如何選擇現代化 CSPM 工具來降低您的雲端基礎架構風險

雲端安全態勢管理解決方案已成為在公用雲端中 (亦即從程式碼到執行階段) 偵測和修復錯誤設定的必要條件。

隨著企業渴望採用公用雲端服務以數位方式將業務流程轉型，他們也遭遇到傳統工具無法解決的嚴重雲端型弱點。As organizations eagerly adopt public cloud services to digitally transform business processes, they encounter critical cloud-based vulnerabilities their legacy tools can’t address. 要找到並修復軟體缺陷、錯誤設定和身分入侵，企業需要一套雲端安全態勢管理 (CSPM) 解決方案。

CSPM 產品在幾年前問世，已經歷好幾個創新週期，現在已進入雲端安全市場中的主流階段。不過，就像是一些高需求的技術常見的情況，市場的喧鬧會讓資安主管在評估選擇時難以區分優劣。

別擔心，有我們罩著您。

在這篇部落格貼文中，我們將說明何謂 CSPM、您應考量的功能以及為了選擇最符合您雲端安全需求的解決方案，您應詢問的問題。

推動 CSPM 的秘訣

數年來，企業已大幅增加公用雲端基礎架構的使用，但在疫情期間，由於 IT 部門必須匆忙適應遠距工作的興起，因此更加速了採用的步伐。

這個趨勢也加速了雲端安全軟體的採用，包括 CSPM 在內，它能將偵測與解決安全及合規問題的工作自動化，例如在針對公用雲端基礎架構開發且部署於公用雲端基礎架構中的應用程式和服務錯誤設定。

起初，CSPM 的重點是放在建立執行階段環境的安全設定基準，並監控其是否有偏離的情形。當雲端基礎架構在執行階段定義與管理時，這種方式是足夠的。

然而，現在大部份的雲端基礎架構都在開發階段以程式碼定義和管理，這個趨勢預期還會再成長，也就是說，在開發階段也會產生錯誤設定。

因此，隨著基礎架構即程式碼 (IaC) 使用族群的增加，CSPM 必須能夠「提早執行 (shift left)」，才能夠在開發階段偵測並解決錯誤設定，而不只是在執行階段。

現代化 CSPM 解決方案的三個層面

在您評估 CSPM 產品時，請確保它們能夠提供以下三大方面的功能：

保障 IaC 的安全 

CSPM 解決方案必須能夠在開發階段掃描 IaC，在程式碼撰寫好時偵測與解決錯誤設定，並建立一個安全的基準。如此才能確保雲端基礎架構不會夾帶著風險佈建，而且「天生安全」。

應詢問的重要問題：

• 它屬於何種類型的 IaC，支援哪些合規性及安全性標準？
• 它提供多少預先定義的原則？
• 它如何找出資料外洩路徑以及安排解決問題的優先順序？
• 它會自動產生程式碼以解決錯誤設定並建立推送要求嗎？
• 該解決方案整合了哪些 CI/CD 工具？

在執行階段監控基礎架構設定

由於使用者會在執行階段變更設定、造成偏離，因此 CSPM 產品必須在執行階段持續監控設定，比對 IaC 基準，以維持安全的環境。

應詢問的重要問題：

• 它支援哪些執行階段環境？
• 該解決方案能否相對於透過 IaC 定義的安全基準，找出建立或終止的資源？
• 該解決方案能否找出不同於 IaC 基準定義的資源設定變更？
• 該解決方案能否在執行階段中套用評估 IaC 所使用的相同原則集？
• 該解決方案如何在執行階段中找出潛在的資料外洩路徑，並安排解決問題的優先順序？

透過 IaC 進行修復

CSPM 應隨時參照 IaC 作為單一事實來源，因此當變更帶來風險時，雲端執行個體會根據安全的 IaC 基準重新部署。或者它會更新 IaC 以反映此變更，並建立一個新的 IaC 基準。

應詢問的重要問題：

• 在執行階段進行了變更時，該解決方案會自動產生解決問題的程式碼嗎？
• 該解決方案能否以程式化方式建立提取或合併程式碼的要求，藉此更新 IaC 並修復執行階段中產生的偏離？

我們希望在您選擇最適合貴公司的 CSPM 解決方案時，這些資訊會對您有幫助。