Gartner：2018年十大安全项目详解(三)

陆英

7.云安全配置管理（CSPM）项目

项目目标客户：该项目适用于希望对其IaaS和PaaS云安全配置进行全面、自动化评估，以识别风险的组织。CASB厂商也提供这类能力。

项目建议：如果客户仅有一个单一的IaaS，那么先去咨询IaaS提供商；客户如果已经或者想要部署CASB，也可以先去咨询CASB供应商。

CSPM（Cloud Security Posture Management）是Neil自己新造的一个词，原来叫云基础设施安全配置评估（CISPA），也是他取的名字。改名的原因在于原来仅作“评估”，现在不仅要“评估”，还要“修正”，因此改为“管理”。Posture个人认为是不应该翻译为“态势”，其实Neil本意也不是国人所理解的态势，而是配置。

要理解CSPM，首先要分清CSPM和CWPP的关系，在谈及云工作负载的安全防护时，一般分3个部分考虑，分属于2个平面。一个是数据平面，一个是控制平面。在数据平面，主要包括针对云工作负载本身进行防护的CWPP及云工作负载之上的CWSS（云工作负载安全服务）。CWSS是在云工作负载之上对负载进行安全防护。在控制平面，则都是在负载之上对负载进行防护的措施，包括了CSPM及前面的CWSS。

CSPM能够对IaaS，PaaS，SaaS控制平面中的基础设施安全配置进行分析与管理（纠偏）。这些安全配置包括账号特权、网络和存储配置以及安全配置（如加密设置）。理想情况下，如果发现配置不合规，CSPM会采取行动进行纠偏（修正）。大体上，可以将CSPM归入弱点扫描类产品，跟漏扫、配置核查搁到一块。

对云的正确配置是很重要的一件事，譬如由于对AWS云的S3 bucket配置不当，已经发生了多次重大的信息泄露事件。云厂商一般也都会提供类似的功能，但是对于跨云用户而言，需要有专门的配置管理工具去消除不同云环境中的具体配置差异。

Gartner认为CASB应该具备CSPM功能，在Gartner的2018年云安全Hype Cycle中，CSPM处于期望的顶峰阶段，用户期待很高，处于青春期。

8.自动化安全扫描项目

项目目标客户：该项目适用于希望把安全控制措施集成到Devops风格的流程中的组织。从开源软件的成份分析工具开始，将测试无缝集成到DevSecOps流程和容器中。

项目建议：不要轻易让开发人员切换工具，要求工具提供者提供完备的API以便使用者进行自动化集成。

DevSecOps是Gartner力推的一个概念，有大量的相关分析报告。DevSecOps采用模型、蓝图、模板及工具链等驱动的安全方法来对开发和运维过程进行自保护，譬如开发时应用测试、运行时应用测试、开发时/上线前安全漏洞扫描。它是一种自动化的、透明化的、合规性的、基于策略的对应用底层安全架构的配置。

软件成份分析（SCA）专门用于分析开发人员使用的各种源码、模块、框架和库，以识别和清点开源软件（OSS）的组件及其构成和依赖关系，并识别已知的安全漏洞或者潜在的许可证授权问题，把这些风险排查在应用系统投产之前，也适用于应用系统运行中的诊断分析。如果用户要保障软件系统的供应链安全，SCA很有用。

Gartner给出了SCA关键评估指标包括：

是否具备漏洞和配置扫描功能？

能否将开源组件指纹与CVE关联？

能否与SAST/DAST/IAST扫描集成？

Gartner给客户的建议则包括：

不要轻易让SCA的使用者（一般是开发人员）切换工具；

需要提供API以便使用者进行自动化集成；

确保能够检查到开源软件的许可证问题；

SCA的测试过程要无缝集成到DevSecOps流程中。

在Gartner的2018年应用安全的Hype Cycle中，SCA相较于2017年更加成熟，但仍处于成熟早期的阶段，属于应用安全测试的范畴，可以综合使用静态测试、动态测试及交互测试等手段。

9. CASB项目

项目目标客户：该项目适用于移动办公情况相对较多，采用了多个云厂商云服务的组织。这些组织希望获得一个控制点，以便获得这些云服务的可见性和集中的策略管控。

项目建议：以服务发现功能作为切入点去验证项目的可行性。建议在2018年和2019年将高价值敏感数据发现与监测作为关键的应用案例。

CASB作为一种产品或服务，为企业认可的云应用提供通用云应用使用、数据保护和治理的可见性。CASB的出现原因简单说，就是随着用户越来越多采用云服务，并将数据存入（公有）云中，他们需要一种产品来帮助他们采用一致的策略安全地接入不同的云应用，让他们清晰地看到云服务的使用情况，实现异构云服务的治理，并对云中的数据进行有效的保護，而传统的WAF、SWG和企业防火墙无法做到这些，因此需要CASB。

CASB相当于一个超级网关，融合了多种类型的安全策略执行点。在这个超级网关上，能够进行认证、单点登录、授权、凭据映射、设备建模、数据安全（内容检测、加密、混淆）、日志管理、告警，甚至恶意代码检测和防护。

CASB一个很重要的设计理念是充分意识到在云中（尤指公有云）数据是自己的，但是承载数据的基础设施不是自己的。Gartner指出CASB重点针对SaaS应用来提升其安全性与合规性，同时也在不断丰富针对IaaS和PaaS的应用场景。Gartner认为CASB应提供4个维度的功能：发现、数据保护、威胁检测、合规性。

Neil Mcdonald将CASB项目分为云应用发现、自适应访问、敏感数据发现与保护3个子方向，建议根据自身的成熟度选取其中的一个或者几个优先进行建设。而这3个子方向也对应CASB四大功能中除了威胁检测的3个功能。

在Gartner的2018年云安全HypeCycle中，CASB依然位于失望的低谷，但快要爬出来，继续处于青春期阶段。

10.软件定义边界项目

项目目标客户：该项目瞄准仅想将其数字系统和信息开放给指定的外部合作伙伴或者远程员工的组织。这些组织希望通过限制数字系统和信息的暴露面来减少攻击面。

项目提示：重新评估原有基于VPN的访问机制的风险。建议在2018年选取一个跟合作伙伴交互的数字服务作为试点，尝试建立应用案例。

SDP将不同的网络相连的个体（软硬件资源）定义为一个逻辑集合，形成一个安全计算区域和边界，这个区域中的资源对外不可见，对该区域中的资源进行访问必须通过可信代理的严格访问控制，从而实现将这个区域中的资源隔离出来，降低其受攻击的暴露面的目标。其实，Google的BeyondCorp零信任理念也跟SDP或者软件定义安全同源。目前，SDP技术吸引了很多寻找云应用场景下的VPN替代方案的客户的目光。根据Gartner的分析，目前SDP还处于大量吸引投资的阶段，此类新兴公司正在不断涌现，并购行为很少见。

在Gartner的2018年云安全Hype Cycle中，SDP被认为是已经从2017年的期望顶峰开始向失望的低谷滑落，尚处于青春期的阶段。