信息化觀察網(wǎng)

隨著云計算給信息基礎(chǔ)設(shè)施帶來的變革，加上5G、物聯(lián)網(wǎng)和產(chǎn)業(yè)互聯(lián)網(wǎng)的發(fā)展，云原生正在成為企業(yè)IT的標(biāo)配。

統(tǒng)計數(shù)據(jù)顯示，到2021年，將有92%的公司成為云原生公司。

由于業(yè)務(wù)持續(xù)不斷的交付要求，需要持續(xù)不斷的安全保障，因此“云原生”帶來的是極為廣闊的安全市場空間。

面對這一新興市場，云原生安全的理念、技術(shù)及產(chǎn)品是否有所變革？

云原生安全：

安全和云計算的深度融合

中國信通院云大所副所長栗蔚指出，云原生安全作為一種新興的安全理念，并不是只解決云原生技術(shù)帶來的安全問題，而是強調(diào)以原生的思維構(gòu)建云安全，推動安全與云計算深度融合。

結(jié)合我國產(chǎn)業(yè)現(xiàn)狀與痛點，中國信通院認為“云原生安全”是指：云平臺安全原生化和云安全產(chǎn)品原生化。

云平臺安全原生化

一方面通過云計算特性幫助用戶規(guī)避部分安全風(fēng)險，另一方面能夠?qū)踩谌霃脑O(shè)計到運營的整個過程中，向用戶交付更安全的云服務(wù)。

這是因為云計算具備分布式存儲、資源統(tǒng)一管理、網(wǎng)絡(luò)虛擬化等特性，能夠有效規(guī)避部分安全風(fēng)險，實現(xiàn)數(shù)據(jù)高可靠性、安全管理統(tǒng)一化、流量隔離與管控精細化等能力。

另外，也提倡云服務(wù)商從研發(fā)階段關(guān)注安全問題，前置安全管理。

云安全產(chǎn)品原生化

能夠內(nèi)嵌融合于云平臺，解決用戶云計算環(huán)境和傳統(tǒng)安全架構(gòu)割裂的痛點。

這類原生安全產(chǎn)品需要具備四大特性和優(yōu)勢，才能為用戶云上安全建設(shè)提供更有力保障：采用內(nèi)嵌的方式而無需外掛部署；充分利用云平臺原生的資源和數(shù)據(jù)優(yōu)勢；可以與用戶云資源、其它原生安全產(chǎn)品有效聯(lián)動；能夠解決云計算面臨的特有安全問題。

如果從這兩個角度出發(fā)，目前國內(nèi)云安全產(chǎn)品可以簡單直觀的分成三大類：

第一類是對云原生要求不高的傳統(tǒng)安全產(chǎn)品

比如：防火墻、防入侵、端點安全、服務(wù)器監(jiān)控、終端檢測響應(yīng)和SIEM等，云運營商可直接將第三方安全產(chǎn)品部署上云。

第二類是云服務(wù)商為配套云服務(wù)而提供的安全產(chǎn)品，也可稱為“云服務(wù)商原生提供的安全（Native Cloud Security）”。

常見的有威脅檢測、云數(shù)據(jù)庫安全、API安全、容器和工作負載安全、用戶行為監(jiān)控、合規(guī)與風(fēng)險管理等產(chǎn)品，一般由服務(wù)商從第三方購買整合或自己開發(fā)。

第三類則是基于云原生應(yīng)運而生的“新安全”產(chǎn)品和服務(wù)

與云天生具有較好的親和力，比如云工作負載保護平臺CWPP（Cloud Workload Protection Platform）、云安全態(tài)勢管理CSPM（Cloud Security Posture Management）、云訪問安全代理CASB（Cloud Access Security Broker）、微隔離等等。

第一類是傳統(tǒng)安全廠商的靜態(tài)存量市場，搬一塊少一塊，第二類和第三類則是云安全市場的創(chuàng)新和整合頻繁出現(xiàn)的地方，創(chuàng)業(yè)公司層出不窮，安全大廠并購頻繁，云運營商也親自下場買買買，因此這是安全廠商的機會所在。

云原生基因的新安全產(chǎn)品：

CWPP/CSPM/CASB

對于傳統(tǒng)安全產(chǎn)品和云服務(wù)商提供的安全產(chǎn)品，企業(yè)都已經(jīng)耳熟能詳了。下面就來聊聊基于云原生而生的新安全產(chǎn)品。

Gartner曾提出三大云安全管理工具，分別是CWPP、CSPM和CASB。

雖然這三大工具在一些功能上有所重疊，但三者之間更多是起到互補作用。

CWPP是對云工作負載進行保護，是對數(shù)據(jù)面的安全防護。

CSPM是聚焦控制面的安全屬性，包括配置策略和管理工作負載、合規(guī)評估、運營監(jiān)控、DevOps集成、保障調(diào)用云運營商API完整性等等。

CASB是專注于SaaS安全，為企業(yè)提供對SaaS使用情況的可視性和安全控制。

以上三者對于保障云應(yīng)用的實際運行，密不可分。三者配合的目的，都是為了云計算業(yè)務(wù)的正常開展和租戶敏感數(shù)據(jù)得到妥善保護。

CWPP的能力和分類

根據(jù)Gartner的定義，云工作負載保護平臺CWPP，意指在現(xiàn)代混合多云數(shù)據(jù)中心架構(gòu)下，以租戶的云工作負載為中心的安全機制。

CWPP是IaaS安全的關(guān)鍵環(huán)節(jié)之一，也是促進企業(yè)“上云”的保障。

時至今日，隨著云工作負載保護在云計算中重要性的提升，CWPP已經(jīng)與傳統(tǒng)大戶——終端安全防護EPP（Endpoint Protection Platform）分庭抗禮。

2019年全球的CWPP市場收入為12.44億美元，在2018年10億美元的基礎(chǔ)上，增長超過20%。

三個最大的玩家分別是：趨勢科技、賽門鐵克和McAfee，占一半的營收。

2020年4月Gartner發(fā)布的CWPP市場指南，對業(yè)界已經(jīng)很熟悉的CWPP能力金字塔進一步精簡。

由于不同安全廠商針對特定領(lǐng)域，聚焦一種或多種能力，這也造就了CWPP具體產(chǎn)品實現(xiàn)的不同基因。

Gartner據(jù)此把廠商分成七大類：廣泛能力和多系統(tǒng)支持，漏洞掃描和配置合規(guī)，基于身份的隔離和可視化與管控，應(yīng)用管控與狀態(tài)執(zhí)行，服務(wù)器行為監(jiān)測和威脅檢測和響應(yīng)，容器和K8S保護，以及對Serverless的保護。

CSPM的能力集和分類

當(dāng)前幾乎所有的云安全事件都涉及配置錯誤和管控失當(dāng)，而涉及到IaaS和PaaS服務(wù)的配置復(fù)雜性和用戶自助之普及，更凸顯正確配置和合規(guī)的重要性，這就讓控制面的安全機制變得越加重要。

CSPM正是在云服務(wù)商提供的基礎(chǔ)工具之外，負責(zé)強化控制面的安全，檢查和強化正確的配置。

CASB

CASB是置于企業(yè)內(nèi)部或基于云的安全策略執(zhí)行點，以便在訪問基于云的資源時結(jié)合和嵌入企業(yè)的安全策略。

CASB出現(xiàn)最早是為解決影子資產(chǎn)問題，尤其是隨著SaaS服務(wù)的快速發(fā)展，從底層硬件資源到上層軟件資源，最終用戶都無法實施控制。

很多用戶在使用CASB產(chǎn)品之后，發(fā)現(xiàn)自身企業(yè)的云服務(wù)數(shù)量是他們所認知十倍之多。

CCASB是最廣泛、最成熟的工具集，整合了多種類型的安全策略執(zhí)行，如身份驗證、單點登錄、授權(quán)、身份映射、設(shè)備畫像、數(shù)據(jù)加密、令牌化、日志、警報、惡意軟件檢測/預(yù)防等。

真正的CASB需要基于云原生技術(shù)來實現(xiàn)，而不是簡單的把傳統(tǒng)的安全技術(shù)搬到云端。

Gartner也曾預(yù)測，到2022年，將有60%的大型企業(yè)使用CASB。

云原生安全技術(shù)再進化：

CNAPP

伴隨越來越多的行業(yè)、領(lǐng)域企業(yè)開始將部分乃至核心業(yè)務(wù)搬上云端，因云而生的應(yīng)用、技術(shù)也得到越來越廣泛、成熟的落地，云原生基礎(chǔ)設(shè)施不斷完善的同時，也迫切需要一套新的云安全運維和治理手段。

因此，Gartner在2020年定義了一個新技術(shù)應(yīng)用CNAPP（Cloud-Native Application Protection Platform），即云原生應(yīng)用保護平臺，通過融合CSPM和CWPP的功能，可掃描開發(fā)中的工作負載和配置如虛擬機、容器、無服務(wù)器等，以起到運行時保護作用。

其優(yōu)勢在于，具備強大自動化和編排能力，通過實現(xiàn)標(biāo)準(zhǔn)化和更深層次的防御，以提高安全性；以及允許更頻繁地訪問工作負載。

下面就來看看CNAPP誕生的歷史背景和價值。

傳統(tǒng)意義上來講，云安全大致有三個階段組成：一是CASB（Cloud Access Security Broker），即用戶和應(yīng)用程序之間的檢查點；CSPM（Cloud Security Posture Management），即在測試和構(gòu)建階段防止配置錯誤并支持合規(guī)性；CWPP（Cloud Workload Protection Platform），即涵蓋了應(yīng)用程序的部署和操作。

但是，正是由于這些解決方案往往來自不同供應(yīng)商的獨立產(chǎn)品集成，會導(dǎo)致企業(yè)客戶的IT團隊犯難，讓團隊根本無法協(xié)同工作。

這導(dǎo)致在云端往往缺乏端到端的可觀測性，給網(wǎng)絡(luò)攻擊提供了利用的盲點。

為了應(yīng)對云原生帶來的種種安全挑戰(zhàn)，越來越多的組織正轉(zhuǎn)向新的安全技術(shù)棧，能夠?qū)SPM和CWP的優(yōu)點融為一體。

CNAPP雖然不算一個新穎的命題，但它正改變游戲規(guī)則。

對于云安全市場而言，CNAPP為從構(gòu)建到運行時間的整個生命周期內(nèi)云基礎(chǔ)架構(gòu)提供了最佳保護等級。

這種整合帶來了諸多好處：由于個人不再需要關(guān)聯(lián)來自不同分析平臺的信息，因此技能集變得更容易，它減少了人為錯誤，提供了有關(guān)安全威脅的更多環(huán)境，并減少了在多個云安全產(chǎn)品上的成本。

這等于是在提供了更安全的云環(huán)境的同時，減少了對已經(jīng)過度緊張的IT團隊的需求。

對于客戶而言，CNAPP解決方案有以下幾點優(yōu)勢：

一是將CSPM和CWP集成到一個100%云原生管理控制臺中；二是它結(jié)合了機器學(xué)習(xí)、深度學(xué)習(xí)、攻擊指示器（IOA）、行為監(jiān)測與分析的功能，并結(jié)合了威脅獵人，以提供持續(xù)的運行時保護；三是從端點到云的端到端可觀測性；四是能夠為本地?zé)o服務(wù)器容器提供相同等級的保護。

結(jié)語

從Gartner提出的三大云安全工具CASB、CSPM、CWPP，到最新的CNAPP概念，可以看到云原生安全理念和產(chǎn)品仍在快速演進中。這些工具不一定能全面覆蓋所有安全問題，卻也為企業(yè)在采用云服務(wù)時，加強安全控制措施指明了方向，可以更好地針對具體問題制定具體的解決方案。