Возможно, ваша организация уже пробует услуги в облаке, запускает несколько приложений или полностью переходит в новую эру облачных вычислений. Независимо от того, находитесь ли вы на ранних стадиях или используете все рабочие нагрузки в производстве, вы, скорее всего, уже заметили, что безопасность облачных решений отличается от безопасности управляемых ИТ-отделом центров обработки данных.
Недавнее исследование Gartner показало, что 50 процентов участвующих организаций указали на недостаток внутренних знаний о безопасности «облачных» решений.
Сотрудники служб безопасности пытаются найти правильные решения для обеспечения безопасности в облаке, но рынок развивается слишком быстро, чтобы они могли за ним угнаться. Итак, что же это за термины, которые вы постоянно слышите от поставщиков, провайдеров облачных решений и на учебных курсах по безопасности? На чем вам следует сосредоточиться?
Gartner, Forrester, IDC и 451 Group — одни из самых известных аналитических компаний, которые выявляют и описывают возникающие на рынке тенденции и создают определения для новых технологий. Они придумали такие известные вам термины, как SIEM, CRM и WAF. Но мы хотим познакомить вас с новыми терминами, такими как CSPM, CWPP, CIEM и другими.
Одна из последних категорий, упомянутых в отчете Gartner «Новые технологии: Future of Cloud-Native Security Operations», является CNAPP. Как вписывается этот новый термин? Мы можем рассматривать CNAPP как объединение CWPP, CSPM и CIEM, плюс некоторые другие преимущества. Я знаю, что это не очень полезное определение, поскольку вы, возможно, еще не знаете, что означают CWPP, CSPM и CIEM, верно?
Давайте выясним это шаг за шагом.
CWPP
Все началось с того, что команды DevOps перенесли свои рабочие нагрузки в облако.
Для того чтобы обеспечить безопасность всего рабочего процесса DevOps, руководителям служб безопасности необходимо выполнить несколько конкретных сценариев использования, и именно на это направлены инструменты Cloud Workload Protection Platform (CWPP). Они защищают рабочие нагрузки, обычно предоставляя облачные решения безопасности, которые защищают экземпляры на AWS, Microsoft Azure, Google Cloud Platform (GCP) и других поставщиков облачных решений.
Каковы эти сценарии использования?
- Обнаружение во время выполнения: Предотвращение и обнаружение подозрительного поведения во время выполнения в контейнерах и микросервисах. Автоматизация реагирования на контейнерные угрозы.
- Укрепление системы: Обнаружение аномальной активности внутри Linux-хостов или рабочих нагрузок на базе виртуальных машин, запущенных поверх хоста.
- Управление уязвимостями: Обнаружение уязвимостей ОС и других ОС в образах контейнеров, хранящихся в CI/CD и реестрах, перед развертыванием в производство.
- Сетевая безопасность: Визуализация сетевого трафика внутри контейнеров и Kubernetes и обеспечение сегментации сети на базе Kubernetes.
- Соответствие требованиям: Проверка соответствия контейнеров требованиям и обеспечение мониторинга целостности файлов внутри контейнеров.
- Реагирование на инциденты: Проводить экспертизу и реагировать на инциденты для контейнеров и Kubernetes даже после того, как контейнер исчезнет.
Это те сценарии использования, которые относятся к решению Cloud Workload Protection Platform (CWPP), и то, чем занимается решение CWPP — обеспечение безопасности рабочих нагрузок на протяжении всего жизненного цикла приложений.
CSPM
Когда рабочие нагрузки переместились в облако, а команды DevOps начали предоставлять собственную инфраструктуру, команды безопасности, привыкшие к контролируемой среде в локальных центрах обработки данных, поняли, что их периметр расширился. Таким образом, командам безопасности, отвечающим за защиту облачной инфраструктуры, требуется другой подход. Они также должны быстро адаптироваться к динамичной природе эфемерной инфраструктуры.
Команды, отвечающие за безопасность облачной инфраструктуры, также должны быстро адаптироваться к новой парадигме среды облачной инфраструктуры (неизменяемая инфра, политика как код, идентификация как новый периметр и т.д.).
Как и в локальных центрах обработки данных, специалисты по безопасности должны быть уверены в соблюдении нормативных требований в отношении экземпляров хостов, учетных записей пользователей и конфиденциальности данных. Но отсутствие видимости, чтобы знать, какие активы у них есть в облаке, делает очень сложным отслеживание неправильной конфигурации этих активов.
Cloud Security Posture Management (CSPM) — это решение, которое объединяет различные сценарии использования, направленные на защиту плоскости управления облаком, в основном отслеживая облачные ресурсы и проверяя статическую конфигурацию облака. Некоторые решения CSPM добавляют расширенные возможности, например, обеспечивают устранение последствий.
Кроме того, одним из основных вариантов использования CSPM является проверка соответствия настроек облака лучшим практикам. Наличие готовых рамочных механизмов контроля и эталонов может сэкономить время облачных команд при решении таких задач, как:
- Хранение данных непосредственно в Интернете.
- Отсутствие шифрования в базах данных.
- Отсутствие многофакторной аутентификации на критически важных учетных записях системы.
Получение уведомления о нарушении позволяет командам принимать меры по приоритетному устранению нарушений.
CIEM
Управление идентификацией и конфиденциальность данных также являются важными аспектами программы безопасности облака.
Как уже упоминалось, когда периметром был локальный центр обработки данных, было проще контролировать, кто и к чему имеет доступ. Теперь даже бессерверные функции могут действовать как пользователи, имеющие доступ к данным.
Для решения проблемы нехватки разрешений в облаке существует система управления правами доступа к облачной инфраструктуре (Cloud Infrastructure Entitlement Management, CIEM). С помощью CIEM вы не только будете знать, какие человеческие и нечеловеческие личности могут получить доступ к тому или иному ресурсу, но и какие разрешения они используют ежедневно, а также предлагать изменения в политике для обеспечения доступа с наименьшими привилегиями.
Допустим, у нас есть группа пользователей, которые являются частью проекта. Эти пользователи отвечают за загрузку образов в репозиторий ECR и запуск этих контейнеров в экземплярах EC2, а также за ряд действий по автомасштабированию. Им нет необходимости иметь все разрешения, которые есть у администратора, хотя такой подход может быть самым простым в настройке. Будут ли они удалять VPC? Это не входит в их задачи. Избавление от излишних разрешений — это первый шаг к снижению сопутствующего ущерба от кражи учетных данных.
Наконец, CNAPP
Если вы добрались до этого места, поздравляем! Вы вот-вот раскроете цифру после соединения точек.
Мы говорили, что CNAPP — это комбинация различных вариантов использования, которые относятся к категориям CWPP, CSPM и CIEM, но давайте обратимся к первоисточнику:
«Платформа защиты облачных приложений (Cloud-native application protection platform, CNAPP) обеспечивает больше, чем конвергенция CWPP-CSPM: Существует два важных фактора для CNAPP. Во-первых, поставщики CWPP стремятся к постуре, чтобы обеспечить контекст рабочей нагрузки. Во-вторых, перед CSPM стоит задача обеспечения все большей прозрачности при «углублении» в рабочую нагрузку. CNAPP объединяет CSPM и CWPP, предлагая и то, и другое, и потенциально дополняя их дополнительными возможностями безопасности облака».
Gartner, Inc., Как защитить ваши облака с помощью CSPM, CWPP, CNAPP и CASB, 2021, Ричард Бартли, 6 мая 2021 г.
Мы надеемся, что CNAPP и остальные термины теперь имеют больше смысла, чем когда вы начали читать эту статью.
Заключение
Решения CNAPP будут способствовать сотрудничеству между командами (SecDevOps, DevOps и облачные операции безопасности) путем включения общих рабочих процессов, корреляции данных, значимых выводов и устранения последствий, что уменьшит трение между этими персоналиями.
Настоящие решения CNAPP обеспечат взаимосвязь между различными представлениями о сценариях использования. Совершенно бесполезно иметь красивый пользовательский интерфейс, обеспечивающий сканирование уязвимостей, если вы не обогатите его облачным контекстом того, где хранятся/работают эти образы. Мы не говорим об изолированных инструментах, собранных вместе, чтобы на этом закончить.