近年來，隨著云計算市場的發展，不少企業都開始選擇業務上云，并且企業并不只是采用一種云，而是采用多種云相互結合的方式，例如，公有云、私有云、混合云等等。企業采用多云方式已發展為主流趨勢。

然而，業務上云之后也并非一勞永逸。由于云安全策略的制定總是滯后于云服務的使用，存儲在云中的客戶數據的泄露風險也相應增加。國內外的類似安全事件也層出不窮，例如今年，AWS托管的Capital One美國和加拿大1.06億客戶的個人數據發生泄露。下圖比較形象地展示出，云計算還面臨多賬號權限管理、可視化問題以及一系列合規問題。

圖1：云服務使用的理想狀態和現實狀況的差別

由于“云安全”的概念所涉范圍非常廣，本文只針對Gartner提出的比較流行的三類云安全產品進行闡述。Gartner曾提出三大云安全管理工具，分別是CASB、CSPM和CWPP。雖然這三大工具在一些功能上有所重疊，但三者之間更多是起到互補作用。下文首先簡單介紹了三大安全工具在應用場景上的差別，然后介紹了三大云安全工具的詳細應用情況。對于這三類產品不熟悉的讀者可以閱讀后文的詳細內容。

責任共擔與三大云安全工具的應用場景

為了切實解決云安全問題，供應商和企業都需要共同承擔責任，雙方各自負責處于其控制之下的技術。雙方各自需要承擔哪些職責，是由具體場景決定的：本地部署、IaaS、PaaS或SaaS(請參見圖2)：

在傳統的企業級IT場景下，所有基礎架構均在本地運行，企業負責所有安全措施;

在IaaS場景下，云提供商負責保護后端數據中心、網絡、服務器和虛擬化;企業負責保護有效負載，例如操作系統、數據庫、安全性和應用程序。這種情況下，企業要負責保護自己在公有云中運行的工作負載;

而在PaaS這種無服務器場景下，企業則主要負責保護應用程序;

對于SaaS場景，應用程序和數據的安全性全部由服務提供商負責，而訪問安全性則取決于企業及其用戶。

圖2：提供商和企業之間的職責劃分

根據上文對企業和供應商責任的劃分，我們可以針對不同場景選擇不同的安全工具。圖3很好地說明了三大安全工具適合哪類場景。首先從覆蓋面積看，CWPP只覆蓋了IaaS場景，這說明CWPP只適合IaaS服務。而CASB則覆蓋了SaaS、PaaS、IaaS三個區域，但是主要覆蓋面積體現在SaaS上，其應用場景也不言而喻。最后，根據CSPM的覆蓋情況，也可以了解其主要是解決IaaS安全問題，同時能解決部分PaaS安全問題。

圖3：三大云安全工具的覆蓋范圍關系圖

CASB作為部署在客戶和云服務商之間的安全策略控制點，是在訪問基于云的資源時企業實施的安全策略。而CSPM產品通常使用自動化方式來解決云配置和合規性問題。CWPP作為一項以主機為中心的解決方案，主要是滿足這些數據中心的工作負載保護需求，因此，主要適用于IaaS層。

下文將對適用于不同層面的三大安全工具分別進行詳細講解。

云訪問安全代理(CASB)

CASB出現最早是為解決影子資產問題，尤其是隨著SaaS服務的快速發展，從底層硬件資源到上層軟件資源，最終用戶都無法實施控制。而CASB能很好解決此類問題，并且很多用戶在使用CASB產品之后，發現自身企業的云服務數量是他們所認知十倍之多。良好的使用效果，使CASB產品得到了快速發展。Gartner也曾預測，到2022年，將有60%的大型企業使用CASB。

CASB的功能主要是作為SaaS應用程序提供，偶爾也會用于本地的虛擬機和物理設備。在大多數用例中，SaaS交付明顯更受歡迎。CASB核心價值是解決深度可視化、數據安全、威脅防護、合規性這四類問題。

圖4：CASB的四大支柱

(1) 深度可視化—CASB提供了影子IT發現、組織機構云服務格局的統一視圖以及從任何設備或位置訪問云服務中數據的用戶的詳細信息。

(2) 數據安全性—CASB能夠實施以數據為中心的安全策略，以防止基于數據分類、數據發現以及因監控敏感數據訪問或提升權限等用戶活動而進行有害活動。通常是通過審計、警報、阻止、隔離、刪除和只讀等控制措施來實施策略。DLP(數據丟失防護)功能很普遍，并且是僅次于可視化的最常用的一項控制措施。

(3) 威脅防護—CASB通過提供AAC來防止有害設備、用戶和應用程序版本來訪問云服務?？梢愿鶕卿浧陂g和登錄之后觀察到的信號來更改云應用程序功能。CASB此類功能的其他示例包括通過嵌入式UEBA識別異常行為、威脅情報、網絡沙箱以及惡意軟件識別和緩解。

(4) 合規性—CASB可幫助組織機構證明，是組織機構在管理云服務的使用情況。CASB提供了信息來確定云風險偏好并確定云風險承受能力。通過各種可視化、控制和報告功能，CASB有助于滿足數據駐留和法律合規性要求。

CASB可以通過API、轉發代理、反向代理等方式來實現，如下圖所示。

圖5：CASB功能和架構集成模式概覽

云安全配置管理(CSPM)

公有云IaaS和PaaS服務中的高度自動化和用戶自助服務，更加突出了正確的云配置和合規性的重要性。一個錯誤就可能立即暴露出數千個系統或大量敏感數據。云服務的采用率不斷增長，加之平臺服務的數量不斷增加，而云技能(包括安全性)卻相對匱乏，這讓企業信息和工作負載暴露無遺。雪上加霜的是，對程序化云基礎架構缺乏全面了解，這意味著很長一段時間都不會發現配置不正確和不合規問題。這就導致了，即便底層的云提供商基礎架構本身是安全的，但大多數企業都沒有準確的流程、成熟工具或規模來確保安全使用云服務。

CSPM能夠對基礎設施安全配置進行分析與管理。這些安全配置包括賬號特權、網絡和存儲配置、以及安全配置(如加密設置)。如果發現配置不合規，CSPM會采取行動進行修正。如圖6所示，應該將CSPM視為一個持續改進和適應云安全態勢的過程，其目標是降低攻擊成功的可能性，以及在攻擊者獲得訪問權限的情況下降低發生的損害。

由于云基礎架構始終處于變化之中，因此，CSPM策略應該是在云應用的整個生命周期中進行持續評估和改進的一個策略，從研發開始一直延伸到運維(圖6中從左到右)，并在需要時做出響應和改進。同樣，由于不斷提出新的云功能，不斷頒發新法規，云使用安全的策略也在不斷變化。圖6的頂部顯示，CSPM策略應不斷發展并適應新的情況、不斷發展的行業標準和外部威脅情報，并根據在開發和運維中觀察到的風險進行改進。

圖6：CSPM的持續全生命周期方式

云工作負載保護平臺(CWPP)

云工作負載保護平臺(CWPP)市場是指以工作負載為中心的安全產品，旨在解決現代混合云、多云數據中心基礎架構中服務器工作負載的獨特保護要求。CWPP應該不受地理位置的影響，為物理機、虛擬機、容器和無服務器工作負載提供統一的可視化和控制力。CWPP產品通常結合使用網絡分段、系統完整性保護、應用程序控制、行為監控、基于主機的入侵防御和可選的反惡意軟件保護等措施，保護工作負載免受攻擊。(關于CWPP產品市場近幾年來的發展演進，請參考之前的《干貨|CWPP產品市場演進》。)

圖7顯示了現代混合多云數據中心架構中工作負載保護策略的主要構成要素。

圖7：CWPP控制措施層級結構圖

圖7是一個分層金字塔，底部是一個矩形基座。服務器工作負載的安全性源于陰影基礎中良好的運維習慣。任何工作負載保護策略都必須從此處開始，并確保滿足以下條件：

任何人(攻擊者或管理員)都很難從物理和邏輯上訪問工作負載。

工作負載鏡像僅包含所需的代碼。服務器鏡像中應禁止使用瀏覽器和電子郵件。

需要通過嚴格管理流程，才能更改服務器工作負載，并且通過強制性強身份驗證來嚴格控制管理訪問。

收集和監控OS和應用程序日志。

對工作負載進行固化、縮小容量及打補丁，減少攻擊面。

總結

目前，Gartner提出的三大云安全工具CASB、CSPM、CWPP，針對基礎架構中IaaS、PaaS和SaaS層中的不同安全問題，給出了針對性的解決方案。雖然這三大工具不一定能全面覆蓋所有安全問題，卻也為企業在采用云服務時，加強安全控制措施指明了方向，提供了思路，可以更好地針對具體問題制定具體的解決方案。

當然未來，隨著云服務的不斷發展，安全控制措施肯定也會緊跟云服務的發展步伐，為云服務的發展保駕護航。