2020年2月24日-28日，網(wǎng)絡(luò)安全行業(yè)盛會RSA Conference將在舊金山拉開帷幕。前不久，RSAC官方宣布了最終入選今年的創(chuàng)新沙盒十強初創(chuàng)公司：AppOmni、BluBracket、Elevate Security、ForAllSecure、INKY、Obsidian、SECURITI.AI、Sqreen、Tala Security、Vulcan。

前面綠盟君已經(jīng)向大家介紹了Elevate Security 和Sqreen兩家廠商，今天，我們要介紹的是廠商是：AppOmni。

一、公司介紹

AppOmni成立于2018年，總部位于舊金山卡本代爾，該公司致力于保護、管理和監(jiān)控公有云上的應(yīng)用程序(SaaS)，從而解決了絕大多數(shù)企業(yè)SaaS產(chǎn)品上云后面臨的安全風險。目前公司人數(shù)大約40-50人左右，公司的創(chuàng)始人大部分來自Salesforce、Palo Alto Networks公司，在今年1月28日，該公司已經(jīng)籌集了1300萬美元的A輪融資，投資者以ClearSky牽頭，Inner Loop Capital公司也參與了這一輪融資。

二、背景介紹

隨著云技術(shù)的蓬勃發(fā)展，企業(yè)紛紛選擇上云。然而，面臨復雜多變的云環(huán)境，企業(yè)也因擔心數(shù)據(jù)泄漏問題而經(jīng)常問云服務(wù)商“你的云安全嗎?”

隨著技術(shù)的不斷積累，云計算的技術(shù)手段越來越成熟，雖然如今的云環(huán)境逐漸趨向于穩(wěn)定和安全，但是企業(yè)上云暴露出來的安全問題仍然層出不窮，歸根到底是什么原因?

Gartner曾預(yù)測到2022年，至少有95%的云安全問題是客戶的過錯。因為技術(shù)提升的同時，云上應(yīng)用變得普適廣泛，云上的業(yè)務(wù)復雜性也在提高，我們知道在一些規(guī)模比較大的生產(chǎn)級IaaS、PaaS平臺上，通常會有上百個配置選項、每日千萬級的API調(diào)用頻次以及各種數(shù)據(jù)訪問模型。云服務(wù)面臨的安全挑戰(zhàn)不在于云自身的安全，而在于有效的安全管理、技術(shù)控制、實施安全策略等。所以問題不應(yīng)該是“你的云安全嗎?”而是“你是否有安全的使用云?”

SaaS安全防護面臨的問題：

SaaS服務(wù)在IT成熟市場已被廣泛應(yīng)用，相關(guān)數(shù)據(jù)表明，到2024年全球SaaS的市場規(guī)模將達到1800億美金，年復合增長率超過20%。與此同時，SaaS的安全問題也成為技術(shù)人員討論的熱點，近年來大規(guī)模的數(shù)據(jù)泄漏事件已造成數(shù)以萬計的損失，綜合原因不外乎以下幾點：

1. 云端不安全的訪問控制

訪問控制、包括特權(quán)用戶訪問是數(shù)據(jù)泄漏的最大原因，而根源在于不安全的默認配置以及對訪問控制的濫用造成，比如舊的用戶未刪除或過度使用管理控制等。面對以上這些問題，一些企業(yè)采用RBAC機制來管理用戶的權(quán)限訪問控制，這看上去是沒問題的，但在實際運用當中，沒有良好安全基礎(chǔ)背景的運維人員是很難做到完全可控的，畢竟隨著企業(yè)規(guī)模的增大，人員會越來越多，角色權(quán)限也會增多，沒有一個統(tǒng)一的管理平臺光靠專業(yè)的維護人員去管理未免要求太高。

2. 錯誤的云存儲配置

許多企業(yè)選擇將SaaS服務(wù)部署在公有云上，卻對云上的存儲配置并不關(guān)心，他們認為這是云服務(wù)商的責任。但現(xiàn)實很殘酷，在購買云服務(wù)商服務(wù)時大多數(shù)中小企業(yè)甚至沒有仔細閱讀過條款。據(jù)Macfee調(diào)查聲稱99%的云端和IaaS錯誤配置都是在終端用戶的控制范圍內(nèi)，而且并不為人所知，造成這一現(xiàn)象的主要原因是“公開數(shù)據(jù)”在很多云服務(wù)中是云數(shù)據(jù)存儲配置的默認訪問設(shè)置，所以企業(yè)需要受過良好教育的架構(gòu)師和安全人員對服務(wù)進行適當?shù)墓芾?，以免?shù)據(jù)泄漏的慘案再次發(fā)生。

3. SaaS服務(wù)缺乏持續(xù)性的監(jiān)控告警

當服務(wù)被黑客攻陷導致數(shù)據(jù)泄漏時，持續(xù)的監(jiān)控告警可以將用戶的損失降到最低。目前企業(yè)大多數(shù)使用云服務(wù)商提供的監(jiān)控告警，但因為服務(wù)商針對的是普遍用戶群體，所以其安全功能存在單一性、反饋用戶信息不夠友好、缺乏持續(xù)性的監(jiān)控等不足，最終導致了黑客入侵造成了不可收拾的局面。為保證SaaS服務(wù)的安全，企業(yè)急需一個專業(yè)的云告警平臺處理所有入侵事件。

2018年9月，Veeam公司客戶數(shù)據(jù)泄漏，有200GB與4.4億條客戶記錄相關(guān)的數(shù)據(jù)在網(wǎng)上公開。2019年12月，雷鋒網(wǎng)報道了 Elasticsearch 服務(wù)器 12 億個人數(shù)據(jù)遭泄露的事件，造成如此之大的損失原因竟然都是因為錯誤的云實例配置導致，想起來讓人唏噓不已。

綜上，相關(guān)領(lǐng)域如云中的數(shù)據(jù)的可訪問性如何實現(xiàn)，用戶訪問控制，跨云的應(yīng)用程序安全性和數(shù)據(jù)訪問策略成為了客戶側(cè)安全防護面臨的最大問題。

三、產(chǎn)品介紹

AppOmni平臺是由一個具有豐富經(jīng)驗并了解安全性、合規(guī)性、IT團隊需求的專家團隊設(shè)計和構(gòu)建的。通過使用AppOmni自研的策略引擎深度掃描SaaS服務(wù)的API和配置，可在數(shù)分鐘內(nèi)識別出數(shù)據(jù)泄漏，并生成相應(yīng)報告;其次，AppOmni還持續(xù)提供監(jiān)控用戶的SaaS程序是否發(fā)生安全事件并產(chǎn)生相應(yīng)告警;最后，AppOmni的“SaaS權(quán)限建模” 專利可使用戶能夠立即、切實并可行的洞察對SaaS應(yīng)用程序中關(guān)鍵業(yè)務(wù)數(shù)據(jù)的有效訪問權(quán)限。綜合以上三點，AppOmni在訪問控制、數(shù)據(jù)泄漏、數(shù)據(jù)訪問策略方面均有著一定程度的創(chuàng)新，從而為SaaS服務(wù)全力保障護航。

四、產(chǎn)品特點

AppOmni 的解決方案主要是：安全自動化、合規(guī)控制和IT管理，我們逐一進行介紹。

1. 安全自動化

(1) 配置防火墻

AppOmni支持配置防火墻功能，并可以定義數(shù)據(jù)訪問的安全規(guī)則，以防止數(shù)據(jù)暴露給第三方或公共網(wǎng)絡(luò)。

(2) 一致的訪問控制

基于角色的訪問控制(RBAC)仍然是對SaaS用戶訪問權(quán)限控制和授權(quán)的行業(yè)標準策略，在大型企業(yè)必須支持成千上萬內(nèi)部用戶時，IT團隊將不得不面臨授予訪問權(quán)限的壓力，并且此時很容易造成配置權(quán)限超越了其自身原本應(yīng)有權(quán)限的事件發(fā)生，而且不正確的刪除權(quán)限可能會對業(yè)務(wù)造成嚴重影響。AppOmni遵循RBAC的原則，提供可視化的角色用戶管理界面，可以顯示哪些用戶共享同一權(quán)限哪些不共享，并且可以標識異常的用戶權(quán)限綁定，使運維人員清晰的對用戶及角色進行有效分配。

(3) 24*7的持續(xù)監(jiān)控

有了一致的訪問控制往往還不夠，一旦SaaS應(yīng)用程序處于已知良好的訪問控制狀態(tài)，就需要不斷的保持這種良好的狀態(tài)并將一致性延續(xù)下去。AppOmni提供了24*7的持續(xù)監(jiān)控，其內(nèi)部通過“權(quán)限模型”可以評估SaaS應(yīng)用程序配置和有效訪問，與設(shè)置的安全策略或綁定的用戶權(quán)限有任何偏差都會立即告警并進行相應(yīng)的處理措施。

2. 合規(guī)控制

合規(guī)報告：AppOmni支持在“數(shù)分鐘”內(nèi)執(zhí)行對SaaS的訪問檢查并導出對應(yīng)合規(guī)性報告，這在企業(yè)中是非常必要的，因為企業(yè)會不定期的查詢當前部署的SaaS服務(wù)是否一切合規(guī)。

數(shù)據(jù)清單：AppOmni會根據(jù)類型、業(yè)務(wù)需求、合規(guī)性需求對數(shù)據(jù)進行分類提供用戶可視化數(shù)據(jù)清單, 并且可以將數(shù)據(jù)接入任何SIEM系統(tǒng)(SOAR)、日志管理系統(tǒng)、漏洞管理系統(tǒng)做進一步的數(shù)據(jù)分析。

控制匹配：AppOmni中提供了業(yè)界的一些標準，例如ISO 27001、PCI、NIST等，作為基線與SaaS的應(yīng)用程序進行匹配，從而可以看出SaaS應(yīng)用程序使用是否合規(guī)。

3. IT管理

• 配置管理：AppOmni可以配置用戶角色權(quán)限、防火墻安全策略、配置文件等，為用戶、云環(huán)境和應(yīng)用程序創(chuàng)建了良好的基礎(chǔ)配置模版。
• 功能測試：在IT流程中，將自動化測試納入其中可以在用戶升級和部署新的應(yīng)用程序時不擔心會出現(xiàn)影響線上版本的事件發(fā)生，AppOmni具備這項能力。

五、總結(jié)

AppOmni在官網(wǎng)未說明其使用的掃描引擎運用了哪些技術(shù)，只是說是一項專利，但可由此推斷這一定是AppOmni的核心賣點。畢竟在數(shù)分鐘內(nèi)即可掃描完SaaS服務(wù)并輸出相應(yīng)的合規(guī)性報告及數(shù)據(jù)清單，同時又可以做到24*7的持續(xù)性服務(wù)監(jiān)控和告警并且不會太影響性能，試問誰不好奇AppOmni是怎么做到的呢?

對于公有云上的配置進行核查，Gartner將該細分市場稱為CSPM(Cloud Security Posture Management)，目前大部分公司的配置核查主要是對如存儲資源的訪問憑證進行檢查，避免弱口令或無口令拖庫的事件，AppOmni的創(chuàng)新之處在于結(jié)合合規(guī)性要求，可視化地還原業(yè)務(wù)層面的訪問邏輯關(guān)系，并通過持續(xù)性的監(jiān)控告警保證訪問策略隨著業(yè)務(wù)遷移和人員變更后的一致性。

AppOmni可提供持續(xù)的監(jiān)控和告警這一優(yōu)勢使得用戶層面具備了“即時可見性”，從而在很大程度上改善了云中的安全現(xiàn)狀。另外，AppOmni平臺通過用戶定義的安全策略評估數(shù)據(jù)暴露風險，以提供警告和見解，為用戶節(jié)省了大量的補救時間。在企業(yè)發(fā)展業(yè)務(wù)速度跟不上上云引起的安全問題這一普遍趨勢下，AppOmni可以說是該領(lǐng)域的首批著眼于解決如何安全的使用SaaS云的公司，未來隨著業(yè)務(wù)越發(fā)復雜，云中面臨的安全問題只會越來越多，希望AppOmni可以保持其創(chuàng)新性和優(yōu)勢，繼續(xù)努力，同時也祝愿AppOmni在2020年RSAC創(chuàng)新沙盒十強賽中可以取得好的成績。

參考鏈接

[1] https://appomni.com/

[2] https://appomni.com/appomni-raises-10-million-in-series-a/

[3] https://appomni.com/using-roles-for-continuous-saas-security-monitoring/

[4] https://appomni.com/is-the-cloud-secure/

[5] https://www.infosecurity-magazine.com/news/orgs-failing-protect-data-cloud/

[6] https://www.cbronline.com/news/iaas-misconfiguration-mcafee

[7] https://thehackernews.com/2019/10/data-breach-protection.html