云安全配置管理

今年6月份Gartner正式发布了2019年的十大安全项目。

Privileged AccessManagement，特权账户管理（PAM）
CARTA-InspiredVulnerability Management，符合CARTA方法论的弱点管理
Detection and Response，检测与响应
Cloud Security PostureManagement，云安全配置管理（CSPM）
Cloud Access SecurityBroker，云访问安全代理（CASB）
Business Email Compromise，商业邮件失陷
Dark Data Discovery，暗数据发现
Security Incident Response，安全事件响应
Container Security，容器安全
Security Rating Services，安全评级服务
与2018年相比，特权访问管理、云安全访问代理CASB、检测与响应之EDR、云安全房屋配置管理CSPM、符合CARTA的弱点管理依旧沿袭，商业邮件失陷、暗数据发现、安全事件发现、安全事件响应为新上榜，容器安全时隔一年重新上榜。

由于云计算环境配置复杂，客户对云安全意识不强，疏于管理或配置不当等错误给攻击者创造了机会。在云环境下，尤其是跨多云环境，对IaaS和PaaS云安全配置的正确性和合规性进行全面、自动化地识别、评估和修复及其重要。要求能够具备敏感数据发现和风险暴露面评估，且能够支持修复。云安全配置管理项目

CSPM由Neil取名，原名叫 云基础设施安全配置评估（CISPA），因为原来名称仅做"评估"，不做"修正"，Neil任务不妥，因此改叫“管理”。

讨论CSPM之前先来看下它与CWPP的关系。将云工工作负载分为两个层面。一个是数据平面，一个是控制层面。在数据层面，包括针对云工作负载本身进行防护的CWPP，以及云工作负载之上的CWSS（云工作负载安全服务）。CWSS是在云工作负载之上对负载进行安全防护。在控制平面，则都是在负载之上对负载进行防护的措施，就包括了CSPM，以及前面的CWSS（此处有重叠）。

CSPM能够对IaaS以及PaaS，甚至SaaS的控制平面中的基础设备室安全配置进行分析与管理（纠偏），这些安全配置包括账号特权，网络和存储配置、以及安全配置，比如加密设置。理想情况下，如果发现配置不合规，CSPM会采取行动进行修正，有时候可以将CSPM的评估功能归入到弱点扫描类产品中去，跟漏扫、配置核查搁到一块。

此外,CSPM除了能对云环境中的负载进行配置核查与修复，还能对开发环境中的负载进行配置核查与修复，从而实现DevOps全周期的防护。Gartner任务CSAB中应该具备CSPM的功能，一些CWPP厂商也开始提供部分CSPM功能，还有的云管理平台自带CSPM功能，CWPP位于云数据平面，而CASB位于云对外服务边界。

更多文章请关注“云计算与大数据安全”公众号。