CSPM 证明在发现问题方面非常有效,但通过基础设施即代码来解决这些问题才是真正的强大之处。
译自 Why You No Longer Need Cloud Security Posture Management,作者 Ido Neeman。
虽然云安全态势管理 (CSPM) 工具随处可见,但它们并非安全云的正确解决方案。
掌控你的云基础设施始于基础设施即代码 (IaC)。安全最佳实践和云配置管理不仅仅是扫描漏洞或错误配置;它们是从一开始就建立可持续、可扩展和安全的云环境。
传统的工具,如云原生应用保护平台 (CNAPP) 和 CSPM,在优化云配置和扫描安全最佳实践方面发挥了重要作用。这些平台背后的云安全公司一直是这一领域的先驱,帮助组织识别诸如公共可访问的 S3 存储桶或没有多因素身份验证 (MFA) 的身份和访问管理 (IAM) 角色等问题,以及其他已知的云陷阱和错误配置,这些都会使你的云和组织面临不必要的风险。
然而,随着云环境变得越来越复杂,CSPM 证明非常擅长发现这些问题,但通过 IaC 来解决这些问题才是真正的力量所在。最终,扫描漏洞并不是目标——它是保持云安全和治理的手段。这意味着我们需要确保我们不会让整个平台工程团队去追逐扫描程序输出的安全工单。
想象一下,你所有的云配置——从强制实施 MFA 的IAM 角色到自动密钥轮换——都通过 IaC 进行管理。它们不仅在今天配置安全,而且将来所做的任何更改都将在部署之前根据相同的安全最佳实践进行验证。这就是让你真正掌控云安全的关键。这只是一个例子。
如果你不修复 IaC 中的安全问题,这些修复将不会持久。你的更改将导致漂移,它们不会被记录或保持不变,并且会超出测试范围。问题的关键在于安全团队依赖平台团队生成 IaC,而像 Firefly 这样的自动化工具可以帮助自动实现这一点。云安全的未来在于 IaC,它是确保动态云环境中一致性、安全性和效率的基石。
在云采用的早期阶段,组织面临着一个重大挑战:管理和保护一个快速扩展且复杂的云环境。传统的安全工具并非设计用于处理云基础设施的动态特性,导致需要填补的差距。这就是 CSPM 解决方案发挥作用的地方。
CSPM 流行起来有几个原因:
- 云资产可见性: 它们为组织提供了对其云资源、配置和潜在漏洞的急需的可见性。
- 自动错误配置检测: CSPM 可以自动扫描云环境以识别错误配置,例如公共可访问的 S3 存储桶或没有 MFA 的 IAM 角色。
- 合规性保证: 通过持续监控和报告合规性状态,它们有助于确保云配置符合行业标准和法规要求。
- 风险缓解: 通过尽早识别安全漏洞,CSPM 允许组织在恶意行为者利用漏洞之前解决问题。
在云采用速度超过组织手动管理安全能力的时期,这些工具至关重要。CSPM 通过提供原本缺乏的自动化扫描和报告功能来满足关键需求。
然而,这提出了一个相关的问题。我们已经使用 CSPM 将近十年了,但我们仍然有如此多的漏洞、错误配置和警报不断出现。这是为什么?因为我们没有处理根本问题。
云如此复杂,并且建立在如此多的移动部件之上,安全 simply can’t be treated only after the fact.我们需要建立一个安全的基线,在部署之前以及作为整个工程团队的共同责任,使用正确的架构和高安全标准的“黄金镜像”。我们还需要在云不符合这些标准时强制更改云。在建立安全基线后,就可以密切监控漂移,然后快速修复它。
随着云技术的成熟,管理云技术的策略也随之发展。组织开始认识到仅仅依赖 CSPM 的局限性——特别是部署后检测和修复问题的被动性质。这种认识促使向基础设施和策略即代码转变。
通过通过代码管理云基础设施,组织可以预防和减轻错误配置、漂移、幽灵资产等问题,而不仅仅是检测它们。这种转变减少了与管理和修复 CSPM 识别的问题相关的开销。
我们不知疲倦地谈论着一切即代码的力量,因为我们真正相信“*-as-code”革命已经影响并发展了每一个工程领域,从系统本身到它们的安全性、可扩展性和治理。
为了重申其好处,IaC 通过版本控制管理您的整个云基础设施,从而获得它为其他工程领域带来的所有相同好处。
在安全方面,这包括:
- 一致的配置:所有部署都遵循预定义的安全最佳实践。
- 自动部署:更改通过 CI/CD 管道进行,降低人为错误的风险。
- 受控更改:最大限度地减少未经授权的手动部署或通过 CLI 进行的更改。
- 漂移检测:更容易监控和纠正配置漂移或未管理的资源。
当您通过代码管理云时,每一次更改都是有意的且可追溯的。安全检查成为部署管道中不可或缺的一部分,确保只有符合要求的配置才能进入生产环境。
即使是最安全的 CI/CD 管道也无法防止所有风险。手动干预、命令行更改或外部承包商的操作可能会引入漏洞。这些更改通常会绕过标准安全检查,导致云环境受污染。
IaC 通过强制执行严格的治理来解决这个问题。由于所有更改都必须经过代码审查和自动化管道,未经授权的修改的可能性大大降低。这不仅增强了安全性,还提高了整体运营效率。
仅仅扫描错误配置是一种过时的做法。十年前,这是一种创新,但今天的云环境需要积极主动的措施。CSPM 工具增加了复杂性——从必须管理工具本身,到解释结果,优先处理它们输出的许多问题,然后,希望能够手动修复它们。
使用 IaC,您可以消除许多这些步骤。安全性从一开始就融入您的基础设施。您不是对问题做出反应,而是防止问题发生。
随着组织努力寻求更高效和更集成的云安全和治理方法,云资产管理正在成为核心解决方案。这些平台扩展了 IaC 的功能,不仅可以管理和配置资源,还可以对现有资产进行编码,检测漂移和错误配置,以及识别云环境中的幽灵或未管理的资产。
像 Firefly 这样的平台通过扫描您的云基础设施来发现所有资产,包括那些可能在您的标准 IaC 管道之外创建的资产——通常被称为“影子 IT”。一旦识别出这些资产,平台就会将它们编码到您的 IaC 框架中,使它们与现有代码库处于相同的治理和管理流程下。这种编码确保所有资源,无论其来源如何,现在都作为代码进行管理。
通过将这些未管理的资产集成到您的 IaC 实践中,这些平台能够持续检测漂移——代码中定义的期望状态与云中实际状态之间的差异。它们会提醒您任何未经授权的更改或错误配置,允许您通过已建立的 IaC 管道快速进行补救。这种持续监控和执行有助于保持符合安全策略和法规标准。