Gartner：2018年十大安全項目詳解(三)

陸英

7.云安全配置管理（CSPM）項目

項目目標客戶：該項目適用于希望對其IaaS和PaaS云安全配置進行全面、自動化評估，以識別風險的組織。CASB廠商也提供這類能力。

項目建議：如果客戶僅有一個單一的IaaS，那么先去咨詢IaaS提供商；客戶如果已經或者想要部署CASB，也可以先去咨詢CASB供應商。

CSPM（Cloud Security Posture Management）是Neil自己新造的一個詞，原來叫云基礎設施安全配置評估（CISPA），也是他取的名字。改名的原因在于原來僅作“評估”，現在不僅要“評估”，還要“修正”，因此改為“管理”。Posture個人認為是不應該翻譯為“態勢”，其實Neil本意也不是國人所理解的態勢，而是配置。

要理解CSPM，首先要分清CSPM和CWPP的關系，在談及云工作負載的安全防護時，一般分3個部分考慮，分屬于2個平面。一個是數據平面，一個是控制平面。在數據平面，主要包括針對云工作負載本身進行防護的CWPP及云工作負載之上的CWSS（云工作負載安全服務）。CWSS是在云工作負載之上對負載進行安全防護。在控制平面，則都是在負載之上對負載進行防護的措施，包括了CSPM及前面的CWSS。

CSPM能夠對IaaS，PaaS，SaaS控制平面中的基礎設施安全配置進行分析與管理（糾偏）。這些安全配置包括賬號特權、網絡和存儲配置以及安全配置（如加密設置）。理想情況下，如果發現配置不合規，CSPM會采取行動進行糾偏（修正）。大體上，可以將CSPM歸入弱點掃描類產品，跟漏掃、配置核查擱到一塊。

對云的正確配置是很重要的一件事，譬如由于對AWS云的S3 bucket配置不當，已經發生了多次重大的信息泄露事件。云廠商一般也都會提供類似的功能，但是對于跨云用戶而言，需要有專門的配置管理工具去消除不同云環境中的具體配置差異。

Gartner認為CASB應該具備CSPM功能，在Gartner的2018年云安全Hype Cycle中，CSPM處于期望的頂峰階段，用戶期待很高，處于青春期。

8.自動化安全掃描項目

項目目標客戶：該項目適用于希望把安全控制措施集成到Devops風格的流程中的組織。從開源軟件的成份分析工具開始，將測試無縫集成到DevSecOps流程和容器中。

項目建議：不要輕易讓開發人員切換工具，要求工具提供者提供完備的API以便使用者進行自動化集成。

DevSecOps是Gartner力推的一個概念，有大量的相關分析報告。DevSecOps采用模型、藍圖、模板及工具鏈等驅動的安全方法來對開發和運維過程進行自保護，譬如開發時應用測試、運行時應用測試、開發時/上線前安全漏洞掃描。它是一種自動化的、透明化的、合規性的、基于策略的對應用底層安全架構的配置。

軟件成份分析（SCA）專門用于分析開發人員使用的各種源碼、模塊、框架和庫，以識別和清點開源軟件（OSS）的組件及其構成和依賴關系，并識別已知的安全漏洞或者潛在的許可證授權問題，把這些風險排查在應用系統投產之前，也適用于應用系統運行中的診斷分析。如果用戶要保障軟件系統的供應鏈安全，SCA很有用。

Gartner給出了SCA關鍵評估指標包括：

是否具備漏洞和配置掃描功能？

能否將開源組件指紋與CVE關聯？

能否與SAST/DAST/IAST掃描集成？

Gartner給客戶的建議則包括：

不要輕易讓SCA的使用者（一般是開發人員）切換工具；

需要提供API以便使用者進行自動化集成；

確保能夠檢查到開源軟件的許可證問題；

SCA的測試過程要無縫集成到DevSecOps流程中。

在Gartner的2018年應用安全的Hype Cycle中，SCA相較于2017年更加成熟，但仍處于成熟早期的階段，屬于應用安全測試的范疇，可以綜合使用靜態測試、動態測試及交互測試等手段。

9. CASB項目

項目目標客戶：該項目適用于移動辦公情況相對較多，采用了多個云廠商云服務的組織。這些組織希望獲得一個控制點，以便獲得這些云服務的可見性和集中的策略管控。

項目建議：以服務發現功能作為切入點去驗證項目的可行性。建議在2018年和2019年將高價值敏感數據發現與監測作為關鍵的應用案例。

CASB作為一種產品或服務，為企業認可的云應用提供通用云應用使用、數據保護和治理的可見性。CASB的出現原因簡單說，就是隨著用戶越來越多采用云服務，并將數據存入（公有）云中，他們需要一種產品來幫助他們采用一致的策略安全地接入不同的云應用，讓他們清晰地看到云服務的使用情況，實現異構云服務的治理，并對云中的數據進行有效的保護，而傳統的WAF、SWG和企業防火墻無法做到這些，因此需要CASB。

CASB相當于一個超級網關，融合了多種類型的安全策略執行點。在這個超級網關上，能夠進行認證、單點登錄、授權、憑據映射、設備建模、數據安全（內容檢測、加密、混淆）、日志管理、告警，甚至惡意代碼檢測和防護。

CASB一個很重要的設計理念是充分意識到在云中（尤指公有云）數據是自己的，但是承載數據的基礎設施不是自己的。Gartner指出CASB重點針對SaaS應用來提升其安全性與合規性，同時也在不斷豐富針對IaaS和PaaS的應用場景。Gartner認為CASB應提供4個維度的功能：發現、數據保護、威脅檢測、合規性。

Neil Mcdonald將CASB項目分為云應用發現、自適應訪問、敏感數據發現與保護3個子方向，建議根據自身的成熟度選取其中的一個或者幾個優先進行建設。而這3個子方向也對應CASB四大功能中除了威脅檢測的3個功能。

在Gartner的2018年云安全HypeCycle中，CASB依然位于失望的低谷，但快要爬出來，繼續處于青春期階段。

10.軟件定義邊界項目

項目目標客戶：該項目瞄準僅想將其數字系統和信息開放給指定的外部合作伙伴或者遠程員工的組織。這些組織希望通過限制數字系統和信息的暴露面來減少攻擊面。

項目提示：重新評估原有基于VPN的訪問機制的風險。建議在2018年選取一個跟合作伙伴交互的數字服務作為試點，嘗試建立應用案例。

SDP將不同的網絡相連的個體（軟硬件資源）定義為一個邏輯集合，形成一個安全計算區域和邊界，這個區域中的資源對外不可見，對該區域中的資源進行訪問必須通過可信代理的嚴格訪問控制，從而實現將這個區域中的資源隔離出來，降低其受攻擊的暴露面的目標。其實，Google的BeyondCorp零信任理念也跟SDP或者軟件定義安全同源。目前，SDP技術吸引了很多尋找云應用場景下的VPN替代方案的客戶的目光。根據Gartner的分析，目前SDP還處于大量吸引投資的階段，此類新興公司正在不斷涌現，并購行為很少見。

在Gartner的2018年云安全Hype Cycle中，SDP被認為是已經從2017年的期望頂峰開始向失望的低谷滑落，尚處于青春期的階段。