0
網絡安全的未來在云端,這幾乎已經是不爭的事實。
伴隨越來越多的行業、領域企業開始將部分、乃至核心業務搬上云端,因云而生的應用、技術也得到越來越廣泛、成熟的落地,云原生基礎設施不斷完善的同時,也迫切需要一套新的云安全運維和治理手段,如CASB(云訪問安全代理)、CSPM(云安全配置管理)、CWPP(云工作負載安全防護平臺)、SASE(安全訪問服務邊緣模型)等新興云安全技術已經出現。
據雷鋒網了解,“名詞定義磚家”Gartner在2020年定義了一個新技術應用CNAPP(Cloud-Native Application Protection Platform),即云原生應用保護平臺,通過融合CSPM和CWPP的功能,可掃描開發中的工作負載和配置如虛擬機、容器、無服務器等,以起到運行時保護作用。其優勢在于,具備強大自動化和編排能力,通過實現標準化和更深層次的防御,以提高安全性;以及允許更頻繁地訪問工作負載。
下面就來看看CNAPP誕生的歷史背景和價值。
傳統意義上來講,云安全大致有三個階段組成:一是CASB(Cloud Access Security Broker ),即用戶和應用程序之間的檢查點;CSPM(Cloud Security Posture Management),即在測試和構建階段防止配置錯誤并支持合規性;CWP(Cloud Workload Protection),即涵蓋了應用程序的部署和操作。
但是,正是由于這些解決方案往往來自不同供應商(有時同一供應商也會出現類似情況)的獨立產品集成,會導致企業客戶的IT團隊犯難,這導致團隊根本無法協同工作。這導致在云端往往缺乏端到端的可觀測性,給網絡攻擊提供了利用的盲點。
為了應對云原生帶來的種種安全挑戰,越來越多的組織正轉向新的安全技術棧,能夠將CSPM和CWP的優點融為一體。CNAPP雖然不算一個新穎的命題,但它正改變游戲規則。
對于云安全市場而言,CNAPP為從構建到運行時間的整個生命周期內云基礎架構提供了最佳保護等級。
這種整合帶來了諸多好處:由于個人不再需要關聯來自不同分析平臺的信息,因此技能集變得更容易,它減少了人為錯誤,提供了有關安全威脅的更多環境,并減少了在多個云安全產品上的成本。這等于是在提供了更安全的云環境的同時,減少了對已經過度緊張的IT團隊的需求。
對于客戶而言,CNAPP解決方案有以下幾點優勢:一是將CSPM和CWP集成到一個100%云原生管理控制臺中;二是它結合了機器學習、深度學習、攻擊指示器(IOA)、行為監測與分析的功能,并結合了威脅獵人,以提供持續的運行時保護;三是從端點到云的端到端可觀測性;四是能夠為本地無服務器容器提供相同等級的保護。
針對云原生應用程序的體系結構都需要采用自己獨特的安全性手段來實現對客戶端的策略和控制。但隨著云部署方式的迅速采用,許多組織仍在以來過時側策略來保護本地托管的網絡和相關資產。
保護云原生環境的關鍵挑戰在于兩點:一是圍繞影子IT(總IT部門以外的部門部署的系統)的使用,由于組織在制定全面的安全策略之前采用和部署的解決方案而造成的“混亂”增加了問題復雜度;二是缺乏容器運行時保護。
如同買保險一樣,安全問題同樣也是防患于未然。正因如此,云原生的安全性往往從開發的一刻就已經開始了。這種策略的優勢在于,不僅可以降低網絡風險,還能夠降低成本。據IBM系統科學研究所的說法,在設計極端解決安全問題的成本比實施過程少6倍,在測試過程中少15倍。
CI/CD作為DevOps的一個重要方面,在生產中得到了廣泛應用。而安全團隊應該將安全流程和工具嵌入到CI/CD中。這一點至關重要。
值得一提的是,知名安全解決方案供應商McAfee不久前就推出了這樣一款平臺MVISION CNAPP。目前來看,經過整合后的McAfee MVISION已經具備了比較完整的云安全能力。
Gartner所展望的正一步步變成現實。
(雷鋒網雷鋒網雷鋒網)
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
