数据已成为企业最宝贵的资源。 难怪会有许多坏人试图通过窃取和破坏数据来扰乱企业业务。 数据安全就是保护数据免遭未经授权的用户、恶意破坏数据和数据盗窃。 你可能会问,为什么许多安全公司都在谈论保护应用程序、网络和端点,却较少谈及数据。 原因在于数据与应用程序和系统之间存在着紧密的联系。 除非应用程序和系统免受坏人的破坏,否则数据安全就无从谈起。 数据是新的石油 “这句话解释了应用程序与数据之间的关系。 数据就像原油一样,除非经过提炼才能食用,否则就没有用处。 应用程序处理数据,并以易于使用的方式向用户展示。

SASE 在数据安全方面的作用

请阅读解密 SASE博客,了解 SASE 的概况。 在这个劳动力分布式、跨内部云、公共云和公共边缘分布式部署的世界里,SASE在保护应用程序方面发挥着重要作用。 下文将介绍一些主要的安全问题以及 SASE 如何解决这些问题。 企业为各种业务目的开发或部署了许多应用程序。 所有应用程序可能都不需要访问所有企业数据。 而且,应用程序的所有用户并不需要访问所有应用程序数据。 因此,”最小权限访问 “和 “基于身份的访问控制 “是数据安全的关键。 应用程序不再简单。 开发人员使用许多软件组件–自制的、购买的和开放源码的–使得软件变得复杂和更容易受到攻击。 攻击者往往会利用威胁知识库,尝试利用漏洞来访问应用程序,进而访问数据。 因此,防范漏洞威胁对数据安全非常重要。 应用程序和系统管理最为关键,因为应用程序管理员往往拥有更高的权限。 任何对管理员账户的凭据窃取都会对企业造成严重破坏。 为加强数据保护,需要采用一些安全技术,如采用第二级 MFA、限制用户从不安全/未知地点访问、限制用户表现出异常行为模式等。 企业在多个地点部署应用程序,为分布式员工提供低延迟的用户体验,并确保应用程序能够承受增加或异常的负载。 分布式应用程序的数据也是分布式的。 因此,预计还将分发安全软件,以应对需求的增长和对应用程序的 DDoS 攻击。 SASE 的 ZTNA(零信任网络访问)平台和 NGFW(下一代防火墙)解决了上述安全问题。 因此,SASE 正在成为通过保护应用程序以及实现基于身份的访问和授权控制来解决数据安全问题的关键网络安全要素之一。 有人可能会问 “ZTNA 和 NGFW 是否足以确保应用程序的安全,从而确保数据的安全”。 随着利用公共云的云转型、企业应用的公共边缘,出现了更多的攻击面。 数据安全需要修复这些攻击面。 这就是 CNAPP 的作用所在。

云转型增加了攻击面

由于通用基础架构软件的安全性由云提供商负责,因此对较简单的应用程序进行云转换可减少企业响应。 由此可见,应用程序的开发人员越来越关注业务逻辑,而将琐碎的软件组件交给云提供商负责。 诚然,开发人员只需专注于应用逻辑,而将操作系统、框架、通用服务(如数据库、文件存储、密钥管理、身份验证、授权系统和可观察性系统)的维护和安全修补工作交给云提供商,从而减少了仅限于应用的安全责任,但分布式员工和需要低延迟体验的新型应用正在使应用部署复杂化,从而暴露出更多的攻击面。 图像 为了提供最佳的用户体验,越来越多的应用程序不仅需要跨区域部署在云提供商的多个位置,还需要跨多个云提供商和边缘提供商部署。 此外,越来越多的应用程序按需部署到边缘。 也就是说,只有当附近有客户需要应用程序服务时,才会部署应用程序。 出于成本考虑,不需要在所有边缘部署完整的复杂应用程序。 欢迎使用微服务架构。 应用程序开发人员采用微服务架构不仅是为了提高工作效率,也是为了在边缘部署部分应用程序,将其余部分保留在云中。 下图(为简明扼要起见)展示了基于微服务的应用部署。 在这个任意应用示例中,应用的微服务 1 和 2 部署在边缘,以提供低延迟体验,微服务 3 和 4 部署在云中,用于应用的其他操作。 图中显示了 5 个攻击面点。

  1. 终端客户与前端微服务之间的通信 1 以及跨边缘和云的微服务间通信
  2. 在边缘位置或云位置的微服务之间进行通信。
  3. 应用程序微服务与云/边缘提供商服务之间的通信
  4. 从外部与提供方服务部门进行沟通。
  5. 微服务的内部软件组件

任何全面的安全措施都要解决所有攻击面的问题。 攻击面 (1) 可通过 SASE ZTNA 和 NGFW 解决。 由于分布式计算、微服务架构和使用云提供商服务的应用程序,所有其他攻击面都暴露出来。 由于这主要是由于云/边缘转型造成的,因此 Gartner 定义了一个名为 CNAPP 模型的新类别,以应对这些安全挑战。

CNAPP(云原生应用保护平台)解决攻击面增加的问题

CNAPP 是一种云原生安全模型/技术,它将云安全态势管理 (CSPM)、云服务网络安全 (CSNS) 和云工作负载保护平台 (CWPP) 整合在一个平台中。 通过将多种云安全工具整合到一个平台中,CNAPP 提供了多种优势,例如对整个应用生命周期(从构建、部署到运行阶段)的全面可视性,以及跨多种技术的全面控制。 与 Gartner 创造的其他术语一样,CNAPP 术语也有望为供应商和消费者提供对安全功能/平台能力的共同理解。 让我们来看看 CNAPP 的构成,然后将攻击面点映射到这些构成要素上。云安全态势管理(CSPM):CSPM 功能可让企业了解企业应用使用的来自多个云提供商的所有云资源/服务。 CSPM 还可映射云服务和使用这些服务的应用程序。 CSPM 的最大优势是配置扫描,可检测到任何错误配置。 由于云提供商的服务非常通用,其安全性与配置一样好。 要知道,云提供商的服务是多租户的,企业无法控制其访问权限。 如果配置不当,攻击者就能进入这些服务并窃取和破坏数据。 例如,如果错误地将数据库服务配置为允许任何人访问,就会泄露数据库服务中应用程序存储的企业数据。 CSPM 还可对云服务中的数据进行合规性检查,并为企业提供合规性违规可见性。CSPM 可解决上图中列出的攻击面(4)云服务网络安全(CSNS): CSNS 在应用程序的微服务之间以及微服务与云服务之间提供网络级安全。 其功能与 SASE/ZTNA 类似。 其功能包括 NGFW、WAF、基于身份的访问控制、WAF、API 保护、DoS/DDoS 防范。 CSNS 的动态性不同于传统的网络安全。 由于工作负载是动态的,CSNS 的安全生命周期需要与应用程序的生命周期保持一致。CSNS 可解决上图中的攻击面(2)和(3)。从本质上讲,CSNS 为 E-W 流量提供网络安全云工作负载保护平台(CWPP):CWPP 功能主要检查

  • 通过分析工作负载映像(虚拟机、容器、无服务器)中的漏洞,掌握软件库存、库存版本,并与威胁情报数据库进行核对,以了解软件库存中的任何已知漏洞。
  • 图像中的恶意软件检测和不需要的软件检测,以确保其供应链中没有引入恶意软件。
  • 通过主机入侵防御技术在运行时进行入侵。
  • 使用安全防护技术(如 Intel SGx)进行运行时内存保护。
  • 通过 RASP(运行时应用程序自我保护)保护运行时工作负载

CWPP 可解决上图中列出的攻击面 (5)。 随着 Kubernetes 在应用程序中的普及,上述技术都能在 Kubernetes 上运行。 KSPM(Kubernetes 安全态势管理)与 CSPM 相似,但针对 Kubernetes 进行了调整。 人们迟早会看到 KWPP(Kubernetes 工作负载保护平台)和 KSNS(Kubernetes 网络安全服务)等术语。

CSNS 和 SASE

CSNS 的功能很像 ZTNA 和 NGFW。 这是因为两者都是网络安全技术。 企业希望看到 N-S(南北)和 E-W(东西)交通采用统一的技术。 因此,人们认为 CSNS 功能将由 SASE 提供商提供。 通用 SASE 预计能解决所有与网络相关的攻击面,无论是广域网、Kubernetes 网络、带有服务网格的 Kubernetes 网络、VPC 网络还是边缘网络等。 这似乎是一种趋势,也是一种共识,因为许多 CNAPP 提供商已经不怎么谈论 CSNS 了。

网络安全网格架构(CSMA)

企业面临的最大挑战之一是安全孤岛。 企业习惯于部署来自不同供应商的多种安全功能,以满足内部安全、端点安全、网络安全和云安全的要求。 每个安全功能都有各自的策略管理、可观察性和数据平面。 因此,管理和可视性变得复杂,导致安全配置错误,从而错过或延迟安全事件的检测和响应。 Gartner 创造了 CSMA 术语,作为其安全思想领导力的一部分。 Gartner 认识到,企业需要从不同的安全供应商那里获得多种安全功能。 CSMA 概念旨在满足企业对策略管理和可观察性的单视角需求。 Gartner 定义了一些安全供应商应遵循的原则,以实现多种安全功能的组合。 最主要的原则是,除了 CLI 和 Portal 接口之外,安全厂商还提供 API。 API 优先方法允许企业或托管安全提供商实现单一的综合仪表板,用于策略管理和安全分析。 Gartner 还指出,需要 “身份结构 “来分散用户身份。 如今,企业使用 AD、LDAP、SAML IdPs 和 OIDC IdPs 等技术维护凭证数据库。 尽管拥有一个员工身份数据库没有问题,但从隐私和安全方面来说,维护一个公众用户身份数据库是一个挑战。 将身份数据库和身份检查卸载给分布式身份供应商对企业和终端用户来说是双赢之举。ADI 协会和万维网联盟(W3C)正在制定实现分散式身份结构的通用框架和规范。 尽管 CSMA 并不直接针对实际的安全问题,但这种架构/概念可最大限度地减少安全配置错误,并提供 E2E 可见性,以加快事件检测和响应速度。 SASE 和 CNAPP 正朝着实现 CSMA 的方向发展。 SASE 通过为网络安全策略管理和可观察性提供单一窗口,整合了所有网络安全功能和网络功能。 CNAPP 将所有云安全功能整合在一起。 CSMA 是更高一级的整合,包括 SASE、CNAPP、端点安全、身份识别和其他网络安全技术。

摘要

数据安全需要许多技术,如数据加密、数据管理、数据屏蔽和网络安全。 SASE 是网络安全不可分割的一部分。 云计算和边缘转型以及微服务架构等更新的应用架构暴露了更多的攻击点。 CNAPP 与通用 SASE 结合使用,可应对与新攻击面相关的安全挑战。

  • CTO Insights 博客

    Aryaka CTO Insights博客系列提供有关网络、安全和SASE主题的思想领导。
    有关Aryaka产品规格,请参阅Aryaka数据表。