云安全的第一站:CSPM

news2024/12/23 11:01:49

在企业数字化转型和云计算技术的加持下,企业上云趋势势不可挡。与此同时,数据量加大,网络攻击日趋频繁,对企业来说,包括云计算安全在内的网络安全部署的重要性日益显现。

在Gartner2022年CIO技术执行官问卷调查中,结果显示:2022年有52%的企业会增加“云”投入,相对来说有32%的企业会减少传统基础架构和数据中心的投入。在网络和信息安全方面,有46%的企业会增加投入。“云”和“安全”在企业增加投入的选项中,分别排名“第三”和“第四”。

可预见的是,随着用户在系统的基础设施和软件支出转向“云服务”,云安全将会成中国安全和风险管理领导者最关键的任务之一。

CSPM 是什么 (what)

Gartner 的说法,CSPM 是一种安全产品类别,可帮助自动化安全性并在云中提供合规性保证。CSPM 工具通过检查云环境并将其与一组已定义的最佳实践和已知安全风险进行比较来工作。

针对于在云环境中的安全管理,有这样一句话:几乎所有对云服务的成功攻击都是客户错误配置、管理不善和失误的结果。事实上,据该Gartner描述,到 2025 年,  99% 的云安全问题都将是客户的错误产生。

从CSPM开始的原因(Why)

配置错误已经成为致命的安全问题

正如前面提到的, 99% 的云安全问题都将是客户的错误产生,随着云自身健壮性和安全性的不断提升,从云本身的脆弱性下手已经很难,同时由于用户对于云上内容的不了解和相关云知识的欠缺,越来越多的安全性问题正从用户侧不断爆发。随之而来的,也让安全管理者发觉到,在云的环境中安全的配置问题已经成为一个致命的问题。

了解云上资产才会更安全

想要更好的保护好云上的资产,那么首先要做的就是要清楚到底云上资产都有哪些,都是什么样的类型,通过更好的方式将云上资产梳理清晰,是作为安全管理的前置性任务。更进一步来说,当企业的环境进入混合云阶段,那么对于云资产的合理管理和展现就会愈发的重要。

让安全管理有所依托。通过CSPM的资产可视化能力,可以高效的完成这一任务。

CSPM可以帮助形成管理中心

在建设云的安全管理能力时,如果是从一些具体的工具开始入手,可以很好的解决问题,但是当随着规模的扩充和问题不断复杂化,就会形成一个网状的效应,相互之间不易于形成合力。CSPM的能力模型实质上更加倾向于平台,可以帮助用户去有效协同和管理很多安全内容,这样在发展的过程中,可以逐步的去形成自己的管理模型和管理平台,最终真正进入到充分匹配自身场景的状态。

传统CSPM的能力模型(How)

我们首先来聊聊传统CSPM的能力模型,这里我们不详细的展开,只列举几个最核心的点,后面我们可以专门找机会来详细聊一下整个能力模型。

检测

检测能力可以说是CSPM的一个核心,通过检测能力,CSPM才能实现它发现问题的最基本功能。传统CSPM会通过规则和规则的执行,来构建自己的检测能力。在这里各个不同的产品会有各自的差异,但是殊途同归,不同实现方式最终都是要构建一个完善的检测能力。

可视

正如前面聊到的,要想管理好云的安全,那么首先我们要看清楚云。所以在CSPM的基础能力中,可视化有这非常重要的作用。这里大家也会有不同的实现方式,基础的通过列表等形式汇集信息,高级的通过可视化的图形、拓扑图来直观展现,当然还有的提供了更复杂的检索能力等。

处理

这里说的处理主要是处理问题,当CSPM检测发现了问题,并且定位到风险的原因后,那么对应的就是如何去处理这一问题。通过基于规则,并结合云的特性,例如一些IAC的能力,CSPM可以帮助用户构建自动化的问题发现和处理机制。

下一代CSPM的演进(How)

传统的CSPM已经具备了很好的云安全能力,但是随着环境的不断发展,还有更多的需求不断地衍生出来,而下一代的CSPM能力也越来越被重视。

更好的扩展能力

面对不断发展的云计算环境,下一代CSPM需要有更好的适应能力,尤其是在中国的环境中,企业环境相对更加复杂,因此更需要有足够的灵活型,保证平台可以不断地扩展,以适应新的用户需求。另一个角度,CSPM中的检测和处理能力都是一个需要保持持续扩充的能力,是无法一次到位,而应该持续迭代,所以也同样要求CSPM保持足够的扩展能力,来不断的增加在检测和处理方面的能力。

作为中枢的链接能力

在下一代CSPM的能力模型中,CSPM需要作为云安全的一个链接枢纽去连通多个方面的能力,进而才能体现出整个云的安全管理态势。在里面有几个方面是需要重点考虑和发展的,比如云上的权限安全,数据安全,以及k8s和容器的安全。

因而在下一代CSPM的能力是现实,可以考虑在CSPM中增加一些扩充模块来实现上述的能力方向,当然也可以通过打通、对接等手段,将CSPM与DSPM,KSPM等产品对接,来实现完善的云上安全能力。

关联性降噪能力

降噪一直都是安全管理中一个让扔头疼的问题,很多时候我们往往不是无法发现问题,而是发现的问题充斥着太多的噪音而无法真正发现核心问题。在云的环境中也是一样,云有着大量的资源和复杂的业务结构,因此往往在检测的过程中会发现大量的潜在问题,而往往这些问题孤立的来看待时是缺乏意义,也很难区分和辨明去危险程度。在面对这种情况时,我们就需要结合更多的关联性,将云上资产关联性、业务关联性和数据关联性充分考虑进去,才能有效的降低噪音的影响。这个方面路还很长,我们还要充分考虑结合当下快速发展的AI技术,更加高效的实现降噪。

总结

时代在不断地发展,云计算更是飞速向前,想要更好的匹配云高速发展的状态,我们需要更快的迭代,以实现更好的CSPM,以更完善的能力来解决云中风险。

关于 HummerRisk

HummerRisk 是开源的云原生安全平台,以非侵入的方式解决云原生的安全和治理问题。核心能力包括混合云的安全治理和K8S容器云安全检测。

GitHub 地址:https://github.com/HummerRisk/HummerRisk

Gitee 地址:https://gitee.com/hummercloud/HummerRisk

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/653032.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

chatgpt赋能python:Python怎么绕过短信验证

Python怎么绕过短信验证 短信验证以及其他形式的验证码已经成为了许多网站和应用程序保护用户隐私的常见方式。然而,对于某些特定的情况,用户可能需要绕过这些验证码,例如自动化测试或者爬取数据。那么,在Python中,我…

安装Hive

安装Hive 准备 安装Java环境:Hive需要Java环境支持,所以需要先安装Java。安装文档:http://t.csdn.cn/deBJu 安装MySQL数据库。http://t.csdn.cn/d24pN 下载Hive 下载Hive的二进制文件。 链接:https://pan.baidu.com/s/1fdg7…

管理类联考——英语二——技巧篇——写作——书信作文——经典方法论

第一节 书信作文谋篇布局 考研英语从2005年开始考查书信作文,迄今为止共考查过几十次。书信作文考查的信件种类繁多,其中建议信是考查最为频繁的信件类型。从考查内容来看,校园学习生活、职业发展、民生热点成为重点考查对象,这一…

hadoop 相关环境搭建

21.Windows下安装Hadoop; Hive MySQL版_hadoop hive windows安装_学无止境的大象的博客-CSDN博客 https://www.cnblogs.com/liugp/p/16244600.html 备注。因为beeline一直报错,最有一怒之下把hive的lib下所有jar都拷贝到hadoop的share\hadoop\common\lib…

2023 年 5 大机器人趋势

原创 | 文 BFT机器人 国际机器人联合会报告 法兰克福,2023 年 2 月 16 日——全球操作机器人的存量创下约 350 万台的新纪录——安装价值估计达到 157 亿美元。国际机器人联合会分析了 2023 年影响机器人技术和自动化的 5 大趋势。 2023 年 5 大机器人趋势 © 国…

2000-2021年全国1km分辨率的逐日PM10栅格数据

空气质量数据是在我们日常研究中经常使用的数据!之前我们分享了来自于Zendo平台的1km分辨率的PM2.5栅格数据(可查看之前的文章获悉详情): 2000-2021年全国1km分辨率的逐日PM2.5栅格数据 2000-2021年全国1km分辨率的逐月PM2.5栅格…

双功能螯合剂Me-Tetrazine PEG7 NOTA,应用于生物和材料科学的研究中

文章关键词:双功能螯合剂,大环化合物 MeTz-PEG7-NOTA,NOTA PEG7 Me-Tetrazine,甲基四嗪-PEG7-NOTA (文章编辑来源于:西安凯新生物科技有限公司小编WMJ)​ 一、Product structure:…

组合逻辑毛刺消除

目录 组合逻辑毛刺消除 1、简介 2、实验任务 3、程序设计 1、组合逻辑输出加寄存器 2、信号同步法 (1)信号延时同步法 (2)状态机控制 3、格雷码计数器 4、仿真验证 组合逻辑毛刺消除 信号在 IC/FPGA 器件中通过逻辑单元…

管理类联考——英语——翻译篇——新题型——经典方法论

第一节 英语(一)翻译 根据考试大纲,考研英语(一R翻译部分主要考查考生准确理解概念或结构较复杂的英语文字材料的能力。具体考查方式是要求考生阅读一篇约400词的文章,并将其中5个画线部分(约150词)译成汉语,要求译文准确、完整、通顺。 可以看出&#…

js数组高阶函数——filter()方法

js数组高阶函数——filter方法 filter()方法⭐⭐⭐例1⭐⭐⭐例2⭐⭐⭐例3⭐⭐⭐例4⭐⭐⭐例5 filter()方法 ⭐一般来说,filter() 方法用于过滤数组中的元素,并返回一个新数组。 语法: array.f…

Python多线程编程详解

概要 进程(process)指的是正在运行的程序的实例,当我们执行某个程序时,进程就被操作系统创建了。而线程(thread)则包含于进程之中,是操作系统能够进行运算调度的最小单元,多个线程可…

【AntDB数据库】AntDB数据库告警管理

告警历史 功能概述 数据库系统的主机、单节点集群的被监测指标达到告警阀值时,AMOPS就会产生告警并展示在告警分类页面上。 告警分类页面提供告警搜索查看功能,用户可以指定监控项、集群、事件级别、时间范围和告警对象对告警进行搜索。 查询的告警数…

Android12之执行adb disable-verity后android无法启动(一百五十六)

简介: CSDN博客专家,专注Android/Linux系统,分享多mic语音方案、音视频、编解码等技术,与大家一起成长! 优质专栏:Audio工程师进阶系列【原创干货持续更新中……】🚀 人生格言: 人生…

AotucCrawler 快速爬取图片

AotucCrawler 快速爬取图片 今天介绍一款自动化爬取图片项目。 GitHub: GitHub - YoongiKim/AutoCrawler: Google, Naver multiprocess image web crawler (Selenium) Google, Naver multiprocess image web crawler (Selenium) 关键字 爬虫网站:Google、Naver &…

【深度学习】2-3 神经网络-输出层设计

前馈神经网络(Feedforward Neural Network),之前介绍的单层感知机、多层感知机等都属于前馈神经网络,它之所以称为前馈(Feedforward),或许与其信息往前流有关:数据从输入开始,流过中间计算过程,最后达到输出…

springboot-内置Tomcat

一、springboot的特性之一 基于springboot的特性 自动装配Configuretion 注解 二、springboot内置Tomcat步骤 直接看SpringApplication方法的代码块 总纲: 1、在SpringApplication.run 初始化了一个上下文ConfigurableApplicationContext configurableApplica…

服务负载均衡Ribbon

服务负载均衡Ribbon Ribbon 介绍Ribbon 案例Ribbon 负载均衡策略Ribbon 负载均衡算法设置自定义负载均衡算法 Ribbon 介绍 Ribbon 是一个的客服端负载均衡工具,它是基于 Netflix Ribbon 实现的。它不像 Spring Cloud 服务注册中心、配置中心、API 网关那样独立部署…

使用Postman创建Mock Server

这篇文章将教会大家如何利用 Postman,通过 Mock 的方式测试我们的 API。 什么是 Mock Mock 是一项特殊的测试技巧,可以在没有依赖项的情况下进行单元测试。通常情况下,Mock 与其他方法的主要区别就是,用于取代代码依赖项的模拟对…

论文笔记 | 谷歌 Soft Prompt Learning ,Prefix-Tuning的 -> soft promt -> p tuning v2

论文笔记 | 谷歌 Soft Prompt Learning ptuning -> Prefix-Tuning -> soft promt -> p tuning v2 "The Power of Scale for Parameter-Efficient Prompt Tuning" EMNLP 2021 Google Brain 人能理解的不一定是模型需要的,所以不如让模型自己训…

多线程之线程安全

写在前面 本文一起看下线程安全相关内容。 1:重要的概念 1.1:竞态条件 多个线程竞争同一资源,如果是对多个线程访问资源的顺序敏感(即导致非预期结果),则该资源就是竞态条件。 1.2:临界区 …