隨著組織越來越多地將數據和應用轉移到云端，云安全在確保工作負載安全方面變得至關重要。Gartener 就表示：“云優(yōu)先戰(zhàn)略現在已十分普遍，甚至在不愿承擔風險的企業(yè)機構中也是如此。但由于缺乏確保安全云計算部署所必需的技能和工具，因此執(zhí)行仍然受到阻礙?！?/p>

在了解和選擇云安全的相關工具前，我們還是強烈建議，先了解云安全的基礎責任共擔模型，可以參考本系列的第一篇文章。

云安全防護分類

針對于云安全中的分類問題，為我們一般分為控制平面和數據平面兩個層次去考慮，數據平面主要解決云工作負載本身的防護問題， CWPP主要完成這一層面的工作；控制平面則是在云工作負載之上實施的安全服務，比如CSPM等產品。

控制平面的安全

在云中的控制平面一般是對云上資源的管理能力，比如常見的資源查看，創(chuàng)建刪除等動作。同時由于目前云能力的不斷深入，云的控制平面也在不斷地擴展，比如從控制臺延伸到API，SDK，shell工具等。

我們需要就需要對所有潛在的控制平面風險進行檢測、識別、處理和審計。這里我們可以有一個比喻，就是控制平面類似控制道路交通的信號燈。

數據平面的安全

云中的數據平面關注云上工作負載本身的防護問題，在這部分中即會涉及到和云上應用相關的主機基礎防護，也會涉及到云上業(yè)務數據流量調度和云上數據內容的安全。

也用一個形象的比喻來說，數據平面就是道路交通中行駛的車輛。

云安全工具分類

由于共享了云安全責任和云產品本身的復雜性，大部分企業(yè)上云后都需要對其安全工具進行更新，例如被國內大多數企業(yè)廣泛應用的CWPP(云工作負載保護平臺)，在國外較為成熟的CASB(云訪問安全代理)、CSPM(云安全態(tài)勢管理)、CNAPP(云原生應用保護平臺)，以及SSPM(SaaS安全態(tài)勢管理)和SMP(SaaS管理平臺)等新興的安全工具。

云安全工具組

從上圖可以看出，CWPP和CASB一般關注數據平面的安全，CSPM、SSPM和SMP主要關注控制平面的安全，而CNAPP則同時適用于控制平面和數據平面的安全管控。隨后，高峰詳細介紹了幾個重要的云安全工具。

CASB：

即云訪問安全代理，CASB通過對多種類型的云安全控制進行整合，為SaaS、IaaS和PaaS提供一些可見性、合規(guī)性、數據安全和威脅保護的控制，例如授權、用戶行為分析(UEBA)、自適應訪問控制、數據泄漏防護(DLP)以及設備分析等。據悉，CASB在國外已得到廣泛應用，而在國內市場，由于CASB供應商需要與云服務提供商進行深度合作，因此市面上提供CASB的供應商較少。

CASB通常有四類集成方式：一是API集成，其部署優(yōu)勢是不存在代理模式的會話管理問題;二是正向代理方式，主要針對用戶上云的訪問進行保護，包括企業(yè)訪問外網以及訪問云上資源的流量;三是反向代理部署，針對外部用戶(如：非企業(yè)管理的客戶端)對企業(yè)云上的應用訪問，進行保護;四是從安全網關或企業(yè)防火墻等安全設備提取日志，注入到CASB進行分析，并生成云應用的發(fā)行報告。

CWPP：

即云工作負載保護平臺，又稱“云主機保護平臺”，是以工作負載的保護為主的安全產品，可以保護混合云、多云和數據中心的服務器工作負載。與EDR不同的是，CWPP專注于保護服務器負載主機，為物理機、虛擬機、容器和無服務工作負載等所有主機提供保護，無論它們在數據中心還是云上，都能提供一致性的可見控制。CWPP能夠結合多種功能保護工作負載，例如：系統(tǒng)完整性保護、應用程序控制、行為監(jiān)控、入侵防御、以及惡意軟件的保護。

需要強調的是，盡管中國的供應商提供了很多CWPP工具，但是其中不乏一些基于供應商原有的EDR進行修改的產品，這些修改版的CWPP工具對無服務工作負載、容器以及云集成的支持能力可能非常有限，企業(yè)在選擇相關產品時需要格外注意。

CSPM：

即云安全態(tài)勢管理，主要通過預防、檢測、響應和主動識別云基礎設施風險，持續(xù)管理云安全狀況，核心是通過ISO22701等通用框架要求，等保等相關法律法規(guī)要求，以及企業(yè)的安全策略，主動與被動結合，發(fā)現評估云服務的安全配置風險，一旦發(fā)現問題，可以提供自動或者人工的補救措施。例如，CSPM可以根據企業(yè)配置的安全策略，對其進行持續(xù)的安全檢查，一旦發(fā)現配置偏移，即可阻止或通知安全人員。由于CSPM產品需與云服務提供商深度合作，目前只有少數本地供應商能夠提供此類產品，而國外已經有很多CSPM產品開始支持中國的云服務商。

CNAPP：

即云原生應用保護平臺，CNAPP集成了安全與合規(guī)功能，助力保護云原生應用程序的整個生命周期，包括應用的構建、云基礎設施的配置以及應用運行時的安全保護。CNAPP整合了大量獨立功能，例如容器掃描、云安全態(tài)勢管理以及云主機運行時的安全保護等等。目前，一些中國供應商，尤其是初創(chuàng)的云安全供應商，已經開始提供CNAPP產品，但是尚未覆蓋所有領域，這一類工具有待進一步發(fā)展。

工具選擇思路

充分結合自身現狀

這里還是要提到責任共擔模型，由于云安全的特殊性，因此不可能以單打獨斗的心態(tài)來做好這件事，所以在選擇工具時候，就要充分考慮實際情況。這里最為明顯的兩點：

一是并不一定最貴最大廠的就是最好的，而應該選擇和自己的實際情況和實際訴求最貼合的。

二是要充分利用云供應商的能力，云供應商很多時候已經提供了很多免費的安全能力，充分的利用這些能力，可以顯著的提升安全性，并且沒有額外的成本。

顧及擴展性和延伸性

隨著混合云的不斷發(fā)展，用戶在云上的環(huán)境復雜度在不斷提升，因此在選擇工具時很難做到一勞永逸，而應該在選擇時充分為擴展性做考慮。以防后期企業(yè)云環(huán)境出現變化，而工具無法適應，需要重新全盤更換的情況出現。

開放性是未來的趨勢

隨著基礎架構即代碼(IAC)的不斷發(fā)展，給云資源的自動化管理帶來很多便捷，另一方面DevSecOps的快速發(fā)展，是得安全需要和研發(fā)流程深入的進行結合，在這個過程中，需要云安全工具可以很好的和企業(yè)內部的其他工具和部門進行結合，這個時候就考驗到所選擇工具的開放性。開放性的要求既需要可以向外對接，也需要支持接入，也就是說既要具備開放API/SDK可以讓其他人對接，也需要有靈活的開發(fā)擴展模式。

關于HummerRisk

HummerRisk 是開源的云原生安全平臺，以非侵入的方式解決云原生的安全和治理問題。核心能力包括混合云的安全治理和K8S容器云安全檢測。

Github 地址：https://github.com/HummerRisk/HummerRisk

Gitee 地址：https://gitee.com/hummercloud/HummerRisk文章來源地址http://www.zghlxwxcb.cn/news/detail-782559.html

到了這里，關于云安全系列4：解析云安全工具集的文章就介紹完了。如果您還想了解更多內容，請在右上角搜索TOY模板網以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網！