选型指南:CNAPP能力成熟度评估Checklist

news2024/12/25 12:47:21

随着云计算服务大量使用,网络攻击面的不断扩大,那些过去为传统数据中心而设计的安全工具和运营流程将很难应对云端的安全威胁。相比过去,安全团队现在面临超过10到100倍的容器化保护需求,大量的动态云资产需要追踪,同时还需要应对混乱不堪的身份和访问权限管理。此外,攻击者越来越多地使用自动化工具,如最近的SCARLETEEL攻击,攻击者就是利用Kubernetes集群上已知漏洞进行侦察,并横向进入一个过度授权访问的Amazon Web Services(AWS)帐户。

大量的云漏洞、配置错误等风险层出不穷,安全团队正在被各种告警淹没,无法确定当前最重要的风险。此外,越来越多的组织开始采用CI/CD,授权开发人员可以配置基础架构并通过部署容器化的应用程序实现快速更新上线。但是安全产品,却很少集成在开发环境中。本文基于云原生应用保护平台(CNAPP)能力要求,从云工作负载、云安全态势管理、云检测和响应、用户体验等几个不同方面,提供了80+Checklist,帮助用户更好进行选型(如已对CNAPP较为熟悉可直接跳至本文最后的附录,查看Checklist)。

传统安全工具不足

正如图1所示,云基础设施缺乏可视性、安全工具难以被集成、不断扩大的风险暴露面、告警太多等因素推动了云安全运营团队迫切希望更新当前技术方案。

图1 当前云安全方案面临窘境

一些组织甚至没有意识到需要基于云基础设施特性,重新评估他们的安全控制措施。下面几个原因解释了为什么许多传统安全技术并不适合云环境:

第一是可见性。对云服务、身份、工作负载和编排服务(如Kubernetes)拥有可见性才能帮助安全团队检测高级威胁。部分攻击者甚至已开始针对软件供应链和第三方应用程序(如Okta、Github等)以获取进入云环境的初始入口。如果,在整个云生态系统中没有端到端的可见性,那么安全工具就形同虚设。安全可见性包括以下几个方面:

  • 网络可见性:随着软件化的网络配置与工作负载相结合,类似防火墙、IPS这样工具可能无法满足集成要求。例如面对Kubernetes的网络配置,运行在IaaS和PaaS环境中的容器生成情况等,传统安全工具几乎处于失效状态。

  • 应用程序可见性:真正的应用程序可见性需要与云工作负载和编排服务深度集成,并具有强大的告警功能。

  • 工作负载可见性:深度工作负载可见性需要具备各种工作负载类型的配置评估能力,以及对容器镜像配置和运行时事件监视的可见性。

  • IaC可见性:在大多数成熟的组织中,这种可见性需要集成到DevOps流水线中,能够快速分析IaC模板和文件。

第二个是检测能力。从某种程度说,传统攻击方式也可能会发生在云中,但是攻击的方式以及如何检测它们将需要转变。例如,攻击者可能通过AWS CLI执行恶意命令,修改云存储节点,如S3存储桶,或与云原生Kubernetes服务进行交互。传统EDR或本地监控解决方案无法做到实时检测并对此发出告警或者完成阻断。这种滞后的检测和响应,会给攻击者充分时间完成攻击和撤退。

最终,单点产品很难发挥较强效果。无论采用何种方法,这些单点工具之间没有沟通或共享上下文,这就要求安全团队手动“拼接”事件,并确定它们是否相关,这对于安全团队而言几乎是一个不可能完成的任务。会让安全团队陷入无休止忙乱之中,迫使他们一次又一次地处理问题,而不是根据风险和影响基于优先级排名列表来处理。在没有适当的可见性和运行时上下文的情况下,这些传统解决方案将使组织陷入时间浪费和延迟的无尽循环中。

先进云安全方案CNAPP

为了应对云安全的挑战,有效的解决方案必须平衡安全性和速度。本文附录提供了一份CNAPP解决方案中应该包含功能checklist。在本章节先着重深入研究其中一些重点功能。

云原生安全工具需要足够智能,可以将实时检测能力和运行时上下文层叠在一起,以分析展示整个云基础架构中最重要的风险,还需要能够支持跨多个云平台,为企业在复杂的多云环境中提供了必要的灵活性和控制能力。

云工作负载保护

云安全解决方案最重要的一块内容是工作负载保护,先进的云安全解决方案CNAPP应包括以下功能:

  • 统一资产清单,包括Kubernetes和云资源

  • 运行时对所有容器镜像、镜像仓库、容器主机和虚拟机实例进行漏洞扫描

  • 灵活的安全报告输出

  • 易于集成到CI/CD中,以帮助自动化漏洞扫描和报告

  • 整合外部漏洞信息源,具有统一的漏洞清单,包含漏洞优先级

  • 可在策略中执行镜像配置规则和简单实施基础镜像补救措施

  • 为所有资源创建简单灵活的策略设置和漏洞修复,具备运行时修复和IaC修复能力

  • 对工作负载上的恶意活动进行实时检测,具有持续更新的规则和集成威胁信息源能力

  • 强大的调查和取证能力,如证据获取、自动化调查/取证

  • 基于AI增强和提升检测能力

云安全态势管理

许多重大安全事件发生是由于云工作负载和服务配置管理不当导致的。因此一个CNAPP方案应该包括以下功能:

  • 支持策略即代码的自定义策略(最好支持Open Policy Agent [OPA]等标准),以及与行业框架和合规监管要求一致的现成策略库,以检测和配置任何云中的设置。

  • 能够实时检测跨云的工作负载和编排服务中出现的配置漂移。

  • 身份和访问管理分析能力,能够评估权限使用情况,并能够按照最严格的身份和访问策略落地执行。

  • 通过将运行时上下文与静态检查(配置错误、已知漏洞)相结合,对安全风险进行排序。

  • 识别和分析风险配置的用户属性和设置,比如缺乏多因素认证 (MFA)、公开或过度宽松的云访问密钥、缺乏访问密钥轮换等情况。

  • 在云环境中对所有策略和配置状态进行详细和灵活的报告,最好具备行业框架、合规报告以及自定义选项。

  • 攻击路径分析,能支持在多个事件之间进行相关性分析(例如,横向移动)。

云检测与响应

除了工作负载保护和态势评估之外,云检测与响应也是需要重点关注的一个方面。正如前面提到的,传统将本地安全工具和工作流程调整以适应云原生场景的做法很难真正解决云自身的安全问题。CNAPP平台应支持以下功能:

  • 实时检测恶意活动和行为,不断更新规则并集成威胁源

  • 灵活的规则语言用于自定义规则

  • AI增强检测能力

  • 支持跨越云、容器和Kubernetes多个不同平台

  • 强大的调查和取证能力,如证据捕获、自动化调查/取证操作

  • 事件丰富化和转发,能够与第三方安全工具和平台对接(如SIEM)

  • 检测和分析Kubernetes网络事件

  • 具备主机、托管容器服务工作负载的检测和响应能力

用户体验

对安全团队来说,增加运营负担或笨拙的界面是很难接受的。成熟的解决方案在用户体验领域应该提供以下内容:

  • 同时涵盖云工作负载和Kubernetes编排的服务和工作负载,提供统一的安全和风险看板,包括威胁检测、漏洞管理和安全姿势管理,涵盖工作负载基础设施的所有方面。

  • 部署简单性。完整的CNAPP将结合Agent和Agentless以创建统一解决方案。

  • 随着ChatGPT等生成式AI工具的兴起,许多安全解决方案开始利用这项技术来帮助用户。例如允许用户使用自然语言提示来获取丰富上下文相关告警。

附录-CNAPP能力成熟度评估

云工作负载保护

云原生应用程序保护平台应具备以下能力,以保护整个生命周期中的云工作负载:

风险管理

基础版

升级版

运行时容器镜像漏洞扫描

主机漏洞扫描(虚拟机)

镜像仓库漏洞扫描

支持CI/CD集成、Git集成

漏洞优先级排序

丰富的漏洞上下文(可利用性、修复日期、软件包修复版本)  

可操作的补救措施(更新软件包、更新镜像)  

跨云和Kubernetes的漏洞定义和策略验证

通过准入控制器执行策略

统一漏洞清单

集成外部漏洞源

支持策略中的镜像配置规则

容器/K8S态势管理

基础版

升级版

跨Kubernetes、容器和主机的错误配置检测

CIS基准(Kubernetes、Docker、Linux)要求

可定制的策略/控件

整个云环境统一可搜索的资产清单  

针对Kubernetes的IaC安全(扫描IaC清单中的配置错误)

在源头(IaC)或运行时环境中对违规策略进行补救

运行时安全与事件响应

基础版

升级版

恶意行为实时检测

持续更新的开箱即用规则覆盖

集成威胁信息源

灵活的规则语言以支持自定义检测

具备机器学习能力的多层保护,作为基于规则的检测的补充

容器漂移检测和防护

深入了解安全事件并进行取证

详细且可操作的取证数据捕获

支持Linux主机

具有自动化操作的运行时策略(终止、停止、暂停容器)

与SIEM集成

与事件响应系统集成(例如PagerDuty)

实时文件完整性监控

K8S网络安全分析

支持serverless

云安全态势管理

持续监控、检测和纠正云安全错误配置,是任何成熟的云工作负载和云原生应用程序保护平台重要的一组功能,需要包含以下功能:

态势管理(云/IaaS)

基础版

升级版

跨多个云提供商的错误配置检测

对IaC清单进行错误配置扫描(IaC安全)

检测配置漂移(从IaC到运行资源)

在源头进行补救(通过自动拉取请求)

       ✓

支持自定义策略

在源头(IaC)或运行环境中对策略违规进行纠正

行业基准和法规合规框架的开箱即用策略

整个云环境统一可搜索的资产清单

利用生成式人工智能在云库存资产上进行自然语言搜索和查询

合规报告

具有运行时上下文的攻击路径分析

组合风险检测(即有害组合)

MITRE风险映射

基于运行时上下文和静态检查的风险优先级排序

云漏洞管理

基础版

升级版

基于agent或agentless扫描云主机

基于运行时上下文的漏洞优先级排序

Jira/工单集成

权限/授权管理

基础版

升级版

识别风险用户属性,如未开启多因素认证,访问密钥未轮换等

权限使用评估

基于运行时访问模式的最小特权访问策略(CIEM)

针对过度权限提供引导性补救措施,并推荐最低特权IAM策略

云检测和响应

基础版

升级版

实时检测恶意活动

持续更新的管理策略

针对安全和合规框架(如MITRE、PCI等)的开箱即用策略

集成威胁情报源(例如恶意IP)

灵活的规则语言以支持自定义检测

具备机器学习能力的多层保护,作为基于规则检测的补充

跨工作负载、身份、云服务和软件供应链的端到端检测

SaaS应用程序检测

实时检测异常的云活动

深入了解安全事件并进行取证

详细且可操作的取证数据捕获  

自动调整策略和规则以最小化误报

将安全事件转发至第三方安全和运维工具

从云和其他环境上下文中丰富事件信息

实时检测横向移动

具有相关上下文的攻击过程

基础设施和工作负载的实时映射

威胁映射至MITRE ATT&CK框架

在多个事件/来源之间进行跨领域数据关联

支持Linux主机

无服务器支持

支持所有主要云、Linux和Kubernetes供应商

用户体验

对于安全运营团队而言,强大而成熟的用户体验至关重要。云原生应用保护平台应提供如下能力:

基础版

升级版

跨云、容器和Kubernetes统一的安全风险看板

支持Agent和Agentless

通过评估发现上下文和潜在攻击路径的组合生成等方法聚合生成风险等级

拥有修复指南和方法

完全可配置的规则和策略引擎

公开APIs

生成式人工智能增强功能

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2054922.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

MySQL 在 Windows 和 Ubuntu 上的安装与远程连接配置简介

MySQL 是一个广泛使用的开源关系型数据库管理系统,它提供了多用户、多线程的数据库服务。本文将介绍如何在 Windows 和 Ubuntu 操作系统上安装 MySQL,并配置远程连接。 Windows 上的 MySQL 安装 1. 下载 MySQL Installer 访问 MySQL 官方网站下载 Win…

c++--类(上)

C之类(上) 一、类的定义1.1 类定义格式1.2 访问限定符1.3 类域 二、实例化2.1 实例化的概念2.2 对象大小 三、this指针 一、类的定义 1.1 类定义格式 1、class为定义类的关键字,{}中为类的主体,注意类定义结束时后⾯分号不能省略…

Ollama - Llama3 docker版本安装部署使用

项目地址:https://github.com/meta-llama/llama3 Meta 发布两款开源Llama 3 8B与Llama 3 70B模型,供外部开发者免费使用。Llama 3的这两个版本,也将很快登陆主要的云供应商。 按照Meta的说法,Llama 3 8B和Llama 3 70B是目前同体量…

threejs中实现物体阴影

在Three.js中实现阴影需要几个步骤,包括设置渲染器、光源以及物体的材质等。以下是一个基本的实现阴影的步骤: 1、设置渲染器以支持阴影: const renderer new THREE.WebGLRenderer(); renderer.setSize(window.innerWidth, window.innerH…

三大运营管理平台:打造智能化新能源数据管理的核心利器

随着全球能源结构的转型和新能源技术的快速发展,智能化新能源数据管理成为行业发展的关键。三大运营管理平台的出现,正是为了解决这一需求,它们通过整合先进的信息技术和智能算法,为新能源企业提供了全面、高效、精准的数据管理解…

告别帕金森手抖,这些维生素是你的秘密武器!

亲们,你们有没有遇到过这样的情况?家里的长辈或是自己,偶尔会出现手不自觉颤抖的现象,特别是被诊断为帕金森病的朋友,更是深受其扰。😔 别担心,今天就来聊聊如何通过科学补充一些关键维生素&…

函数:02

1.三角函数 名称表达式正弦sinx b r \frac{b}{r} rb​余弦cosx a r \frac{a}{r} ra​正切tanx b a \frac{b}{a} ab​余切cotx a b \frac{a}{b} ba​正割secx r a \frac{r}{a} ar​余割cotx r b \frac{r}{b} br​ 1.1用正弦,余弦函数表示正/余切,正/余割…

Web大学生网页作业成品——保护环境环保介绍网页设计与实现(HTML+CSS)(1个页面)

🎉🎉🎉 常见网页设计作业题材有**汽车、环保、明星、文化、国家、抗疫、景点、人物、体育、植物、公益、图书、节日、游戏、商城、旅游、家乡、学校、电影、动漫、非遗、动物、个人、企业、美食、婚纱、其他**等网页设计题目, 可满足大学生网…

20221元组

在Python语言中, (7)是一种可变的、有序的序列结构,其中元素可以重复。 A.元组(tuple) B. 字符串(str) C. 列表(list) D.集合(set) ChatGPT 说: ChatGPT 在Python中,选项 C 列表(list) 符合题目描述。 解释: 列表 (list) 是一种可变的、有…

OOP篇(Java - 思维逻辑练习)(doing)

目录 一、继承 1. 简介 2. 表现形式 2.1. 电脑的表现形式 2.2. 程序的表现形式 资料库 课程 课程放入到资料库 视频资源 资源库 存在问题 如何解决问题 3. 继承 定义父类 课程类继承 视频类继承item 资源库类2 整个的继承关系 4. 通过继承得到了什么&#x…

基于spring boot的酒店管理系统

获取源码联系方式请查看文章结尾🍅 目 录 基于spying boot的酒店管理系统 ABSTRACT 第一章 绪论 1.1课题背景 1.2研究意义 1.3研究内容 第二章 技术介绍 2.1相关技术 2.2java技术 2.3MySQL数据库 2.4 Tomcat介绍 2.5 SSM框架 第3章 需求分析 3.1需求分…

水文仪器设备

水文仪器设备可以监测水位、雨量、流速、流量等水文要素。这些设备使用各种传感技术和测量原理来获取准确的数据。以下是常见的水文仪器设备: 水位计:用来测量水位高度的仪器。常见的水位计有浮标式水位计、压力式水位计、超声波水位计等。 雨量计&…

Redis大显身手:实时用户活跃排行榜

文章目录 场景说明方案设计数据结构 Redis使用方案排行榜实现更新用户活跃积分幂等策略榜单评分更新触发活跃度更新排行榜查询 技术派项目源码地址 : Gitee :技术派 - https://gitee.com/itwanger/paicodingGithub :技术派 - https://github.com/itwanger/paicoding 效果如图 …

maven项目的目录结构

今天用jdk17创建maven项目时候出的问题 那就一步步自己整了 <?xml version"1.0" encoding"UTF-8"?> <project xmlns"http://maven.apache.org/POM/4.0.0" xmlns:xsi"http://www.w3.org/2001/XMLSchema-instance"xsi:schema…

车载以太网AVB系统方案搭建基于100BASE-T1车载以太网

1.音频传输系统需求 音频是智能座舱的核心功能&#xff0c;涵盖车载音响、语音识别、e-Call、消噪及回声消除等应用&#xff0c;随着汽车智能网联化的发展&#xff0c;对音频的开发要求也越来越高。传统的车载音频系统采用模拟并行音频信号传输方式&#xff0c;难以在功能增加…

RabbitMQ消息持久化实现

RabbitMQ消息持久化实现 1. 交换器的持久化2. 队列的持久化3. 消息的持久化 &#x1f496;The Begin&#x1f496;点点关注&#xff0c;收藏不迷路&#x1f496; RabbitMQ作为流行的消息队列&#xff08;MQ&#xff09;产品&#xff0c;提供了全面的持久化机制&#xff0c;确保…

Leetcode每日刷题之209.长度最小的子数组(C++)

1.题目解析 根据题目我们知道所给的数组均是正整数&#xff0c;我们需要找到的是该数组的子数组&#xff0c;使其子数组内所有元素之和大于或等于给出的目标数字target&#xff0c;然后返回其长度&#xff0c;最终找出所以满足条件的子数组&#xff0c;并且要返回长度最小的子数…

【Redis分析】(二) Sentinel

哨兵 - 高可用 哨兵&#xff08;Sentinel&#xff09; 是 Redis 的高可用性解决方案&#xff1a;由一个或多个 Sentinel 实例组成的 Sentinel 系统可以监视任意多个主服务器&#xff0c;以及这些主服务器属下的所有从服务器。 Sentinel 可以在被监视的主服务器进入下线状态时…

mysql windows安装与远程连接配置

安装包在主页资源中 一、安装(此安装教程为“mysql-installer-community-5.7.41.0.msi”安装教程&#xff0c;安装到win10环境) 保持默认选项&#xff0c;点击”Next“。 点开第一行加号展开一路展开找到“MySQL Server 5,7,41 - X64”点击选中点击一下中间只想右侧的箭头看到…

encoding with ‘idna‘ codec failed (UnicodeError: label empty or too long)

今天在使用Flask连接mysql的时候&#xff0c;遇到了一个报错&#xff1a;encoding with ‘idna’ codec failed (UnicodeError: label empty or too long) 网上查了一下说是字符集的问题&#xff0c;然后尝试修改了一下字符集&#xff0c;结果还是不行。 最后去翻阅SQLAlchemy…