云原生理念經過幾年的落地實踐已經得到企業市場的廣泛認可，成為企業數字化轉型的必選項。基于云原生技術架構開發的軟件產品和工具，也開始逐漸應用在企業的日常工作當中。隨著云原生時代的正式到來，以CWPP、CSPM、CIEM、CNAPP為代表的主流云安全技術又將會如何發展與演進呢？

1. CWPP：云工作負載保護平臺

2010年，Gartner正式提出 “云工作負載保護平臺”(Cloud Workload Protection Platform，CWPP)概念，旨在為虛擬機和容器的早期采用提供保護。根據Gartner的定義，CWPP是一種“以工作負載為中心的安全解決方案，可滿足現代混合數據中心架構中服務器工作負載保護的獨特要求，這些架構涵蓋本地、物理和虛擬機(VM)以及多個公共云基礎架構即服務(IaaS)環境。” CWPP的部署也將支持基于容器的應用程序架構。

CWPP技術的目的是保護公共云中的服務器工作負載。CWPP解決方案可發現組織基于云的部署和本地基礎設施中存在的工作負載，提供集中式解決方案以擴展對云資源的可見性，并保護云工作負載。

CWPP的主要功能：

• 保護云和本地工作負載：CWPP能夠發現組織基于云的部署和本地基礎設施中存在的工作負載，并提供對云資源和安全工作負載的可見性。
• 精細、詳盡的可見性：CWPP非常擅長收集有關漏洞、敏感信息、惡意軟件掃描、資產版本等的詳細信息，這在擴展工作負載時會很有幫助。
• 運行時(Runtime)保護：CWPP還可以提供文件完整性監控(FIM)、惡意軟件掃描、日志檢查、應用程序控制和允許列出保護運行時所需的功能。
• 基于身份的隔離：CWPP可以提供基于應用程序/工作負載身份執行策略的技術。
• 工作負載的合規性：CWPP可以將發現的風險分類到選定的合規性框架中，以便輕松、持續地報告和審計。

CWPP面臨的挑戰：

• 需要維護一個單獨的代理：CWPP需要為所保護的每項資產安裝和維護一個單獨的代理，這會導致部署時間變慢、持續維護成本增加，甚至影響資產性能。
• 無法深入了解云控制平面：CWPP僅涵蓋工作負載，它們不提供對控制平面(control plane)的任何見解。為此，用戶需要使用CSPM解決方案。
• 難以區分告警優先級：CWPP缺乏了解安全問題全部含義所需的可見性和上下文信息。如果沒有對云基礎設施的可見性，單獨的CWPP無法看到整個云資產，也無法根據環境上下文確定警報的優先級。
• 資產覆蓋不夠：由于不太可能在任何地方部署代理，而且即便是部署了代理，也不太可能與每個操作系統兼容，且代理的維護成本很高，這就導致CWPP不可避免地會存在盲點。Orca Security研究表明，云主機安全解決方案平均覆蓋的資產不到50%。此外，基于代理的CWPP無法查看停止、暫停或空閑的機器，從而使它們很容易受到攻擊。
• 缺乏橫向移動風險檢測：攻擊者經常會嘗試在云環境中獲得初始立足點，然后橫向移動到實際目標。單獨的CWPP無法識別哪些密鑰可以為攻擊者提供對其他資產的訪問權限，從而暴露了一個重要的攻擊向量。

總體來看，CWPP技術可確保公共云工作負載的安全，但并未涵蓋所有云安全要求。雖然CWPP解決方案提供了對工作負載內部發生事情的詳細可見性，但它缺乏對工作負載之間連接及其駐留基礎架構配置的上下文信息和可見性。

2. CSPM：云安全平臺管理

2014年左右，當AWS、Microsoft Azure和Google Cloud等公有云服務獲得普及時，Gartner又創造了一個新的云安全管理定義——“云安全平臺管理”(Cloud Security Platform Management，CSPM)，幫助企業組織維護云服務的正確配置，保障其在公共云上業務的合規。CSPM解決方案的一個重要目標是持續監控云基礎設施，以發現安全策略執行方面的漏洞。

CSPM可以為組織提供對其整個云基礎架構的集中可見性和風險評估，它可以自動識別跨云基礎架構的風險，并在某些情況下進行補救。云基礎設施的監控可以通過定期查詢來完成，這些查詢會返回一系列關于安全策略或最佳實踐違規的警報。

CSPM解決方案涵蓋云環境，并提醒員工注意可能使云環境面臨安全風險或運營效率低下的錯誤配置。CSPM還可以通過這種方式，幫助組織節省資金、識別重要的安全風險以及對團隊進行培訓。

CSPM的主要功能：

• 安全策略實施：CSPM監控錯誤配置問題及合規風險，并在云環境中實施安全策略。
• 多云配置管理：CSPM通過對云配置的可見性，實現對多個云服務進行的集中管控。
• 審計云控制平面：CSPM通過API連接，允許即時訪問和審計跨多云環境的整個控制面配置。
• 為云基礎架構提供合規性報告：CSPM不斷審查云環境并將正確和錯誤配置的結果分組到合規性框架中，幫助組織審核其云基礎架構的正確管理。
• 與第三方威脅情報集成：大多數CSPM能夠集成原生云服務提供商的威脅工具，這些工具可以幫助組織進一步識別風險并確定優先級和錯誤配置風險。

CSPM面臨的挑戰：

• 無法深入了解工作負載：CSPM解決方案無法深入研究工作負載。例如，如果用戶有易受攻擊的Web服務器或受感染的工作負載，它們不會提供警報。為此，用戶還需要CWPP或CNAPP解決方案。
• 缺乏橫向移動風險檢測：攻擊者經常會嘗試在云環境中獲得初始立足點，然后橫向移動實際目標。CSPM無法識別哪些密鑰可以為攻擊者提供對其他資產的訪問權限，從而暴露或無法識別重要的攻擊向量。

總體來看，CSPM解決方案可確保正確配置公共云服務和多云基礎架構。CSPM解決方案非常適合為審計提供云治理和云合規性服務，但是，它們缺乏對云基礎架構之外風險和威脅的深度可見性，從而在覆蓋范圍上留下空白。

3. CIEM：云基礎設施授權管理

CIEM，全稱Cloud Infrastructure Entitlements Management，即云基礎設施授權管理，可有效監控識別云賬戶行為中的異常情況。企業IT和安全團隊可以使用CIEM解決方案來管理公共云和多云環境中的身份和訪問權限。CIEM解決方案將“最小權限”原則應用于云基礎設施和服務，幫助組織降低由于權限混亂而導致的數據泄露風險。

企業的云環境需要向包括員工、業務系統和終端設備授予數量巨大的訪問權限，其中許多可能包括未使用的權限、過期賬戶以及默認和錯誤配置的權限。如果不加以檢查，這些權限將成為攻擊者滲透云部署的簡便途徑。CIEM解決方案允許組織的安全團隊管理哪些用戶(業務人員和應用系統)可以訪問哪些資源等。

CIEM的主要功能：

• 身份和訪問管理(IAM)：CIEM能夠管理對云資源擁有過多權限的特權身份，并在云環境中實施最低權限。
• 審核多云訪問權限：CIEM持續監控和審查跨多個云服務提供商的所有訪問權限。
• 與IDP(身份提供商)解決方案集成：CIEM可以與身份提供商密切合作，將覆蓋范圍從系統和云服務擴展到所有擁有托管數字身份的人。
• 授權風險和合規性報告：CIEM提供對有風險或不合規云授權的可見性，從而確定身份可以執行哪些任務以及可以跨組織的云基礎架構訪問哪些資源。
• 提供授權建議：CIEM還能夠了解整個云身份環境，為策略和補救措施提供最佳實踐建議，以減少訪問，實現最低權限。
• 最小特權權限分析：CIEM不僅啟用最小特權權限，而且還確保權限不會過度管理。

CIEM面臨的挑戰：

• 不完整的身份和訪問管理(IAM)：CIEM無法識別“另類的”身份和訪問管理(IAM)機制，例如磁盤上的SSH密鑰和AWS密鑰，以及橫向移動風險。
• 完整上下文和可見性方面的缺口：由于CIEM解決方案主要專注于保護云的“新邊界”，即身份訪問管理，因此一般缺乏對CSPM提供的控制面以及實際工作負載中運行內容的可見性。

總的來看，CIEM解決方案可以確保身份和訪問管理(IAM)遵循對云基礎設施和服務的最低權限訪問原則，因為它的功能主要集中在IAM、授權風險和合規性方面。不過，盡管IAM被認為是“云計算的新邊界”，但IAM和CIEM解決方案仍然缺乏對云基礎設施和工作負載的全面安全覆蓋。

4. CNAPP：云原生應用保護平臺

CNAPP是Gartner新提出的一個云安全技術概念，代表“云原生應用程序保護平臺”(Cloud-Native Application Protection Platform)。作為一種創新的云安全技術，CNAPP目前受到了廣泛關注，因為它將多種安全功能以原生化方式融合到統一的云安全平臺中。

CNAPP可以保護從系統代碼到業務開展的整個應用程序開發生命周期，未來將在很大程度替代傳統防護模式的云安全狀態管理(CSPM)、云工作負載保護平臺(CWPP)和云基礎設施授權管理(CIEM)等云安全技術。

正確的CNAPP解決方案并非孤立的視圖，而是提供對云資產的全面覆蓋和可見性，并且可以檢測整個技術堆棧的風險，包括云配置錯誤、不安全的工作負載和管理不善的身份訪問。

此外，CNAPP還包含“左移”功能，以便在開發生命周期的早期階段識別風險。通過結合漏洞、上下文和關聯，一些CNAPP能夠執行云攻擊路徑分析，識別看似不相關的“低危”風險如何組合以創建危險的攻擊向量。

CNAPP的主要能力：

• 管理錯誤配置風險：減少云原生應用程序的錯誤配置以及安全管理不善的機會。
• 整合安全投資：減少工具和供應商的數量。
• 簡化治理和合規性：降低與創建安全且合規云原生應用程序的復雜性和成本。
• 優先處理關鍵警報：允許安全部門根據關系(安全漏洞、錯誤配置、權限、暴露的秘密)了解攻擊路徑。
• 提高DevSecOps可見性：通過雙向連接(Bi-directionally link)開發和運營可見性以及對風險分析的洞察力，改善企業整體安全狀況。

CNAPP面臨的挑戰：

• 重疊的能力：一個組織可能有他們無法刪除的遺留云安全系統。隨著時間的推移，安全部門負責人可以通過更新云戰略并在合同到期時移除冗余技術來消除這些障礙。

總體而言，CNAPP在許多方面都具有優勢，其主要優勢在于提高了對云的可見性。Gartner在《云原生應用程序保護平臺創新洞察報告》中指出，“CNAPP方法的最大好處是更好地了解和控制云原生應用程序風險。”

云原生安全性的發展，為組織在不犧牲安全性和合規性的情況下加速增長和創造收入開辟了新機遇。與其部署、分析和關聯多點解決方案，不如節省時間深入了解風險和攻擊路徑，而這只有通過集中式CNAPP解決方案才有可能實現。

參考鏈接：https://cloudsecurityalliance.org/blog/2022/05/20/know-your-cloud-security-acronyms-cwpp-cspm-ciem-and-cnapp/