CSPM 工具和策略指南

云安全态势管理工具指南 要实现正确的云安全保障，首先要完全了解部署到云中的每个资源的安全性和合规性状况。这种可视性需要在单一云环境中实现—您可以在较大程度上依赖云提供商的本地监测和审核工具，使用第三方解决方案来填补空白（例如，威胁检测）。 但是在多云架构中，维护强大云安全态势的复杂性呈指数级增长。在多云环境中实现集中的可视性以及一致地强制执行策略和合规性规则要困难得多。由于分布式多层架构中的威胁非常复杂，因此快速检测威胁和修复漏洞也更加复杂。不过，这些挑战是可以克服的，如果想在不损害安全的前提下利用多云架构，就需要这样做。 本指南将引导您了解多云架构中云安全态势管理(CSPM)面临的挑战。我们还将讨论如何构建CSPM工具集和策略，通过提供为多云环境专门构建的集中可视性、合规性管理、威胁检测、数据保护和自动化，有效应对您面临的挑战。 多云CSPM的独特挑战 不能简单地扩展单一云环境中使用的CSPM来满足多云架构的需要。从安全角度来看，多云环境与单一云环境有所不同。 不同的分布式数据 多云环境中的数据分布在多个云上。例如，您可以将大量数据存储在一个云中以充分节约成本。与此同时，您可以将其他数据存储在收费更高但数据访问速度更快的云中。在另一种情况下，您可以使数据在不同的云区域之间分布，将数据放在离需要访问它的最终用户最近的地方。 分布存储数据时，确保数据安全并且没有恶意软件是更有挑战性的。您需要确保每个云上的每个数据存储区都有适当的身份和访问管理(IAM)规则。您还需要确保每个存储段都已正确配置，而不同的云服务提供商(CSP)所需要的“正确配置”也是不同的。 分布式应用 应用和提供这些应用的工具通常也分布在多云环境中。例如，您可以在不同的云中运行同一应用的重复实例，确保在其中一个云出现故障时该应用仍然可用。也许您会选择在一个云中托管开发工具链，但是又从该云将此开发工具链部署到其他云中。 在这种情况下，有效的CSPM需要了解组成应用的所有单独服务和资源的安全态势。单独监视多云应用的每个实例无法满足需求。需要知道一个实例的安全态势如何影响其他实例。举例来说，实例之间的交互方式是否会使一个云环境中的漏洞升级到另一个云环境中？持续监控应用配置可确保它们不会偏离现有策略护栏，有助于防范这些风险。 同时，由于跨多个云部署应用十分复杂，因此，将安全性集成到应用开发管道中至关重要，而不是将其作为事后考虑的事项。一旦应用用于生产后，解决漏洞问题就需要投入更多精力，而如果易受攻击的代码部署在多个环境中，则需要花费更多精力。通过将安全控制集成到应用开发管道中，您可以最大限度降低针对已投入生产的应用执行被动式修正措施的需要。 多种威胁类型和漏洞 现代威胁有多种形式：从恶意内部人员滥用API到加密劫持、数据泄露、容器映像内的恶意软件，SQL注入漏洞等等。没有一种类型的威胁检测能够防范所有威胁。依靠恶意软件扫描或配置审核无法保护您的环境。 您需要从各种来源分析威胁情报，并将结果映射到已知威胁。您还需要使用基于机器学习的策略来增强基于规则的策略，从而检测未知的威胁。 多个用户以及多种权限 单一云环境已经向安全团队提出了挑战，要求他们实施完善的IAM安全措施。考虑一系列访问策略，如CSP或用户托管策略，以及针对各种组、角色、资源和访问控制列表的策略。由于针对用户使用了大量策略，因此很难对单一云实施最低权限访问。 多云环境加剧了单一云的挑战，因为CSP中针对用户权限和授权的定义不尽相同。 您不仅需要为每个云监控一系列不同的IAM配置，还需要将用户角色和权限与用户需求相关联，正如您为每个云定义的那样。不能简单地审核每个云上相同用户的相同凭据集。 更广泛的攻击面 更多的云意味着更多的帐户、访问控制策略、服务等等。所有这些都让攻击面进一步扩大，为攻击者利用错误配置的资源、宽松的权限或代码漏洞创造了更多可乘之机。 同时，多云环境中集中可视性和控制的缺乏，使得漏洞和威胁难以检测。如果无法使用一种CSP工具监测和审核所有服务中的全部配置，就难以阻止错误配置可能引发的入侵行为。 精通多云CSPM：五个关键功能 应对上述多云安全挑战需要使用可提供五个关键功能的CSPM策略和工具集。 1.全面可视性、合规性和监管 为多云成功实施CSPM有赖于持续监测和审核所有CSP中全部资源的能力。无论何时部署新服务或工作负载或更改配置，您的工具都必须检测和扫描更新，确保其符合安全要求和最佳实践。 如果新的部署或配置不符合要求，这些工具会提醒您的团队出现了问题并且会推荐修复方法。您的工具还应该自动采取简单的修复措施（例如，更新输入错误的IP地址、向IAM策略添加缺失的语句），无需等待安全团队进行这些微小的更改。 建议您阻止不安全的配置进入生产环境，以减少运行时警报的数量。您的CSPM工具应该能够扫描基础架构即代码(IaC)模板以发现错误配置，并在整个软件开发生命周期中实施策略，而不仅仅是在运行时实施。 除了简易的错误配置资源列表，团队还需要使用CSPM工具来协助其理解过度暴露的云网络。在生成警报之前，CSPM可通过映射所有前往、来自或跨越云资源的潜在网络路径来评估总体互联网暴露风险。这提供了更强大的可视性，同时降低了警报干扰。 2.全面的威胁检测 多云环境中威胁的复杂特性意味着CSPM工具集需要从各种来源收集威胁情报，才能准确地了解风险。这些来源包括IaC配置、容器映像和云虚拟机(VM)映像。 许多团队已开始扫描漏洞，但是仅仅扫描这些组件并不能提供完整的威胁情报和检测。为此，您的企业还需要维持高保真度的威胁情报，以便您能够识别最新的威胁并评估其严重程度。检测网络中的异常并将此与其他类型威胁数据关联起来的能力，对于获取威胁潜在影响相关的情境信息至关重要。您需要对用户和实体行为分析(UEBA)数据执行相同的操作。 换言之，现代威胁检测需要对多个数据源进行分析，并结合将这些数据关联和情境化的能力。这对于识别复杂、多层环境中的威胁非常重要，而且对于帮助团队了解如何快速确定风险优先级和消除威胁也非常重要。只有通过全面的威胁检测，才能将网络异常与不安全的容器映像相关联，或者确定哪个帐户是漏洞的来源。如果您的团队能够更快地理解威胁，您就能更快地修复它们，从而最大限度地减少平均修复时间。 3.集成的数据安全 无论您在云中存储何种类型的数据，也不管它是否包含个人身份信息(PII)，保持其安全都需要一种多功能的防御机制，提供对数据状态的深入可视性。这首先需要能够跨各种存储服务监视每个存储段的配置，以确保数据不会意外地暴露给未经授权的用户或应用。您还需要审核存储段的内容，以确定这些内容是否包含符合相关法规和其他要求的PII。 检测静态数据中的恶意软件虽然对云数据保护至关重要，但却经常被忽视。恶意软件识别需要扫描存储段，还需要扫描数据库、虚拟机文件系统、容器存储卷，甚至是短期存在的容器文件系统。 最后，由于云数据安全通常需要在保护和可用性之间取得平衡，因此，您的CSPM工具应该具备计算数据的暴露风险并提出建议的能力，从而帮助限制漏洞的影响。根据数据的敏感性，什么级别的访问控制适合您的云数据？是否应该使用稍微宽松的访问策略来简化管理？能够计算暴露风险的工具将帮助您解答这些问题和类似问题。 4.智能身份安全 CSPM工具应该超越错误配置，并评估云环境中的总体身份风险。完成这些操作需要计算净有效权限的功能，净有效权限是指授予一个或一组身份的完整权限集，不论这些身份是人还是机器。了解云和多云环境中的总体访问权限后，安全团队可以识别过度宽松的访问权限并修复相关风险。 5.自动化警报修复 如果没有能够自动监测和有助于抑制安全风险的工具的帮助，就不可能强制实施关键安全流程并在多云环境中对其进行监督。这并不是说多云CSPM应该是一个完全不需要人工参与的工作。手动干预总是必要的，可以用来应对复杂的安全事件或评估过于复杂、CSPM工具无法单独处理的风险。但是，常规的安全监控、审核和修正应该是自动化的，这样您的团队就可以专注于重要的事情。 事实上，CSPM工具应能够关联云错误配置、漏洞、过度IAM权限和网络暴露的调查结果，以此发现攻击路径，从而识别有害组合，使团队能够优先处理和修复最具潜在危害的风险。 云供应商工具的局限 CSP提供了各种工具，可以解决本指南中描述的一些风险。像AmazonMacie和GoogleCloudDLP这样的数据保护服务可以评估存储段和数据库等对象中的数据漏洞。监视工具，如AmazonCloudWatch和Microsoft的AzureMonitor可以为可能指示安全风险的特定类型的事件生成警报。虽然这些工具非常实用，而且您可能希望使用这些工具来帮助构建CSPM工具集，但是它们有两个局限性： •CSP工具并不是以作为综合CSPM解决方案为目的而设计的。它们或许能够审核某些配置文件或在某些数据存储区中找到部分PII，但不会持续扫描容器映像、检测网络异常或自动修复威胁。 •CSP工具只能在CSP的云中使用。这意味着您只能了解一个云的相关信息，因此，如果您试图保护多云环境，将拥有多个可视性窗口。 在多云环境中仅依赖CSP的工具，就需要应付一长串不同的工具，这是一项困难且效率低下的任务。如果您无法关联数据，就无法保护数据安全。 了解更多 多云CSPM需要一个全面的安全平台，能够持续监控错误配置、漏洞和威胁并发出警报，而且精确度很高。 PaloAltoNetworks出品的PrismaCloud提供有效应对多云安全挑战所需的自动化和集中可视性。通过从存储在您运行的每个云上的流日志、配置日志和审核日志中提取数据，PrismaCloud为安全团队提供了一个集中视图，以监视整个环境的安全性及合规性状况。 由于PrismaCloud基于异常活动和影响提供威胁检测，因此，它可以帮助您的团队了解威胁的严重性并采取相应行动。PrismaCloud为这场“猜谜游戏”画上了句号。我们不必再花费更多时间来试图确定要优先应对哪些威胁。我们不必再尝试找出复杂安全事件的根本原因。 通过利用PrismaCloud的自动修复功能，您的团队可以迅速解决许多类型的安全相关错误配置，同时通过中央面板监控修复状态。 查看平台运行情况，详细了解PrismaCloud如何帮助您的团队管理安全状况。好消息，您可以与PaloAltoNetworks专家预约会面。 免费咨询热线：4009911194 网址：www.paloaltonetworks.cn 邮箱：contact_salesAPAC@paloaltonetworks.com ©2023PaloAltoNetworks,Inc.PaloAltoNetworks和PaloAltoNetworks徽标是PaloAltoNetworks,Inc.的注册商标。有关本公司的商标列表，请访问：http://www.paloaltonetworks.com/company/trademarks.html。此文档中提及的所有其他商标可能是各相应公司的商标。prisma_eb_guide-to-cloud-security-posture-management-tools_052523