CASB 云访问安全代理(cloud access security brokers)

CASB是什么？[5]

CASB解决了组织部署应用程序时产生的复杂性。它充当安全策略强制网关，以确保用户的操作是经过授权的，并符合公司的策略。CASB的执行功能还可以帮助减轻影子IT的威胁

CASB的四个支柱包括可见性、合规性、威胁保护和数据安全性(参见下图)。

可见性通过云服务的使用跟踪、报告、日志和警报来实现
通过整合身份验证、授权、单点登录和法规要求强制功能来实现合规性
为了威胁保护和数据安全目的，CASB工具提供恶意软件检测，防火墙，加密和数据丢失预防功能

CASB如何生效？如何解决企业安全痛点？[3]

组织可以通过API或网络代理集成CASB，这样就可以跨所有IaaS和SaaS应用程序统一实现安全功能。

云访问安全代理是一种位于用户和云服务之间的软件，用于确保使用这些服务的个人获得授权，并确保他们的行为符合公司政策。CASB工具作为一种控制影子IT的手段出现。

IDC安全研究副总裁皮特林德斯特伦(Pete Lindstrom)解释说:“CASB的最佳领域是保护公共SaaS应用程序。“许多企业现在拥有6个或更多SaaS应用程序，它们需要工具来确保所有应用程序都以一致的方式实现安全。”

CASB具备的典型安全特性

防火墙：识别恶意软件，防止其进入企业网络。
身份验证：检查用户的凭证并确保他们只访问适当的公司资源。
Web应用程序防火墙[4]：阻止旨在破坏应用程序级别(而不是网络级别)安全性的恶意软件。
防止数据丢失：确保用户不会将敏感信息传输到公司之外。

CASB供应商附加特性

单点登录：允许员工一次输入他们的凭证并访问多个应用程序。
加密：对信息进行加密，从创建的那一刻开始，直到它在云中静止。
合规性：包括报告工具，确保公司的安全系统满足不断增长的合规性规范列表，如GDPR。
用户行为分析：挖掘信息并识别潜在的异常行为，这可能表明外部人员试图访问系统资源。

CSPM 云安全态势管理(cloud security posture management)

什么是CSPM？[5]

组织可以使用CSPM进行持续的合规监控(CIS, NIST, HIPAA, GDPR…).，防止配置漂移，支持安全运营中心审计。CSPM还可以作为DevOps的护栏，通过设置云中的允许配置或行为的限制。CSPM工具包括用于合规评估、运营监控、DevOps过程集成、事件响应、风险识别和风险可视化的用例。

Gartner建议使用CSPM来缓解一个更持久的云安全威胁——糟糕的配置（为了强调现代云安全的复杂性，gartner公司在2020年安全与风险管理峰会上发表了一个令人担忧的预测:“超过99%的云安全故障将是客户的错”，而且这种情况将永远如此）CSPM工具可以统一地将云安全最佳实践应用于日益复杂的系统，例如混合、多云和容器环境。

gartner高级主管兼分析师理查德·巴特利在高德纳2020安全与风险管理峰会上表示，CSPM的新功能中值得关注的是“安全服务的统一云愿景”。此外，AI和机器学习基线、本地云提供商工具增强和容器编排上下文可能会被纳入下一代CSPM工具。

CSPM如何生效？如何解决企业安全痛点？[6]

组织越来越多地使用云服务和资源，这导致了各种各样的云管理控制台和界面，从而产生了更多的责任。再加上Docker或Kubernetes等新技术的兴起，使得追踪属于某个产品或组织的资产变得困难。控制台和接口的集合术语是云控制平面——它可能很难安全。云控制平面可以包含各种各样的元素。最简单的是云管理控制台本身，必须小心地锁定它。除了多因素身份验证(MFA)之外，有限的特权和用户访问是确保云管理控制台安全的关键步骤。但是，由于云是一种软件定义的基础设施平台，云环境的许多其他方面都可能属于云控制平面的范畴。首先，云计算中有很多开放的api，包括用于IaaS或与Kubernetes和其他编配技术相关的命令行管理接口。控制平面安全的第二个方面是资产和外部网络之间的网络分区和分割。

许多云安全问题都是由于缺乏对哪些控制、如何配置它们以及在云环境中进行哪些更改的监督而产生的。由于云配置问题推动了当今的许多安全挑战和事件，安全团队必须优先考虑以下因素，这些因素始终推动云安全管理和监督的需求:

云是可编程的。在云中很容易出现配置错误，而且几乎没有任何疏忽，这几乎是一个肯定的结果。
云导致了大规模的扩张。这是因为许多新技术都是可用的，而实现对于技术人员来说只需要“点击一下”。
云不同于内部部署的工具、技术和服务。虽然在某些情况下概念可能是相似的，但云是它自己的软件平台，而且每个云都是独一无二的。
云库存管理具有挑战性。在无序扩张和缺乏监管的情况下尤其如此

Gartner将云安全态势管理(CSPM)定义为一组安全产品和服务，包括合规监控、动态云和DevOps集成、更全面的检测和事件响应能力（EDR）、风险评估和云控制平面的改进报告。CSPM工具和服务可以在任何云环境中监视各种各样的问题。目的是创建一个策略来定义云基础设施的“期望状态”或“期望配置”，此外还可以监视实际情况。

CSPM工具的好处[7]

资产可见性：我的云中的资产是什么?它们有什么结构?
安全策略：我的云符合哪些安全法规和标准?我该如何解决这些问题?我是否遵守组织的内部安全政策?
持续监视和立即检测：如何控制新资产继续遵守安全策略?我的产品的接触水平是多少?
适应CI/CD流程的安全性：我可以将安全性知识委托给客户或团队吗?一个DevOps能知道它的基础设施是否安全吗?
识别被遗忘或未使用的资产。
了解团队如何工作，了解他们在安全问题上的知识。
部署完成后，对系统进行完整性检查
确定组织中最常用的技术。

CSPM工具可以识别以下常见的云控制平面问题

云存储或数据库未启用加密;
对流动中的敏感数据没有加密;
缺乏健全的密钥管理，包括旧的或陈旧的密钥;
糟糕的身份和访问管理(IAM)政策，不遵守最小特权原则;
未启用外交部的特权帐户;
开放或允许的网络访问控制;
公开的数据存储，如可访问的S3桶
在云环境中启用最少或不启用日志记录。

CSMP供应商

这里有许多可供选择的云安全管理产品，包括：

Palo Alto Networks的Prisma cloud
Rapid7的DivvyCloud
CloudCheckr
Aqua security的CloudSploit
FireEye的Cloudvisory
Outpost24的Cloudsec Inspect

企业评估CSPM选项时需要考虑如下特性

可配置和自动化的修复功能。理想情况下，任何发现的问题都可以自动修复，或者只需极少的人工干预。
可在多云环境中执行自定义策略和规则引擎。策略引擎的粒度和灵活性是任何CSPM工具最重要的特性之一。策略需要正确和准确地评估云服务提供商设置和资产配置。
与DevOps管道阶段和工具的集成。对于任何代码或图像存储库、构建工具等，理想情况下CSPM平台也应该能够集成和监视这里的活动。
详细且可配置的报告。由于CSPM本质上是一个监视工具，因此报告是至关重要的。

企业实施CSPM时需要考虑如下特性

资产盘点和分类的速度和准确性;
重点识别云控制平面的访问权限;
监控策略的配置和遵从性;
监控操作策略和性能配置;
为事件响应收集工件和事件洞察;和
控制面风险的可视化和报告。

CWPP 云负载保护(cloud workload protection platforms)

什么是CWPP？[5]

云安全的一个重要障碍是工作负载以不同的状态存在。例如，工作负载可能在某一时刻运行在公有云环境中的Docker容器上，而在下一时刻运行在私有云环境中。由于越来越多地使用多云和混合环境，云工作负载放置变得更加复杂。确保在正确的位置使用正确的控制部署正确的工作负载是一个复杂的过程，这使得安全事件很容易发生。进入CWPP，它统一了跨多个云提供商的管理，并跨越了所有类型的工作负载，包括物理服务器、虚拟机、容器和无服务器功能。

Gartner副总裁兼杰出分析师尼尔•麦克唐纳(Neil MacDonald)表示，CWPP在内部办公场所和公共云环境中提供“单层玻璃的可视性和保护”。这种高级别的可见性对于主动促进混合和多云环境中的安全性和遵从性是不可或缺的。

CWPP这个术语是Gartner创造的，指的是为保护工作负载而设计的云本地安全策略。要理解这一点，首先要了解什么是工作负载。一般来说，工作负载指的是功能或能力的原子单位，以及运行它所需的任何东西——例如，数据、网络连接等。它是云功能的一个单元。

CWPP背后的思想是提供一种机制，以一致的方式保护这些工作负载;在多种云环境下运行良好，包括组织自己的私有云或混合云;无论周围发生了什么，它都具有相同的安全性和降低风险的价值。

CWPP如何生效？如何解决企业安全痛点？[8]

CWPP的好处

降低复杂性

相较传统基于端点、物理机的防护产品，CWPP安全产品能够适应私有云、公有云场景，可以以虚拟机、容器等粒度进行安全防护；也适合在无服务器的PaaS中使用或serverless场景

一致性

在当前云IT架构日益复杂的今天，无论有多少工作负载，CWPPs都提供更一致的视图

可移植性

这意味着无论工作负载在哪里或是什么，产品都要提高安全性——例如，今天运行在本地管理程序中的工作负载明天会转移到IaaS提供商，或者今天运行在专用IaaS中的引擎上的容器明天会转移到AWS Fargate或Azure容器实例

参考：

[1] 2021-gartner-Market Guide for Cloud Workload Protection Platforms

[2] 202108-Gartner 2021 CWPP市场指南解读

[3] 201907-CASB-tools-evolve-to-meet-broader-set-of-cloud-security-needs

[4] Web application firewall (WAF)

[5] CASB-CSPM-CWPP-emerge-as-future-of-cloud-security

[6] How cloud security posture management protects multi-cloud

[7] Securing your cloud with CSPM

[8] Cloud workload protection platform security benefits, features

研究背调：云安全--CASB、CSPM、CWPP相关推荐

阿里P7背调红灯：被前前公司说坏话，修改领导名被查！
一位面试阿里P7的求职大佬,所有流程都顺利通过了.眼看阿里p7offer到手,年薪百万在即,没想到在背调环节出了问题,被亮了红灯. 人生的反转来的太快,就像龙卷风,可把这位大佬郁闷坏了. 原因竟是,这 ...
美团真的让人无语！背调了一个多星期，跟我说背调不通过！问原因，HR说没办法透露，但可以看其它美团机会...
背调是许多打工人都会遇到的事情,也是入职一家新公司时常见的步骤,但看似常见的背调中也出现了许多奇葩事. 一个网友发帖吐槽美团背调:背调一个多星期后跟自己说不通过,问原因时,美团hr说没办法透露,但不影 ...
字节一实习生求助：晚上九点半在公司打游戏，被领导发现后开除，将来找工作会背调出来吗？...
打游戏是许多年轻人的爱好,在家里怎么打都无可厚非,但如果是在公司打,还被领导抓住了,那会怎么样呢? 一个字节的实习生发帖求助:打游戏被上上级领导拍照了,商量的结果是自己回学校.不知道会不会影响以后找工 ...
某头条程序员吐槽：前同事银行流水造假，背调也是找同事编的！工资翻了300%！自己老实巴交提供真实银行流水，却惨遭压薪！...
换工作时,许多公司会让求职者提供上家的银行流水,以此了解求职者的实际收入.大多想通过跳槽来涨薪的人都会担忧,如果上家工资不够高会影响自己涨薪.究竟是提供真实的银行流水,还是造假多要点薪资?这是打工人们 ...
阿里P7背调红灯：被前前公司说坏话，修改领导名被查
一位面试阿里P7的求职大佬,所有流程都顺利通过了.眼看阿里p7offer到手,年薪百万在即,没想到在背调环节出了问题,被亮了红灯. 人生的反转来的太快,就像龙卷风,可把这位大佬郁闷坏了. 原因竟是,这 ...
某阿里程序员求助：绩效背1，老板让他主动走！敢要n+1就在背调时说坏话！怎么办？网友：大不了鱼死网破！...
绩效考核时得到差评怎么办? 一个阿里员工发帖吐槽自己绩效考核不幸背了1 ,现在老板让他主动辞职,如果敢要n+1就在背调时说坏话,怎么办? 阿里实行271的考核制度,前20%是优秀员工,中间的70%是合 ...
某程序员面试支付宝P7，面试已通过，却因为背调没过！再进阿里失败！阿里背调，到底调啥？...
离成功只差临门一脚是什么感觉?大概就是这位程序员小哥哥的感受了:第二次尝试进阿里,好不容易闯过层层面试,眼看就要成为阿里人,却在背调时被拦在门外,真是心碎成饺子馅! 这种感觉真是太难受了,阿里员工纷纷 ...
java离职证明模板_离职证明的一个小细节，差点让我「背调」over
终于拿下了鹅厂的offer. 久战职场,深知诚信的重要性,不管是简历还是面试表述,都不敢有任何的弄虚作假,在等待背调结果的几天里,虽然有一些莫名的小紧张,整体上也是满满的坦荡自信:随便调查吧,我没什么 ...
外包招聘背调，是对前雇主的一种侮辱
明道云创始人任向晖我正在一个会议上.手机上出现一个来自广东的固话来电.一般来说我会直接挂断.但那天不知道为什么我接了起来. 对方是一个很职业的声音,应该是一个推销电话.但是她说的是"任先生 ...
HR面试程序员，背调其前同事发现他人品差：能力和人品哪个重要？
现在很多互联网公司在招聘开发岗位的时候,不仅要求其具有相应的技术,还会要求能够融入公司,才能正常开展工作!而其中有一些比较严格公司在认为面试者的技术达到标准的时候,会"背调"一下面 ...

研究背调：云安全--CASB、CSPM、CWPP