如何选择现代 CSPM 工具来减少云基础设施风险

云安全态势管理解决方案已成为检测和修复公共云中从代码到运行时错误配置的必备工具。

企业现在迫切需要采用公共云服务对业务流程进行数字化转型，但这就要应对基于云的关键漏洞，而传统工具对此无能为力。为了找到并修复这些软件缺陷、错误配置和身份入侵，企业亟需云安全态势管理 (CSPM) 解决方案。

CSPM 产品首次面市已是几年之前，到现在已经历了几个创新周期，是云安全市场上的主导产品。不过，市场噪声可能让安全领导者在评估各种产品时无法区分良莠，这种事在需求增加的技术上经常发​生。

别担心 – 我们会为您保驾护航。

在这篇博文中，我们将解释什么是 CSPM，您应该寻找哪些功能和应该提出哪些问题才能选择正确的解决方案来满足您的云安全需求。

为何采用 CSPM 

多年来，企业就一直在增加对公共云基础设施的使用，但在疫情期间，随着 IT 部门为适应远程工作的增加，这种对公共云基础设施的采用就愈加频繁。

这一趋势的发展助长了对云安全软件的采用，包括 CSPM，它可以自动检测和解决为公共云基础设施开发和部署的应用程序和服务中的安全和合规问题，如配置错误。

最初，CSPM 主要是在运行时环境中建立安全的配置基线并监控这些配置是否发生漂移。这种方法在云基础设施在运行时已被定义和管理的情况下绰绰有余。

但是，现在云基础设施很大一部分是在开发阶段定义和管理的，而且这一趋势预计会进一步加剧，这意味着在开发阶段也会引入错误配置。

因此，随着基础设施即代码 (IaC) 的广泛使用，CSPM 解决方案必须能够“左移”才能在开发过程中而非仅仅在运行时检测并解决错误配置。

现代 CSPM 的三个核心原则

在评估 CSPM 产品时，请确保它们在以下三个关键领域提供相应功能：

保护 IaC 

CSPM 解决方案必须在开发过程中（即编写代码时）扫描 IaC，以检测和解决错误配置，并建立安全的基线。这可以确保预配的云基础设施不存在风险，而且“天生就是安全的”。

要询问的重要问题：

• 支持哪些类型的 IaC 以及哪些合规和安全标准？
• 提供多少预定义的策略？
• 如何确定违规途径以及解决问题的优先级？
• 是否自动生成代码来解决错误配置并创建拉取请求？
• 该解决方案集成了哪些 CI/CD 工具？

在运行时监控基础设施配置

因为用户会在运行时更改配置，从而导致漂移，因此 CSPM 产品必须根据 IaC 基线持续监控运行时的配置来维护安全的环境。

要询问的重要问题：

• 支持哪些运行时环境？
• 该解决方案是否根据通过 IaC 定义的安全基线来确定资源的创建或终止？
• 该解决方案是否根据 IaC 基线中的定义识别出资源配置的更改？
• 该解决方案在运行时是否应用了用于评估 IaC 的同一组策略？
• 该解决方案如何在运行时识别潜在的泄露路径并优先解决问题？

通过 IaC 修复漏洞

CSPM 应该始终将 IaC 作为单一可信来源，因此，如果更改带来了风险，则将基于安全的 IaC 基线重新部署云实例。否则，就需要更新 IaC 以反映此更改并建立新的 IaC 基线。

要询问的重要问题：

• 当运行时中发生更改时，该解决方案是否会自动生成代码来解决问题？
• 该解决方案是否以编程方式使用代码创建拉取或合并请求，以便更新 IaC 并修复运行时产生的漂移？

想深入了解 CSPM 吗？

我们希望这些信息对您选择最适合贵企业的 CSPM 解决方案有所帮助。如果您想深入了解这个主题，请下载我们的电子书“从代码到云漏洞管理：现代 CSPM 指南”，该电子书详细介绍了新一代 CSPM 的功能。

立即下载此电子书！