网络安全的未来在云端,这几乎已经是不争的事实。
伴随越来越多的行业、领域企业开始将部分、乃至核心业务搬上云端,因云而生的应用、技术也得到越来越广泛、成熟的落地,云原生基础设施不断完善的同时,也迫切需要一套新的云安全运维和治理手段,如CASB(云访问安全代理)、CSPM(云安全配置管理)、CWPP(云工作负载安全防护平台)、SASE(安全访问服务边缘模型)等新兴云安全技术已经出现。
据雷锋网了解,“名词定义砖家”Gartner在2020年定义了一个新技术应用CNAPP(Cloud-Native Application Protection Platform),即云原生应用保护平台,通过融合CSPM和CWPP的功能,可扫描开发中的工作负载和配置如虚拟机、容器、无服务器等,以起到运行时保护作用。其优势在于,具备强大自动化和编排能力,通过实现标准化和更深层次的防御,以提高安全性;以及允许更频繁地访问工作负载。
下面就来看看CNAPP诞生的历史背景和价值。
传统意义上来讲,云安全大致有三个阶段组成:一是CASB(Cloud Access Security Broker ),即用户和应用程序之间的检查点;CSPM(Cloud Security Posture Management),即在测试和构建阶段防止配置错误并支持合规性;CWP(Cloud Workload Protection),即涵盖了应用程序的部署和操作。
但是,正是由于这些解决方案往往来自不同供应商(有时同一供应商也会出现类似情况)的独立产品集成,会导致企业客户的IT团队犯难,这导致团队根本无法协同工作。这导致在云端往往缺乏端到端的可观测性,给网络攻击提供了利用的盲点。
为了应对云原生带来的种种安全挑战,越来越多的组织正转向新的安全技术栈,能够将CSPM和CWP的优点融为一体。CNAPP虽然不算一个新颖的命题,但它正改变游戏规则。
对于云安全市场而言,CNAPP为从构建到运行时间的整个生命周期内云基础架构提供了最佳保护等级。
这种整合带来了诸多好处:由于个人不再需要关联来自不同分析平台的信息,因此技能集变得更容易,它减少了人为错误,提供了有关安全威胁的更多环境,并减少了在多个云安全产品上的成本。这等于是在提供了更安全的云环境的同时,减少了对已经过度紧张的IT团队的需求。
对于客户而言,CNAPP解决方案有以下几点优势:一是将CSPM和CWP集成到一个100%云原生管理控制台中;二是它结合了机器学习、深度学习、攻击指示器(IOA)、行为监测与分析的功能,并结合了威胁猎人,以提供持续的运行时保护;三是从端点到云的端到端可观测性;四是能够为本地无服务器容器提供相同等级的保护。
针对云原生应用程序的体系结构都需要采用自己独特的安全性手段来实现对客户端的策略和控制。但随着云部署方式的迅速采用,许多组织仍在以来过时侧策略来保护本地托管的网络和相关资产。
保护云原生环境的关键挑战在于两点:一是围绕影子IT(总IT部门以外的部门部署的系统)的使用,由于组织在制定全面的安全策略之前采用和部署的解决方案而造成的“混乱”增加了问题复杂度;二是缺乏容器运行时保护。
如同买保险一样,安全问题同样也是防患于未然。正因如此,云原生的安全性往往从开发的一刻就已经开始了。这种策略的优势在于,不仅可以降低网络风险,还能够降低成本。据IBM系统科学研究所的说法,在设计极端解决安全问题的成本比实施过程少6倍,在测试过程中少15倍。
CI/CD作为DevOps的一个重要方面,在生产中得到了广泛应用。而安全团队应该将安全流程和工具嵌入到CI/CD中。这一点至关重要。
值得一提的是,知名安全解决方案供应商McAfee不久前就推出了这样一款平台MVISION CNAPP。目前来看,经过整合后的McAfee MVISION已经具备了比较完整的云安全能力。
Gartner所展望的正一步步变成现实。
(雷锋网雷锋网雷锋网)
发表评论 取消回复