加入收藏 | 设为首页 | 会员中心 | 我要投稿 PHP编程网 - 黄冈站长网 (http://www.0713zz.com/)- 数据应用、建站、人体识别、智能机器人、语音技术!
当前位置: 首页 > 服务器 > 安全 > 正文

关于CSPM需要知道的几件事

发布时间:2022-06-27 15:43:49 所属栏目:安全 来源:互联网
导读:每周都会有那么一些新闻,总有那么几个运维人员因为各种原因将带有客户敏感信息的数据库暴露在没有安全配置的存储容器里。有些很严重,比如去年11月,有超过1,000万带有旅行数据的文档暴露在一个未恰当配置的AWS S3 bucket中。同样的事情依然在上演:就在五
  每周都会有那么一些新闻,总有那么几个运维人员因为各种原因将带有客户敏感信息的数据库暴露在没有安全配置的存储容器里。有些很严重,比如去年11月,有超过1,000万带有旅行数据的文档暴露在一个未恰当配置的AWS S3 bucket中。同样的事情依然在上演:就在五月初,某个微软用户的错误配置存储容器暴露在了Azure上。
 
 
  何为CSPM?
  CSPM将威胁情报、检测和修复结合,能够作用于复杂的云应用集合。
 
  CSPM能够为CASB和CWPP的能力进行补充,填补其中的不足。一些CASB和CWPP厂商现在也会为自己现有的产品提供CSPM的附加组件。
 
  云技术一般被分为IaaS、PaaS和IaaS。然而,这三者的差异越来越模糊,以至于有时候名字逐渐不再有太大的意义。随着企业购买更多样的云能力,有一个像CSPM通过一个工具覆盖所有云设施的方案越来越有吸引力。一个市场分析预测CSPM的全球市场会从2020年的40亿美元增长到2026年的90亿美元,因此CSPM绝对是一个值得仔细观察的领域。
 
  CSPM厂商在过去几年经历大规模的并购事件,包括:
 
  Check Point在几年前收购Dome9以后,最终推出了自己的Cloudguard。
  Zcaler在2020年收购了Cloudneeti的CSPM工具。
  趋势科技收购了Cloud Conformity的Cloud One。
  派拓网络从Redlock收购了现在的Prisma Cloud,并从Twistlock收购了一个负载保护模组。
  Aqua Security收购了CloudSploit。
  Sophos收购了Avid Secure。
  其他厂商还包括Accurics、CrowdStrike的Falcon Horizon、Rapid7的DivvyCloud、初创公司Orca Security、Sysdig Secure和SecureSky主动安全平台。
 
  为什么需要CSPM?
  所有的云技术都有一个通病:缺乏边界性。这就意味着即使有了像CASB这样的某种保护,依然没有一个简单的方式可以决定哪个进程或者人员能够接入云端,或者拒绝没有权限的访问。因此,需要一系列的保护组合来确保接入和阻断的问题。
 
  另一个挑战在于手动处理没法跟上扩展、容器和API的速度。这就是现在基础设施即代码出现的原因,可以通过机器可读的文件对基础设施进行管理和供应。这些文件都基于API。这种方式能集成到云优先环境,不仅因为它能轻松快速修改基础设施,但也很容易产生配置错误,导致环境会暴露在漏洞上。
 
  再说到容器,也很难在大量的云服务中进行追踪。AWS自己也有Elastic容器服务、无服务器计算引擎Fargate、以及Elastic Kubernetes服务。像Docker和Terraform等公共容器服务不一定会被每个CSPM支持。
 
  Gartner认为“架构师使用CSPM来验证云原生数据,并贯彻应用控制。”他们标出了五个对CSPM而言常见的功能:
 
  合规评估。
  运营日志、告警监测以及威胁检测。
  DevOps集成与持续部署修复。
  近乎实时的事件响应。
  统一风险评估与可视化。
  需要询问CSPM供应商的几个问题
  如何计算你的基线,从而能够追踪你的云上资产变化?
  该解决方案是否适用于主流公有云,以及不同的Kubernetes和其他基于容器的部署模式?又是否能支持像Box、Salesforce、Workday、ServiceNow等SaaS应用?某些产品会在云端部署代理,有些通过只读接入的方式扫描环境和资源,还有一些需要写入权限对账户进行修复。
  针对各类变化、政策违规和其他异常事件的告警实时性如何?它会不会追踪配置错误的安全组、远程接入、应用控制错误、以及网络变化?所有的云厂商都会提供内置的活动监测,但如果使用多云,就会需要CSPM对这些丰富的数据来源进行分隔,从而能有效利用这些数据。
  自动化修复的实时性如何?最好的CSPM会持续扫描有隐患的系统,有一些还能够在一个新的虚拟机上线造成不安全情况的时候进行检测。
  它还能集成哪些安全和通知工具?比如SIEM和SOAR?
  在每个云供应商上能支持多少合规和审计的报告框架?每个工具都会支持一种不同的框架集合,所以不一定会在所有云上都是统一的方式,只会让使用者用起来更麻烦。
  成本如何?一些厂商会提供有限的试用期;一些会根据主机数量收费,或者用某些更复杂的方式收费——能够让客户在收到账单的时候大吃一惊。极少有能像Sysdig那样会提供一个公开透明的价格页面。

(编辑:PHP编程网 - 黄冈站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
    相关内容
      推荐文章
      站长推荐
      热点阅读

        【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

        建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的优质浏览效果

        Copygight © 2013-2023 http://www.0713zz.com/ All Rights Reserved. PHP编程网 - 黄冈站长网

        ICP备案:浙ICP备07501134号 浙公网安备 33038102330482号