安全圈里概念多,特别是英语缩写多,这是个不争的事实,很多人被这些概念绕来绕去,不知所措,咱们针对这些概念,搞个通俗一点的解释。
CWPP (云工作负载保护平台 Cloud Workload Protection Platform)
很多年前,我们的电脑上就有安全软件,最初叫杀毒软件(AV,Anti Virus),后来逐步发展,加上各种保护,叫主机安全防护。在企业里,电脑上的软件更多,有加密的,防数据泄露的等等。这些软件叫HIDS(主机安全检测系统)HIPS(主机安全防御系统),DLP(数据防泄露),后来又叫EDR(终端检测响应),其实都是差不多的东西,就是在主机上跑一个安全软件,叫Agent,来对主机做安全防护。这些软件也扩展到了服务器上。国内的主流安全厂商都有这个东西。当然还有一堆网络防护的东西,拿不到云上,暂时不说。
云出现以后,理论上风险更大,安全更需要防护,怎么办?把主机上的安全软件搬到云上顺理成章,再加点其它相关的功能,比如基线扫描,内存保护等(其实这些在EDR里也都有),这就是第一代的云安全防护,比较著名的是阿里的安骑士,以及青藤云,安全狗等。
后来又有了容器,也有类似的安全方案了。
这些合起来,都是用户面的安全方案,统一称CWPP。
用户面,也称为数据面,是指直接处理和传输用户数据的部分。简单地说,租户从云里购买了资源,能够使用这些资源的地方,比如虚拟机,数据库,负载均衡等,均属于用户面。
管理面,也称为控制面,是指系统中负责配置、监控和管理网络设备和服务的部分。管理面不直接处理用户数据,而是提供管理和控制功能。简单地说,能够对用户面提供管理和监控的部分,是管理面。在云里非常好区分:从云管理console里连上去的功能,就是管理面的功能,console就是管理面。跟console相关的API功能,也是管理面功能。
用户面与管理面是安全常用概念,二者必须隔离,这是安全隔离基本要求。
云安全态势管理 (Cloud Security Posture Management, CSPM)
用过云的都知道,Console的内容极其复杂,配置项成千上万,很让人头疼。配置不仅影响功能,还影响安全,比如,对象存储一个配置错误,可能导致大量数据泄露,历史上发生过多次,还是美国的Verison,道琼斯,联邦快速等大体量的公司。
如何配置是安全的?各个云都有推荐说明,可以从CIS Bechmark上查到。几乎所有的云,都在在这里,比如AWS的(https://www.cisecurity.org/insights/blog/meet-your-shared-security-responsibility-on-aws-with-cis)。为什么说几乎呢,华为云的查不到。因为美国对华为制裁,所以不接受华为的发布,但国内象阿里云,腾讯云等都可以查到。前边讲的如何安全的使用云,也是这个内容。
每个配置都100多页,让每个人都明白,都记住,显示是不可能的,而且这个要快速定期检查,需要个工具自动化,这个需求就是CSPM的基础。
因为所有的配置都有API,CSPM通过API读取数据来分析,或者修改配置,这是CSPM的最大特点,这类不需要agent的安全软件,统一归类为Agentless。
当然这点功能支撑不了一个大的产品,所以CSPM还有些附加功能,象什么可视化,风险评估,威胁分析之类的,不是关键特点 。
CSPM之后,容器用多了,发现Kubernetes的配置也有同样的问题,于是有了KSPM,原理思路是一样的。
云原生应用保护平台 (Cloud Native Application Protection Platform, CNAPP)
云区分了用户面和管理面,分别催生了CWPP和CSPM两套安全管理系统。对客户来说,安全一个团队,搞两套系统,用起来还是挺崩溃的。
那就再整合成一套吧,整合起来就叫CNAPP。
这几个东西在国外发展是非常好的,CSPM发展了几年,有很多并购案例,象PaloAlto,Checkpoint等都是并购的。最近很火的Wiz,核心产品也是CSPM。
但这块在国内一直火不起来,搞不清楚为什么。
END
