Gartner：2018年十大安全項目詳解(三)

陸英

7.云安全配置管理（CSPM）項目

項目目標(biāo)客戶：該項目適用于希望對其IaaS和PaaS云安全配置進(jìn)行全面、自動化評估，以識別風(fēng)險的組織。CASB廠商也提供這類能力。

項目建議：如果客戶僅有一個單一的IaaS，那么先去咨詢IaaS提供商；客戶如果已經(jīng)或者想要部署CASB，也可以先去咨詢CASB供應(yīng)商。

CSPM（Cloud Security Posture Management）是Neil自己新造的一個詞，原來叫云基礎(chǔ)設(shè)施安全配置評估（CISPA），也是他取的名字。改名的原因在于原來僅作“評估”，現(xiàn)在不僅要“評估”，還要“修正”，因此改為“管理”。Posture個人認(rèn)為是不應(yīng)該翻譯為“態(tài)勢”，其實Neil本意也不是國人所理解的態(tài)勢，而是配置。

要理解CSPM，首先要分清CSPM和CWPP的關(guān)系，在談及云工作負(fù)載的安全防護(hù)時，一般分3個部分考慮，分屬于2個平面。一個是數(shù)據(jù)平面，一個是控制平面。在數(shù)據(jù)平面，主要包括針對云工作負(fù)載本身進(jìn)行防護(hù)的CWPP及云工作負(fù)載之上的CWSS（云工作負(fù)載安全服務(wù)）。CWSS是在云工作負(fù)載之上對負(fù)載進(jìn)行安全防護(hù)。在控制平面，則都是在負(fù)載之上對負(fù)載進(jìn)行防護(hù)的措施，包括了CSPM及前面的CWSS。

CSPM能夠?qū)aaS，PaaS，SaaS控制平面中的基礎(chǔ)設(shè)施安全配置進(jìn)行分析與管理（糾偏）。這些安全配置包括賬號特權(quán)、網(wǎng)絡(luò)和存儲配置以及安全配置（如加密設(shè)置）。理想情況下，如果發(fā)現(xiàn)配置不合規(guī)，CSPM會采取行動進(jìn)行糾偏（修正）。大體上，可以將CSPM歸入弱點掃描類產(chǎn)品，跟漏掃、配置核查擱到一塊。

對云的正確配置是很重要的一件事，譬如由于對AWS云的S3 bucket配置不當(dāng)，已經(jīng)發(fā)生了多次重大的信息泄露事件。云廠商一般也都會提供類似的功能，但是對于跨云用戶而言，需要有專門的配置管理工具去消除不同云環(huán)境中的具體配置差異。

Gartner認(rèn)為CASB應(yīng)該具備CSPM功能，在Gartner的2018年云安全Hype Cycle中，CSPM處于期望的頂峰階段，用戶期待很高，處于青春期。

8.自動化安全掃描項目

項目目標(biāo)客戶：該項目適用于希望把安全控制措施集成到Devops風(fēng)格的流程中的組織。從開源軟件的成份分析工具開始，將測試無縫集成到DevSecOps流程和容器中。

項目建議：不要輕易讓開發(fā)人員切換工具，要求工具提供者提供完備的API以便使用者進(jìn)行自動化集成。

DevSecOps是Gartner力推的一個概念，有大量的相關(guān)分析報告。DevSecOps采用模型、藍(lán)圖、模板及工具鏈等驅(qū)動的安全方法來對開發(fā)和運維過程進(jìn)行自保護(hù)，譬如開發(fā)時應(yīng)用測試、運行時應(yīng)用測試、開發(fā)時/上線前安全漏洞掃描。它是一種自動化的、透明化的、合規(guī)性的、基于策略的對應(yīng)用底層安全架構(gòu)的配置。

軟件成份分析（SCA）專門用于分析開發(fā)人員使用的各種源碼、模塊、框架和庫，以識別和清點開源軟件（OSS）的組件及其構(gòu)成和依賴關(guān)系，并識別已知的安全漏洞或者潛在的許可證授權(quán)問題，把這些風(fēng)險排查在應(yīng)用系統(tǒng)投產(chǎn)之前，也適用于應(yīng)用系統(tǒng)運行中的診斷分析。如果用戶要保障軟件系統(tǒng)的供應(yīng)鏈安全，SCA很有用。

Gartner給出了SCA關(guān)鍵評估指標(biāo)包括：

是否具備漏洞和配置掃描功能？

能否將開源組件指紋與CVE關(guān)聯(lián)？

能否與SAST/DAST/IAST掃描集成？

Gartner給客戶的建議則包括：

不要輕易讓SCA的使用者（一般是開發(fā)人員）切換工具；

需要提供API以便使用者進(jìn)行自動化集成；

確保能夠檢查到開源軟件的許可證問題；

SCA的測試過程要無縫集成到DevSecOps流程中。

在Gartner的2018年應(yīng)用安全的Hype Cycle中，SCA相較于2017年更加成熟，但仍處于成熟早期的階段，屬于應(yīng)用安全測試的范疇，可以綜合使用靜態(tài)測試、動態(tài)測試及交互測試等手段。

9. CASB項目

項目目標(biāo)客戶：該項目適用于移動辦公情況相對較多，采用了多個云廠商云服務(wù)的組織。這些組織希望獲得一個控制點，以便獲得這些云服務(wù)的可見性和集中的策略管控。

項目建議：以服務(wù)發(fā)現(xiàn)功能作為切入點去驗證項目的可行性。建議在2018年和2019年將高價值敏感數(shù)據(jù)發(fā)現(xiàn)與監(jiān)測作為關(guān)鍵的應(yīng)用案例。

CASB作為一種產(chǎn)品或服務(wù)，為企業(yè)認(rèn)可的云應(yīng)用提供通用云應(yīng)用使用、數(shù)據(jù)保護(hù)和治理的可見性。CASB的出現(xiàn)原因簡單說，就是隨著用戶越來越多采用云服務(wù)，并將數(shù)據(jù)存入（公有）云中，他們需要一種產(chǎn)品來幫助他們采用一致的策略安全地接入不同的云應(yīng)用，讓他們清晰地看到云服務(wù)的使用情況，實現(xiàn)異構(gòu)云服務(wù)的治理，并對云中的數(shù)據(jù)進(jìn)行有效的保護(hù)，而傳統(tǒng)的WAF、SWG和企業(yè)防火墻無法做到這些，因此需要CASB。

CASB相當(dāng)于一個超級網(wǎng)關(guān)，融合了多種類型的安全策略執(zhí)行點。在這個超級網(wǎng)關(guān)上，能夠進(jìn)行認(rèn)證、單點登錄、授權(quán)、憑據(jù)映射、設(shè)備建模、數(shù)據(jù)安全（內(nèi)容檢測、加密、混淆）、日志管理、告警，甚至惡意代碼檢測和防護(hù)。

CASB一個很重要的設(shè)計理念是充分意識到在云中（尤指公有云）數(shù)據(jù)是自己的，但是承載數(shù)據(jù)的基礎(chǔ)設(shè)施不是自己的。Gartner指出CASB重點針對SaaS應(yīng)用來提升其安全性與合規(guī)性，同時也在不斷豐富針對IaaS和PaaS的應(yīng)用場景。Gartner認(rèn)為CASB應(yīng)提供4個維度的功能：發(fā)現(xiàn)、數(shù)據(jù)保護(hù)、威脅檢測、合規(guī)性。

Neil Mcdonald將CASB項目分為云應(yīng)用發(fā)現(xiàn)、自適應(yīng)訪問、敏感數(shù)據(jù)發(fā)現(xiàn)與保護(hù)3個子方向，建議根據(jù)自身的成熟度選取其中的一個或者幾個優(yōu)先進(jìn)行建設(shè)。而這3個子方向也對應(yīng)CASB四大功能中除了威脅檢測的3個功能。

在Gartner的2018年云安全HypeCycle中，CASB依然位于失望的低谷，但快要爬出來，繼續(xù)處于青春期階段。

10.軟件定義邊界項目

項目目標(biāo)客戶：該項目瞄準(zhǔn)僅想將其數(shù)字系統(tǒng)和信息開放給指定的外部合作伙伴或者遠(yuǎn)程員工的組織。這些組織希望通過限制數(shù)字系統(tǒng)和信息的暴露面來減少攻擊面。

項目提示：重新評估原有基于VPN的訪問機(jī)制的風(fēng)險。建議在2018年選取一個跟合作伙伴交互的數(shù)字服務(wù)作為試點，嘗試建立應(yīng)用案例。

SDP將不同的網(wǎng)絡(luò)相連的個體（軟硬件資源）定義為一個邏輯集合，形成一個安全計算區(qū)域和邊界，這個區(qū)域中的資源對外不可見，對該區(qū)域中的資源進(jìn)行訪問必須通過可信代理的嚴(yán)格訪問控制，從而實現(xiàn)將這個區(qū)域中的資源隔離出來，降低其受攻擊的暴露面的目標(biāo)。其實，Google的BeyondCorp零信任理念也跟SDP或者軟件定義安全同源。目前，SDP技術(shù)吸引了很多尋找云應(yīng)用場景下的VPN替代方案的客戶的目光。根據(jù)Gartner的分析，目前SDP還處于大量吸引投資的階段，此類新興公司正在不斷涌現(xiàn)，并購行為很少見。

在Gartner的2018年云安全Hype Cycle中，SDP被認(rèn)為是已經(jīng)從2017年的期望頂峰開始向失望的低谷滑落，尚處于青春期的階段。