Gartner发布2021云安全成熟度曲线,并推荐了4个上云企业必备的新技术。SASE还好,已经3年了,并不陌生,这个SSE嘛,大概看了下,也还能理解,主要是边缘化下沉,安全跟进。SSPM和CNAPP就纯属是新货了,基本第一反应没有概念,下文会具体介绍这两项新技术。
概述
在新冠疫情之前,云的采用率已经在不断提高,Gartner 预测,到今年年底,公有云部署数量将超过私有数据中心的服务器。随着这种增长,迫切需要改善对Web、云服务和云原生应用的安全访问。
“云优先战略现在很常见了,即使是那些喜欢规避风险的组织也一样,” Gartner 高级总监分析师Tom Croll表示。“不过,由于缺乏必要的技能和工具来确保云计算部署安全稳定,在实施上仍然会有阻碍。”
图:Garnter2021云安全成熟度曲线
Gartner推荐了一份免费的报告:《2021 年炒作周期:通过信任、增长和变革创新交付》,大家有兴趣的可以看看。
云安全是信息安全技术和服务市场中增长最快的部分,尤其体现在对支持远程工作和数字业务加速创新方面。
图:近两年安全市场增长情况(资料来源:Gartner,2021年5月)
世界各地的远程办公差异很大,主要取决于IT使用、文化和行业组合。(其实这里还包括突发公共事件应对能力和国力水平,中国是恢复最快的,因此反倒对于远程办公的促进作用最小)
到2022年,全球31%的人员将处于远程工作状态(这肯定不包括我国了)。到2022年,美国将在远程办公方面处于领先地位,全国劳动力占比53%。在整个欧洲,到2022年,英国远程办公人员将占其劳动力的52%,而中国和印度的远程工作者将分别占28%和30%。(28%怕是也高估了)
图:未来远程办公人员占比预测
Gartner 2021 年云安全成熟曲线总结了29项重要技术,这些技术支持受控、合规和云战略节省开支的交付。
建议阅读,云战略指南:https://mp.weixin.qq.com/s/iX5fEwHfQI8iyJVupiCbHg
安全访问服务边缘(SASE)
SASE作为一项服务,允许基于设备或实体身份访问系统,并结合实时上下文和安全性与合规性策略。
SASE提供多种融合网络和安全功能,例如SD-WAN和零信任网络访问(ZTNA)。同时支持分支机构、远程办公人员和本地通用互联网安全。
对于SASE就不再过多介绍了,大家应该都熟悉了。想了解的可以参考本人之前的介绍。
SASE主要通过云交付模型简化了关键网络和安全服务的交付及运营,从而提高了敏捷性、弹性和安全性。未来几年,它可以将安全访问所需的供应商数量从现在的4-6个减少到的1-2个。
Gartner 预测 SASE 将在未来两到五年内产生变革性影响。其实,从现在的应用情况来看,已经产生变革影响了,尤其是2020年中旬的时候,国内应该相比国外更早开始远程办公。应该说,对除中国以外的地区,可能未来几年将产生变革性影响。
安全服务边缘(SSE)
SSE(Security Service Edge)保护对Web、云服务和私有应用的访问。功能包括访问控制、威胁保护、数据安全、安全监控和可接受的使用控制,所有这些都通过基于网络和API的集成来实施。
这里说下个人的看法。SASE和SSE表面看差了一个“A”,也就是Access,但实际上并不是简单的访问问题,更多的是架构上的变化。
最初,Gartner设想(2018年)的SASE是一个全能的构建在SD-WAN之上,功能强大且配置灵活的超级管控中心。所有端点访问都要经过代理到SASE平台,重新路由后通过安全通道访问目的应用、服务、数据或设备,同理,消息一样原路返回。这其中又添加了零信任访问机制,为访问又增加一道保障。这是一种集中式的云上安全运营中心(其能力涵盖SOC)。
但是,由于疫情以及边缘计算的发展,外加数据主权和跨境合规问题,一种去中心化的趋势开始萌生。随着边缘计算、分布式云、5G技术开始逐步落地应用,技术和功能向边缘下沉的需求开始显现。也正是这种情况,领导者们(AWS、Palo Alto、Google、微软)开始考虑边缘化赋能。早些年边缘计算一致在发展,但是没人关心安全问题,只要满足功能需求就行了,依旧是典型的老开发思维,现在终于轮到安全头上了。
另外一个原因,大概是SASE越来越重,甚至让人担心未来的发展形态是不是会和预期想违背,功能强大和弹性是有了,但是成本和维护复杂度可能依旧是个问题,需要一轮筛选,做做“瘦身”了。
打个比方,2020年新番《咒术回战》很多人看过吧(老二次元暴露了)。SASE就好比是里边的“两面宿傩”,实力过于强大,能力被附到20根手指中,流落到各处,凡是得到其手指的咒零或咒术师都将获得强大的能力。
而SSE可以将其看做是虎杖悠仁,吞食宿傩手指获得能力提升,尽管还远远不及宿傩的实力,但是对付一部分特技咒灵已经够用了。
关于那个官方外挂一样的存在,五条悟就不要在意了,当他是量子计算就好了。
OK,让我们回到现实中。SSE技术允许组织使用以云为中心的方法来实施安全策略,随时随地为员工提供支持。通过将多个不同安全功能整合到一个产品中,提供降低复杂性和改善用户体验的机会。
Gartner 预测SSE将在未来三到五年内产生重大影响。其实,现在边缘计算应用已有不少实践,只是安全并未被关注,后续在边缘加入安全能力,基本上就能达到初级SSE的水平,当然,主要还得看市场需求情况。
SaaS安全态势管理 (SSPM)
SSPM(SaaS Security Posture Management)工具持续评估安全风险并管理SaaS应用的安全状况。核心功能包括报告原生SaaS安全配置、管理身份权限以及提供改进配置以降低风险的建议。
虽然大多数组织使用的SaaS 应用到达数十或数百个之多,但它们依赖于业务关键操作的选择。CASB在SaaS层提供敏感数据和访问的保护,但对高级攻击和复杂的配置错误视而不见。SSPM通过持续扫描和消除配置错误这类最常见云安全故障来降低风险。
Gartner预测SSPM将在未来五到十年内产生重大影响。
建议阅读 Gartner 2021年安全和风险趋势:https://www.freebuf.com/articles/neopoints/267651.html
图:Gartner 2021安全与风险管理趋势(来源:Gartner)
扩展阅读
在当下攻击者和恶意行为横行的网络时代里,大部分企业需要将云端配置的安全性作为一个重要先决条件。(最近2年的云安全调研中,云配置错误稳居云主要安全问题TOP 3)
不仅如此,SaaS安全配置管理(SSPM)如今也成为企业安全的重点。Malwarebytes就因SolarWinds泄露事件遭到国家黑客攻击的事件发布了声明,调查中也提及了对Microsoft Office 365和Azure环境的特权接入滥用情况。
很多时候,SaaS保护往往被忽视,像配置错误、不当协议、身份验证缺失、凭证接入问题、密钥管理等会让企业难以防范账号劫持、内部威胁等攻击。
Gartner在2020年的技术成熟度曲线中将SSPM定义为能持续评估安全风险以及管理SaaS应用的安全配置的解决方案。
虽说SaaS供应商确实提供了一部分安全能力,保护企业和用户数据,但依然会因企业对配置和用户的管理产生安全隐患和配置缺陷。也就是说,大楼安保可以有效防止外来人员来访行为的安全,但很难防范内部人员蓄意搞事或操作失误。
即使是最理想的情况,安全团队的人员需要每天或定期手动检查和修复配置,而每当软件升级、新增用户或者新应用上线时,都要再做一遍;如果是最差的情况,企业完全无视或不知道这些威胁,盲目运营——毕竟自己都看不到的东西要如何保护。
一个合适的SSPM解决方案前提,需要对企业的SaaS配置提供可视化、自动检测和修复能力,帮助安全团队节省大量时间,减少工作量和压力。
SSPM解决方案需要对所有SaaS应用提供主动、可持续的自动化监控。通过内置知识库管理当前SaaS的最高安全级别,从而达成快速部署和易于维护的特点。
SSPM解决方案还通常会提供:
1.24/7监控:SaaS的配置并非一次了事,一旦策略被制定,需要持续地监控和应用;
2.多种集成:尽管说部分应用相比其他应用使用频率更高,但是任何错误配置或者错误的权限和特权都会产生安全敞口,可能造成信息泄露。因此,企业需要监控所有SaaS应用,包括视频会议平台、客户支持工具、HR管理系统、面板、工作空间、文件分享应用、通信应用、市场平台等;
3.修复:发现问题只是过程之一,修复才是防止SaaS配置错误风险的关键操作。部分解决方案可以建立故障单,然后直接发送到相关人员进行修复;在某些简单场景下,可以直接从SSPM操作台修复。(和谷歌SRE那套有点像);
4.内置安全框架和基线:SSPM基于企业自身策略、行业合规标准和最佳实践进行风险检查;
5.快速简易部署:SSPM能够快速接入企业SaaS应用生态系统,在数分钟内将企业面临的安全风险易于理解地展示在面板上;
6.为安全团队而建,为全部业务所用:SSPM需简洁、直观,让安全团队轻松阅读、监测和修复公司所有SaaS配置以及用户信息。另一方面,系统需让安全团队将特定SaaS应用关联给特定所有者,从而能让该所有者可以对SaaS应用实现可视化,同时可以对应用直接修复,减少安全团队的负担。
厂商实践
PaloAltoPRISMAACCESS2.0
传统的基于Web代理的安全产品只能部分满足企业需求,组织容易受到安全威胁,无法有效保护其远程员工的安全。
借助Prisma ® Access 2.0,采取一种完全不同的方法,提供业界唯一完整的云交付安全平台。实现随时随地安全工作体验的最新功能,包括:
1.全新的云交付管理体验;
2.机器学习驱动的安全性、云SWG和自主数字体验管理 (ADEM);
3.通过合作伙伴关系实现远程浏览器隔离支持的CloudBlades功能;
4.行业领先的规模和性能增强。
官方地址:https://start.paloaltonetworks.com/prisma-access-2-launch
Adaptive Shield
解决SaaS安全管理问题
保持SaaS应用持续配置正确非常麻烦,何况还要面对几十,甚至上百个不同应用。任何一个会对业务产生巨大影响的SaaS平台都会有数十层的安全防护以及用户相关设置,简单估算一下就会明白靠自身去维护这些应用简直就不可能。另外,以Salesforce为例,他们有数百页的安全指南,还在持续更新,使得防止配置失当这件事显得更加遥不可及。
在过去数年中,企业都在想方设法用不同的工具解决这个问题,或多或少都取得了一些成果——比如用CASB来解决SaaS应用的安全问题。
但是这些解决方案更多倾向于在泄露事件发生后的检测,无法主动防范配置失当的问题,而云安全配置管理(CSPM)则只解决了IaaS和PaaS的用例。我们需要一种新的方式来解决这个问题。
自动化优化SaaS安全
如果不依靠自动化能力对安全设置和控制进行维护,企业根本无法完全掌控他们的SaaS应用。企业需要对所有的应用进行安全策略的统一、理解不同应用都涉及哪些安全功能、不同安全应用需要哪些特别的处理方式——这些工作都想当复杂并且耗时,并且没有丝毫容错率。不过,最近出现的SaaS安全配置管理(SSPM)工具能解决这样的需求。
图:Adaptive Shield(来源:Adaptive Shield)
Adaptive Shield致力于主动,且持续地维护企业使用的SaaS应用安全问题。Adaptive Shield的解决方案能够适应性地应对各种SaaS应用的应用安全管理,包括视频会议平台、客服支持工具、HR管理系统、仪表板、内容和文件分享应用、通信应用、市场平台等等。
图:Adaptive Shield主要功能(来源:Adaptive Shield)
Adaptive Shield的解决方案能够定制化地自动评估企业的配置,并且根据特定的情况对应用进行调整。Adaptive Shield的评估并非一次性的,在策略制定以后,这些工具依然锤持续地监控并确保策略的实施。
以下是Adaptive Shield的部分功能:
1.权衡内置的安全设定和管控,发现所有的安全缺口,并主动自动修复;
2.持续地监测客户的全局设定以及特权用户,及时发现泄漏事件或者配置飘移;
3.提供最新关于相关SaaS平台的安全设置及本地管控的研究和最新信息,并将这些更新融入平台中;
4.全周期修复SaaS安全问题;
5.将所有SaaS安全控制统一展现,从而简化管理;
6.5分钟即可完成部署,不会产生业务中断。
官方网址:https://www.adaptive-shield.com/adaptive-shield-platform
云原生应用保护平台(CNAPP)
CNAPPs(Cloud Native Application Protection Platforms)是今年Gartner成熟曲线的新成员,是一套集成的安全性和合规性功能,旨在帮助保护开发和生产过程中的云原生应用。CNAPP 整合了多种云原生安全工具和数据源,包括容器扫描、云安全态势管理(CSPM)、基础设施即代码扫描、云基础设施权限管理和运行时云工作负载保护平台(CWPP)。
Cloud-Native Application Protection Platform(CNAPP)结合了CWPP和CSPM的功能,可扫描开发中的工作负载和配置并在运行时对其进行保护。(重点在这里,运行时进行保护)
保护云原生应用涉及到一系列连续过程,这些过程集中于识别、评估、确定优先级并适应云原生应用、基础架构和配置中的风险。
云原生应用需要一种系统的方法来进行身份和实体管理,并具有最小特权或零信任的安全态势。针对开发人员和用户的围绕用户身份管理的稳健网络健康必须成为该策略的一部分。
保护云原生应用程序需要使用来自多个供应商的多个安全测试和保护工具。这会减慢开发人员的速度并创建分散的风险可见性。CNAPP允许组织使用单个集成产品来保护云原生应用程序的整个生命周期。
简单总结一下,CNAPP就是运行时CSPM+CWPP,其保护范围可以扩展至SecOps、DevOps和云原生领域。这里简单解释下。
云安全态势管理(CSPM)
CSPM是一类安全工具,可实现合规性监控、DevOps集成、事件响应、风险评估和风险可视化。安全和风险管理者可以启用云安全态势管理流程,以主动识别和解决数据风险。
云工作负载保护平台(CWPP)
CWPP是一种基于代理的工作负载安全保护技术。CWPP解决了现代混合数据中心架构中服务器工作负载保护的独特要求,包括原生、物理和虚拟机 (VM) 以及多云基础架构。也包括对基于容器的应用架构的支持。
这里提到的CWPP和CSPM,不太了解的同学推荐去看下这两篇文章,写得很详细。
Gartner2019/2020十大安全项目详解
https://blog.51cto.com/yepeng/2544588、https://blog.51cto.com/yepeng/2356004
扩展阅读
云原生安全的主要挑战是什么?
自2020年初以来,云使用量增加了50%。企业根据需要迁移到云,通常最终会得到由孤立安全团队管理的孤立安全产品的异构组合。此外,基础设施环境开始呈现临时性。
云原生应用持续开发和部署(CI/CD),企业缺乏衡量累积风险的方法。这包括与错误配置和管理不善相关的风险,这些风险导致99%的云安全漏洞,例如与身份和访问管理策略相关的错误、不必要的特权、保留对MongoDB、数据库等敏感服务的默认公共访问权限。
开发人员的角色已经从简单的CI/CD演变和扩展到实现战略业务成果。企业希望释放开发人员来开发引人注目且合规的应用,以实现战略性业务成果。现在需要将安全性集成到软件开发生命周期(SDLC)中,打破安全性和DevOps团队之间的孤岛。启用基础设施即代码的最佳实践包括在构建镜像后立即对其进行漏洞评估,以便仅部署经过证明的镜像、持续监控、自动检查、版本控制等。这显着增加了管理云原生资源的复杂性,并且企业需要一种更简单的方法来跨越这种复杂性,而无需大量占用开发人员的时间和精力。
CNAPP为什么被提出?
CNAPP一词中有两个重要元素可以帮助解释其存在的原因。第一个是“云原生”。向云的转变带来了广泛的新安全需求。云中动态和临时性环境的兴起增加了复杂性,并创建了独特且不可预测的交互。传统基于代理的安全方法无法跟上临时性、容器化和无服务器环境所需的覆盖范围。
第二个要素是“应用保护”。以前,大多数云安全工具都专注于帮助团队了解其基础架构的安全性。然而,正如Gartner所说,“仅仅问‘我的云基础设施安全吗?’已经不够了。安全工具现在必须问,'我的云应用安全吗?'”
当涉及云应用时,组织需要在其安全思维方面保持整体性。有很多做法可以将应用暴露在云中的风险中,从无意的互联网暴露到过度宽松的访问权限等。组织应专注于识别和减轻其云应用所面临的最高优先级风险,而不仅仅是收集一长串孤立且几乎与风险无关联的安全问题。对于独立单点解决方案,通常情况下它们只专注于有限的一组安全问题,并且在关联时不能很好地集成,从而导致优先处理大量低优先级警报的挑战(海量垃圾告警问题)。
CNAPP的关键组成部分
CNAPP将单点解决方案的各个方面结合在一起,提供跨云环境的完整堆栈可见性,并将重点从单个安全问题转移到更广泛、相互关联的问题组合,从而构成关键风险。
归根结底,CNAPP的兴起是对云安全复杂性的认识,需要新的方法来支持和保护DevOps 团队在云中所做的事情。越来越动态和临时的环境、更快的发布周期以及越来越多部署在云中的技术都会给云安全带来了新的挑战。使用CNAPP,目标不仅仅是识别环境中的所有错误配置和安全问题,而是发现值得团队关注的真正的风险。
CNAPP工具可为SecOps和DevOps团队提供统一的可见性,一套响应威胁和安全的云原生应用功能,以及漏洞和错误配置补救措施的自动化功能。(可能和SSPM略有重合,因为都涉及CSPM,但侧重点不同,后续也可能结合成一种技术或平台)
CNAPP会根据风险识别端点、网络和云之间的所有工作负载、数据和基础架构,并对它们进行优先级排序。它可防止配置漂移,并提供跨VM、容器和无服务器环境的漏洞评估。
使用CNAPP,组织可以基于零信任建立策略并观察行为,以消除误报并通过良好的动作执行来实现规模化。它通过将云原生威胁映射到MITER ATT&CK企业和云矩阵来增强安全运营中心的能力。
CNAPP的意义
CNAPP是云安全向前迈出的一步。这样做的原因是 CNAPP 作为多种技术的融合,结合了现有云安全解决方案的能力,主要是 CSPM 和 CWPP,还包括云基础设施权利管理(CIEM)、Kubernetes 安全态势管理(KSPM)、 API 发现和保护、无服务器安全性等。
厂商实践
McAfeeMVISIONCNAPP
MVISION CNAPP是业界第一个将应用和风险上下文融合到公有云基础设施的云安全态势管理 (CSPM) 和云工作负载保护 (CWPP) 平台,以保护主机和工作负载,包括虚拟机、容器和无服务器功能。
McAfee MVISION CNAPP扩展了MVISION Cloud的数据保护——包括数据防泄漏和恶意软件检测——威胁预防、治理和合规性,以全面满足这个新的云原生应用世界需求,从而提高安全能力并降低云安全的总体拥有成本.
MVISION云原生应用保护平台(CNAPP)是一种集成架构,用于保护云原生应用生态系统。MVISION CNAPP在整个云原生应用程序生命周期(包括基于容器和操作系统的工作负载)中提供一致的数据保护、威胁预防、治理和合规性。它由5个要素组成:
1· 深度发现和基于风险的优先级排序:能够发现所有云资源并根据风险对它们进行优先级排序。MVISION CNAPP独特地提供了跨端点、网络和云的所有工作负载、数据和基础设施的深度发现能力;
2· Shift Left:能够防止配置漂移并提供跨虚拟机、容器和无服务器环境的漏洞评估。这有助于通过无摩擦的自动化释放开发人员的生产力;
3.零信任和运行时:基于零信任构建策略的能力,行为观察以消除误报并通过已知的良好行为实施实现规模;
4.MITRE ATT&CK 框架:能够通过将云原生威胁映射到MITRE ATT&CK 框架以进行应急补救,从而为安全运营中心 (SOC)提供支持;
5.治理和合规性:自动化安全控制的能力,以实现数据和权限的持续合规性和治理。
图:MVISION CNAPP五大要素(来源:McAfee)
云原生应用保护平台组件
根据 Gartner的说法,“CWPP和CSPM功能的结合具有协同作用,并且多个供应商都在追求这一战略。这种结合将创建一个新的云原生应用保护(CNAP)类别,它可以扫描开发中的工作负载和配置并保护工作负载和运行时的配置。”
图:MVISION CNAPP主要功能(来源:McAfee)
Gartner 预测在 CNAPP 正式使用之前需要五到十年的时间,但预计会产生很大的影响。