,重要但是执行在工作负载之外的,可选的但应该被执行在文件库中的。
从Gartner的定义看,工作负载安全位于基础架构安全可视化、CSPM和其他威胁检测、SaaS安全之间,核心的保护能力包括:漏洞利用保护/内存保护、应用控制/白名单、系统完整性保障、网络防火墙、微隔离和可视化、漏洞及配置管理、加固。而将服务端的EDR、行为检测、热补丁、恶意代码扫描放在了可选或执行在工作负载之外。核心还是隔离、加固和配置管理,而尽可能减少安全能力对服务器工作负载的业务影响。
- SaaS安全控制:SaaS控制的核心是保护数据,而之前从SaaS的生命周期看,SaaS的控制主要集中在需求分析、风险接受和执行的阶段,但在应用的发现、制定策略及执行后的持续性管理和生命周期终止阶段是较少介入安全管理的。
SaaS的主要安全能力为CASB和SSPM。CASB的能力Gartner定义比较清晰,CASB相对于SaaS,类似于数据中心的防火墙。核心能力包括DLP、加密、文件共享控制、UEBA、自适应访问控制、威胁保护。CASB的主要应用场景包括:1、跨多个SaaS应用的一致性安全策略;2、跟踪特定用户的行为;3、寻找和关闭打开可能被放弃的文件共享;
Gartner也定义了CASB的部署模式:常用的模式为部署在云应用前端的反向代理模式,用于访问可管理的云SaaS应用;也可替代现有的SWG和企业防火墙,用来管控访问未管的云应用,即互联网应用和SaaS应用;也可以通过API与云的API对接;从架构上看,CASB可作为企业访问外部应用(包括互联网应用和SaaS应用)的安全控制点,涵盖了传统上网行为管理的功能和反向代理的功能,实现对应用和数据的访问控制和可视化。
SSMP,SaaS安全态势管理平台,包含配置管理、安全风险管理、持续评估、控制自动化功能,可能由于部分功能CSPM可以实现,部分由SMP,SaaS管理平台实现,缺乏独立平台的驱动,因此,在Gartner2020年7月发布的云安全曲线中被标注为停滞期前过时的技术。
- 最后谈谈CSPM云安全态势平台,CSPM主要提供合规性评估、风险识别、运行监控、DevSecOps集成、策略强制和威胁保护的安全功能。CSPM主要的功能之一是对网络、计算、存储和PaaS服务执行安全的合规检查,以减少错误的配置可能导致的风险;也通过汇集采集云的活动数据,提供主动或被动的识别和修复风险,形成了部分的安全管理能力,所以,CSPM的具体功能由CWPP或CASB或SIEM等不同的安全供应商发展形成了具有不同功能特性的平台。Gartner也将CSPM定位为控制平面,在执行平面(数据平面)包括CWPP、SWG、CASB、SASE多类安全服务,短期看第三方厂商的CSPM依然难以实现云安全能力的统一控制。
CSP典型的应用场景为多云环境的部署,从如下的示意图可以看到CSPM服务通过API接口对接各云的日志服务等以获取相关行为及活动数据,数据的详细程度由云供应商决定;通过数据中心部署客户端采集必要的活动记录。
其他CSPM的主要最佳实践如下:
如果仅使用一家云供应商,可评估云内嵌的CSPM能力
需要第三方工具集成,使用云供应商内嵌的安全面板或控制台
更复杂或者混合多云的部署,可使用第三方的CSPM服务,这类服务已经考虑到了与多家云服务商的集成,与私有数据中心操作系统或接口的集成
将CSPM评估能力左移到开发阶段,为开发者提供诸如合规检测、风险评估、安全可视化等,在CI/CD安全集成的基础上,实现开发安全的态势管理
扩展CSPM范围扩展到基于容器的环境,如K8S的环境或云上管理的K8S服务,目前已有诸多厂商考虑到这类环境的集成
持续性的扫描云配置和遵从性的风险。
Gartner还将云安全主要分为三层:最底层是基础的安全,及Native CP Security,它是由SaaS、PaaS、IaaS供应商提供,诸如Office365,AWS、Azure等云或应用供应商提供;第二层是高级安全,为第三方工具可提供的SaaS、PaaS、IaaS的主要安全控制技术能力组合,为CASB、CWPP、CSPM、SASE四大类。最上层为人员和流程的控制,云安全架构和云风险评估。
1155
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
