在Cloud中,云服务提供商(CSP)和企业安全团队之间共享安全职责。为了使安全团队能够在整个应用程序堆栈中提供合规性,可见性和控制能力,CSP和安全供应商已在不同层上添加了各种创新方法。在此博客中,我们比较了这些方法,并为企业提供了思考这些方法的框架。

概述

云服务提供商正以惊人的速度推出新服务,以使企业应用程序开发人员能够更快地将新业务价值带入市场。对于每一项服务,CSP都承担着越来越多的安全责任,同时让企业安全团队将重点更多地放在应用程序上。为了能够在如此多样化和快速变化的环境中提供可见性,安全性并增强现有工具,CSP启用了日志,API,本机代理和其他技术,企业安全团队可以使用这些技术。

比较

有许多不同的安全性方法,并且每种方法在提供的可见性和安全性深度,部署的简易性,所需的权限,成本以及使用的规模方面都有不同的权衡。

API和日志是开始发现您的Cloud帐户并查找这些帐户中的安全团队感兴趣的异常活动的最佳方法。使用这些机制可以很容易地从各种帐户访问数据,而安全团队不需要做更多的事情就可以对组织中的多个帐户进行交叉帐户访问。该方法提供了很好的可见性,但需要用保护方法进行补充。

映像和快照分析是在应用程序启动之前和运行时获取工作负载的更深入数据的好方法。通过这种方法,可以分析正在运行的系统磁盘的映像/快照,以检测任何异常,漏洞,配置事件等。快照可提供工作负载的深层数据,但可能无法检测到内存驻留问题,例如无文件恶意软件。另外,随着我​​们转移到临时工作负载,定期分析快照的使用可能会受到限制。对于可能无法获取磁盘快照的云服务,该机制可能不起作用。该方法提供了快照的深层数据,但需要补充一些有用的保护方法。

本机代理和脚本是通过提供增强机器上SSM之类的Cloud本机代理的简便方法来实现更深入的可见性和控制的好方法。基于功能,代理可以具有较高的资源使用率。本机代理支持受CSP提供的功能的限制,例如所提供的OS支持/功能。在很多情况下,本机代理运行用于记录所需信息的命令,这意味着我们需要使记录方法并行工作。

DaemonSet和Sidecar容器是一种在Container和无服务器环境中轻松部署代理的方法。Sidecar允许每个Pod运行一个容器,该容器可提供深层数据,但资源使用量和成本很高,因为多个Sidecar可以在单个服务器上运行。Sidecar可以在无容器服务器模型中工作,在这种情况下,DaemonSet容器将无法工作。由于Sidecar和DaemonSet的功能类似于代理的功能,因此此处提到的许多代理限制也适用。

代理方法通过运行与应用程序共存的代码,可以提供对应用程序运行环境的最深的可见性和最佳控制。但是,此方法比较困难,因为安全团队需要事先具有深度发现功能才能部署这些代理。添加代理也存在摩擦,因为它必须在每台计算机上运行,​​并且安全团队无权在每台计算机上运行软件,尤其是在云中。解决方案的资源使用量和成本可能很高,具体取决于所支持的用例。诸如扩展的Berkley数据包过滤器(eBPF)之类的较新技术可减少代理程序的资源使用,使它们更可口,可广泛使用。

内置映像/内置代码方法允许将安全性内置到部署的应用程序映像中。这样就可以部署安全功能,而不必为每个工作负载部署代理。这种方法提供了应用程序的深入可见性,甚至适用于无服务器工作负载。由于必须在构建过程中添加代码,因此在代码中进行编译会增加巨大的摩擦,并且代码库需要在每种应用程序语言中都可用。

CNAPP视频

MVISION Cloud采用多管齐下的方法来保护应用程序安全,并使安全团队能够控制其云环境。

  1. 安全团队通常对他们的临时云基础架构缺乏可见性,而MVISION Cloud通过使用跨帐户IAM访问,然后使用API​​和日志来提供对云环境的可见性,从而提供了一种无缝的方式。
  2. 使用相同的访问权限,MVISION Cloud不仅可以提供对客户环境配置的审核,还可以进行图像扫描以识别工作负载组件中的漏洞。
  3. 然后,MVISION Cloud可以帮助确定针对资源的风险,因此安全团队可以专注于保护正确的资源。所有这些都无需部署代理。
  4. 然后,使用方法,如侧柜,DaemonSet容器和代理商的mVision CNAPP有助于提供深入了解,并通过提供文件完整性监控(FIM),应用程序允许上市(AAL),反恶意软件,运行时脆弱性分析抵御最复杂的攻击的应用程序和执行强化检查。
  5. 使用来自所有来源的数据,MVISION CNAPP可提供针对事件的风险评分,以帮助安全团队确定事件的优先级并关注最大风险。

结论

各种安全方法都有其独特的权衡,没有一种方法可以满足他们支持的各种平台对各个团队的所有要求。

在任何时间点,不同的云服务将处于不同的采用成熟度级别。安全团队需要采取渐进的方法,从服务采用周期开始之初就开始采用易于插入的解决方案,这些解决方案可以提供安全性和可见性的基本防护。随着服务上的应用程序成熟并且更高价值的应用程序上线,将需要一种提供更深入的发现和控制的安全性方法来补充现有方法。

没有一种方法能够满足所有客户用例,并且在任何时候都会有不同的安全解决方案组合处于活动状态。我们正朝着一个更加多样化的安全性方法的世界前进,这些方法必须无缝地协同工作以帮助保护企业的安全。