什么是云安全状态管理 (CSPM)？

组织越来越多地采用和结合多云（来自多个不同云服务提供商的服务）和混合云（结合公有云和私有云基础架构的云）。

利用多云和混合云，各种规模的组织获得了部署最佳应用程序和开发工具、快速扩展运营并加速数字化转型的灵活性。据估计，87% 的组织使用多云环境，72% 的组织使用混合云环境。

但除了这些好处之外，多云和混合云也带来了安全挑战。

安全人员和 DevOps 或 DevSecOps 团队必须管理他们在多个云服务提供商的云中部署的所有云原生应用程序的安全性和合规性。这些组件包括成百上千个微服务、无服务器函数、容器和 Kubernetes 簇。

特别是，基础设施即代码 (IaC) 能够在每个持续集成/持续交付 (CI/CD) 周期中实现 API 驱动的动态配置，使得编程、分发和永久保留错误配置变得非常容易。数据和应用程序容易受到安全事件和网络威胁。

CSPM 解决方案的工作原理是发现组织的云资产并对其编目，根据已建立的安全性和合规性框架持续监控它们。同时，这些解决方案还提供工具和自动化功能，用于快速识别和修复漏洞和威胁。

由于有多个云提供商和分布式云组件，缺乏可见性可能会成为安全团队的一个问题。CPSM 可在组织的混合多云环境中自动发现所有公有云和私有云服务以及所有云提供商（例如 Amazon Web Services、Google Cloud Platform、IBM Cloud、Microsoft Azure）中的所有云服务和应用程序组件及其相关配置、元数据、安全设置等，从而解决这一问题。

CSPM 的持续监控可在部署时实时发现所有云资源和资产。安全团队可以通过单个仪表板监控和管理一切。

CSPM 工具根据行业和组织基准（如国际标准化组织 (ISO)、美国国家标准技术学会 (NIST) 和互联网安全中心 (CIS) 的基准）以及组织自身的基准和安全策略，不断评估配置，从而监控配置错误。CSPM 解决方案通常提供引导式云配置修复，以及自动化功能，可以无需人工干预即可解决某些配置错误。

CSPM 还可监控和修复其他漏洞，如数据访问权限中的漏洞，黑客可利用这些漏洞访问敏感数据。大多数 CSPM 解决方案都与 DevOps/DevSecOps 工具集成，以加快修复速度并防止未来部署中的配置错误。

CSPM 工具还提供持续的合规监控，以帮助组织遵守合规标准。这些标准包括通用数据保护条例 (GDPR)、《健康保险流通和责任法案》(HIPAA) 和支付卡行业数据安全标准 (PCI DSS)。合规性标准还可以帮助识别潜在的合规性违规行为。

除了识别云安全和合规风险之外，CSPM 解决方案还监控整个环境中的恶意或可疑活动，并结合威胁情报来识别威胁并确定警报的优先级。大多数 CSPM 解决方案都与安全工具（例如安全信息和事件管理 (SIEM)）集成，以捕获背景和洞察，从而改进威胁检测和事件响应。

CISPA 是第一代 CSPM，主要旨在报告配置错误和安全问题。CSPM 不仅仅是简单的报告，还可以自动化检测和修复过程。CSPM 解决方案使用先进的人工智能持续监控安全问题，并根据既定的安全最佳实践进行基准测试。

CWPP 跨云提供商保护特定工作量，并允许组织跨多个云环境执行安全功能，重点关注漏洞管理、反恶意软件和应用程序安全。相比之下，CSPM 保护整个云环境，而不仅仅是特定的工作负载。CSPM 还结合了更先进的自动化功能和引导性修复，以帮助安全团队在发现问题后解决问题。

CASB（云访问安全代理）充当云服务提供商与其客户之间的安全检查点。它们帮助执行政策，在授予访问权限之前对网络流量进行监管，并提供防火墙、身份验证机制和恶意软件检测等基本工具。

CSPM 工具可执行同样的监控任务，但还会更进一步，提供持续的合规监控，并制定出策略，概要描述出希望的基础设施状态。然后，CSPM 解决方案根据此策略检查所有网络活动，确保网络符合既定标准并维护安全的云环境。

云原生应用程序保护平台 (CNAPP) 将多种云安全和 CI/CD 安全技术整合到一个平台中，帮助安全、开发和 DevOps/DevSecOps 团队协作开发、交付和运行更安全、更合规的云原生应用程序。

CNAPP 最初被定义为 CSPM、CWPP 和云服务网络安全 (CSNS) 的组合，CSNS 是一种保护网络流量的技术。但根据您询问的对象，CNAPP 可以包含其他几种技术，例如用于持续监控和管理云权限的云基础设施授权管理 (CIEM)，以及用于捕获 CI/CD 周期中的配置错误的基础设施即代码扫描。您可以在 此处阅读行业分析师 Gartner 对 CNAPP 的定义。