应用逐渐上云是不可逆转的趋势，然而调查发现大多数组织均表示缺乏关于云原生安全的相关知识，安全团队试图寻找在云中应该使用的正确安全产品或解决方案，但由于市场及技术发展太快，团队很难及时跟上。那么，我们从供应商、云提供商听到的那些安全术语是什么？我们又应该根据自身实际情况重点关注哪些技术呢？

市场上不断推出以C起头的安全术语：CWPP（云工作负载保护平台）、CSPM（云安全态势管理）、CIEM（云身份授权管理），Gartner紧接着又给云应用安全定义了一个新的术语CNAPP（云原生应用安全平台），他们到底是什么，他们之间又有什么直接的关系呢？我们在这里和大家一起解读一下吧。

 

CWPP

云工作负载保护（CWPP）起源于 DevOps 团队将自己的工作负载迁移到云端。为了保护整个 DevOps 生命周期工作流程的安全及完整性，安全团队需要完成一些特定云场景下，尤其是云原生场景下工作负载的安全管控，而这正是云工作负载保护平台 (CWPP) 工具所关注的技术点。

 

这些场景包括了：

• 运行时检测：预防和检测运行时容器和微服务中的可疑行为。自动响应容器威胁。

• 系统强化：强化Linux 系统的配置，检测 Linux 主机（或者VM）内部的异常活动 。

• 合规性：验证容器合规性并确保容器内的文件完整性，操作系统合规，容器引擎及编排系统合规等。

• 漏洞管理：在部署到生产环境之前，从存储在 CI/CD 流水线和仓库中的容器镜像中检测操作系统及应用依赖等开源组件的漏洞；仓库漏洞；运行环境漏洞（OS/DOCKER/KUBERNETES）等。

• 网络安全：可视化容器和 Kubernetes 内部的网络流量，并强制执行 Kubernetes 原生网络微隔离以保护业务安全。更高阶的方案可以在云原生平台注入云原生防火墙，云原生沙箱等做进一步高级安全监管，也可以通过VTAP机制把云原生东西向流量镜像出来，到外部安全设备（如NTA）做统一管控。

• WAAP：保护工作负载应用（WEB及API）层面的安全。

•  事件响应：即使在容器消失后，也要对容器和 Kubernetes 进行取证和事件响应，以满足工作负载动态变化的安全需求。

 

这就是云工作负载保护平台 (CWPP) 解决方案的一些安全需求场景，确保在整个应用负载生命周期得到安全防护。

 

CSPM

云安全态势管理 (CSPM) 是 IT 安全工具的一个细分市场，旨在识别云中的错误配置问题和合规风险。CSPM 的一个重要目的是持续监控云基础设施在安全配置及策略执行方面和期望之间的差距。

CSPM 通常由以优先上云为策略并希望将其安全最佳实践扩展到混合云和多云环境的组织使用。虽然 CSPM 通常与基础架构即服务 (IaaS) 云服务相关联，但该技术还可用于最大限度地减少配置错误并降低软件即服务 (SaaS) 和平台即服务 (PaaS) 云环境中的合规风险。

 

CSPM 的关键能力：

最受欢迎的企业云安全态势管理工具的主要功能包括：

• • 检测并可能自动修复云错误配置；

  • 维护不同云配置和服务的最佳实践清单；

  • 将当前配置状态映射到安全控制框架或监管标准；

  • 监控存储、加密和帐户权限是否存在错误配置和合规风险。

     

CSPM 的工作原理：

云安全态势管理工具旨在检测和修复由云配置错误引起的问题。但是，特定的 CSPM 工具可能只能根据特定的云环境或服务使用已定义的最佳实践，因此了解可以在每个特定环境中使用哪些工具非常重要。例如，某些工具可能仅限于检测 阿里云、腾讯云、AWS 或 微软Azure 环境中的错误配置。

一些 CSPM 工具可以通过将实时连续监控与可以检测和纠正问题（例如不正确的帐户权限）的自动化功能相结合来自动修复问题。还可以根据包括 如HIPAA 在内的许多标准配置实现持续合规性。

其他 CSPM 工具可以与云访问安全代理 (CASB) 工具一起使用。CASB 是一种软件工具或SASE提供的服务，可以保护本地 IT 基础架构和云提供商基础架构及应用之间的数据流。

 

CIEM

根据 Gartner 的定义：“云基础设施授权管理 (CIEM) 产品是专门的以身份为中心的 SaaS 解决方案，专注于通过管理时间控制来管理云访问风险，以管理混合和多云 IaaS 中的授权问题。它们通常使用分析、机器学习 (ML) 和其他方法来检测帐户授权中的异常情况，例如特权积累、休眠长久不用和不必要的授权。CIEM 理想地提供了最小权限方法的补救和执行。”

 

对我们而言，这意味着 CIEM 是用于管理访问和在云中实施最小权限的下一代解决方案。而且，虽然 CIEM 还没能完全融入现有的四个云存储Bucket中的任何一个——访问管理、身份和治理、特权访问和用户身份验证——但它有潜能在所有这些云存储Bucket中发挥至关重要作用，同时解决多云环境中的新挑战。

 

多云增加了安全复杂性

到 2020 年底，全球公有云市场估计达到 2500 亿美元，Gartner 预测：“到 2023 年，75% 的安全故障将由身份、访问和特权管理不善造成，高于 2020 年的 50%。” 之前Capital One 漏洞是这些日益严重的安全挑战中最显着的例子。

 

随着多云采用的不断增加，将工作负载转移到此类环境需要对 IaaS 帐户、特权和活动以及精细控制进行敏锐的分析，因为每个云提供商的特权和访问控制的工作方式不同。这既在市场上造成了许可差距，也在市场上创造了机会。Gartner 研究表明：“到 2023 年，一种新型 SaaS 交付的融合身份和访问管理 (IAM) 平台将成为身份治理和管理 (IGA)、访问管理 (AM) 和特权访问管理 (PAM) 的部署首选。

 

CNAPP

实际上CNAPP 是一组集成的安全性和合规性功能集，旨在帮助保护和保护开发和生产中的云原生应用程序。CNAPP 整合并增强了大量以前孤立的功能平台，包括前面提到的CWPP、CSPM、CIEM等