陸英

7.云安全配置管理（CSPM）項(xiàng)目

項(xiàng)目目標(biāo)客戶：該項(xiàng)目適用于希望對(duì)其IaaS和PaaS云安全配置進(jìn)行全面、自動(dòng)化評(píng)估，以識(shí)別風(fēng)險(xiǎn)的組織。CASB廠商也提供這類能力。

項(xiàng)目建議：如果客戶僅有一個(gè)單一的IaaS，那么先去咨詢IaaS提供商；客戶如果已經(jīng)或者想要部署CASB，也可以先去咨詢CASB供應(yīng)商。

CSPM（Cloud Security Posture Management）是Neil自己新造的一個(gè)詞，原來叫云基礎(chǔ)設(shè)施安全配置評(píng)估（CISPA），也是他取的名字。改名的原因在于原來僅作“評(píng)估”，現(xiàn)在不僅要“評(píng)估”，還要“修正”，因此改為“管理”。Posture個(gè)人認(rèn)為是不應(yīng)該翻譯為“態(tài)勢”，其實(shí)Neil本意也不是國人所理解的態(tài)勢，而是配置。

要理解CSPM，首先要分清CSPM和CWPP的關(guān)系，在談及云工作負(fù)載的安全防護(hù)時(shí)，一般分3個(gè)部分考慮，分屬于2個(gè)平面。一個(gè)是數(shù)據(jù)平面，一個(gè)是控制平面。在數(shù)據(jù)平面，主要包括針對(duì)云工作負(fù)載本身進(jìn)行防護(hù)的CWPP及云工作負(fù)載之上的CWSS（云工作負(fù)載安全服務(wù)）。CWSS是在云工作負(fù)載之上對(duì)負(fù)載進(jìn)行安全防護(hù)。在控制平面，則都是在負(fù)載之上對(duì)負(fù)載進(jìn)行防護(hù)的措施，包括了CSPM及前面的CWSS。

CSPM能夠?qū)aaS，PaaS，SaaS控制平面中的基礎(chǔ)設(shè)施安全配置進(jìn)行分析與管理（糾偏）。這些安全配置包括賬號(hào)特權(quán)、網(wǎng)絡(luò)和存儲(chǔ)配置以及安全配置（如加密設(shè)置）。理想情況下，如果發(fā)現(xiàn)配置不合規(guī)，CSPM會(huì)采取行動(dòng)進(jìn)行糾偏（修正）。大體上，可以將CSPM歸入弱點(diǎn)掃描類產(chǎn)品，跟漏掃、配置核查擱到一塊。

對(duì)云的正確配置是很重要的一件事，譬如由于對(duì)AWS云的S3 bucket配置不當(dāng)，已經(jīng)發(fā)生了多次重大的信息泄露事件。云廠商一般也都會(huì)提供類似的功能，但是對(duì)于跨云用戶而言，需要有專門的配置管理工具去消除不同云環(huán)境中的具體配置差異。

Gartner認(rèn)為CASB應(yīng)該具備CSPM功能，在Gartner的2018年云安全Hype Cycle中，CSPM處于期望的頂峰階段，用戶期待很高，處于青春期。

8.自動(dòng)化安全掃描項(xiàng)目

項(xiàng)目目標(biāo)客戶：該項(xiàng)目適用于希望把安全控制措施集成到Devops風(fēng)格的流程中的組織。從開源軟件的成份分析工具開始，將測試無縫集成到DevSecOps流程和容器中。

項(xiàng)目建議：不要輕易讓開發(fā)人員切換工具，要求工具提供者提供完備的API以便使用者進(jìn)行自動(dòng)化集成。

DevSecOps是Gartner力推的一個(gè)概念，有大量的相關(guān)分析報(bào)告。DevSecOps采用模型、藍(lán)圖、模板及工具鏈等驅(qū)動(dòng)的安全方法來對(duì)開發(fā)和運(yùn)維過程進(jìn)行自保護(hù)，譬如開發(fā)時(shí)應(yīng)用測試、運(yùn)行時(shí)應(yīng)用測試、開發(fā)時(shí)/上線前安全漏洞掃描。它是一種自動(dòng)化的、透明化的、合規(guī)性的、基于策略的對(duì)應(yīng)用底層安全架構(gòu)的配置。

軟件成份分析（SCA）專門用于分析開發(fā)人員使用的各種源碼、模塊、框架和庫，以識(shí)別和清點(diǎn)開源軟件（OSS）的組件及其構(gòu)成和依賴關(guān)系，并識(shí)別已知的安全漏洞或者潛在的許可證授權(quán)問題，把這些風(fēng)險(xiǎn)排查在應(yīng)用系統(tǒng)投產(chǎn)之前，也適用于應(yīng)用系統(tǒng)運(yùn)行中的診斷分析。如果用戶要保障軟件系統(tǒng)的供應(yīng)鏈安全，SCA很有用。

Gartner給出了SCA關(guān)鍵評(píng)估指標(biāo)包括：

是否具備漏洞和配置掃描功能？

能否將開源組件指紋與CVE關(guān)聯(lián)？

能否與SAST/DAST/IAST掃描集成？

Gartner給客戶的建議則包括：

不要輕易讓SCA的使用者（一般是開發(fā)人員）切換工具；

需要提供API以便使用者進(jìn)行自動(dòng)化集成；

確保能夠檢查到開源軟件的許可證問題；

SCA的測試過程要無縫集成到DevSecOps流程中。

在Gartner的2018年應(yīng)用安全的Hype Cycle中，SCA相較于2017年更加成熟，但仍處于成熟早期的階段，屬于應(yīng)用安全測試的范疇，可以綜合使用靜態(tài)測試、動(dòng)態(tài)測試及交互測試等手段。

9. CASB項(xiàng)目

項(xiàng)目目標(biāo)客戶：該項(xiàng)目適用于移動(dòng)辦公情況相對(duì)較多，采用了多個(gè)云廠商云服務(wù)的組織。這些組織希望獲得一個(gè)控制點(diǎn)，以便獲得這些云服務(wù)的可見性和集中的策略管控。

項(xiàng)目建議：以服務(wù)發(fā)現(xiàn)功能作為切入點(diǎn)去驗(yàn)證項(xiàng)目的可行性。建議在2018年和2019年將高價(jià)值敏感數(shù)據(jù)發(fā)現(xiàn)與監(jiān)測作為關(guān)鍵的應(yīng)用案例。

CASB作為一種產(chǎn)品或服務(wù)，為企業(yè)認(rèn)可的云應(yīng)用提供通用云應(yīng)用使用、數(shù)據(jù)保護(hù)和治理的可見性。CASB的出現(xiàn)原因簡單說，就是隨著用戶越來越多采用云服務(wù)，并將數(shù)據(jù)存入（公有）云中，他們需要一種產(chǎn)品來幫助他們采用一致的策略安全地接入不同的云應(yīng)用，讓他們清晰地看到云服務(wù)的使用情況，實(shí)現(xiàn)異構(gòu)云服務(wù)的治理，并對(duì)云中的數(shù)據(jù)進(jìn)行有效的保護(hù)，而傳統(tǒng)的WAF、SWG和企業(yè)防火墻無法做到這些，因此需要CASB。

CASB相當(dāng)于一個(gè)超級(jí)網(wǎng)關(guān)，融合了多種類型的安全策略執(zhí)行點(diǎn)。在這個(gè)超級(jí)網(wǎng)關(guān)上，能夠進(jìn)行認(rèn)證、單點(diǎn)登錄、授權(quán)、憑據(jù)映射、設(shè)備建模、數(shù)據(jù)安全（內(nèi)容檢測、加密、混淆）、日志管理、告警，甚至惡意代碼檢測和防護(hù)。

CASB一個(gè)很重要的設(shè)計(jì)理念是充分意識(shí)到在云中（尤指公有云）數(shù)據(jù)是自己的，但是承載數(shù)據(jù)的基礎(chǔ)設(shè)施不是自己的。Gartner指出CASB重點(diǎn)針對(duì)SaaS應(yīng)用來提升其安全性與合規(guī)性，同時(shí)也在不斷豐富針對(duì)IaaS和PaaS的應(yīng)用場景。Gartner認(rèn)為CASB應(yīng)提供4個(gè)維度的功能：發(fā)現(xiàn)、數(shù)據(jù)保護(hù)、威脅檢測、合規(guī)性。

Neil Mcdonald將CASB項(xiàng)目分為云應(yīng)用發(fā)現(xiàn)、自適應(yīng)訪問、敏感數(shù)據(jù)發(fā)現(xiàn)與保護(hù)3個(gè)子方向，建議根據(jù)自身的成熟度選取其中的一個(gè)或者幾個(gè)優(yōu)先進(jìn)行建設(shè)。而這3個(gè)子方向也對(duì)應(yīng)CASB四大功能中除了威脅檢測的3個(gè)功能。

在Gartner的2018年云安全HypeCycle中，CASB依然位于失望的低谷，但快要爬出來，繼續(xù)處于青春期階段。

10.軟件定義邊界項(xiàng)目

項(xiàng)目目標(biāo)客戶：該項(xiàng)目瞄準(zhǔn)僅想將其數(shù)字系統(tǒng)和信息開放給指定的外部合作伙伴或者遠(yuǎn)程員工的組織。這些組織希望通過限制數(shù)字系統(tǒng)和信息的暴露面來減少攻擊面。

項(xiàng)目提示：重新評(píng)估原有基于VPN的訪問機(jī)制的風(fēng)險(xiǎn)。建議在2018年選取一個(gè)跟合作伙伴交互的數(shù)字服務(wù)作為試點(diǎn)，嘗試建立應(yīng)用案例。

SDP將不同的網(wǎng)絡(luò)相連的個(gè)體（軟硬件資源）定義為一個(gè)邏輯集合，形成一個(gè)安全計(jì)算區(qū)域和邊界，這個(gè)區(qū)域中的資源對(duì)外不可見，對(duì)該區(qū)域中的資源進(jìn)行訪問必須通過可信代理的嚴(yán)格訪問控制，從而實(shí)現(xiàn)將這個(gè)區(qū)域中的資源隔離出來，降低其受攻擊的暴露面的目標(biāo)。其實(shí)，Google的BeyondCorp零信任理念也跟SDP或者軟件定義安全同源。目前，SDP技術(shù)吸引了很多尋找云應(yīng)用場景下的VPN替代方案的客戶的目光。根據(jù)Gartner的分析，目前SDP還處于大量吸引投資的階段，此類新興公司正在不斷涌現(xiàn)，并購行為很少見。

在Gartner的2018年云安全Hype Cycle中，SDP被認(rèn)為是已經(jīng)從2017年的期望頂峰開始向失望的低谷滑落，尚處于青春期的階段。