- Gartner 的核心观点与挑战
- 关键的云安全技术领域(重点介绍 SASE 和 CWPP)
- Gartner 的云安全成熟度模型
- 如何根据 Gartner 的建议制定云安全战略
Gartner 的核心观点与挑战
Gartner 认为,云安全早已不是“要不要用”的问题,而是“如何用得安全”的问题,企业面临的挑战不再是阻止上云,而是如何在一个混合、多云、分布式的环境中有效管理安全。
(图片来源网络,侵删)
Gartner 指出的几个关键趋势和挑战包括:
- 安全责任共担模型的复杂性:企业越来越难以清晰地界定和履行其在 IaaS、PaaS、SaaS 模式下的安全责任,导致安全盲区。
- 安全团队的技能缺口:传统的网络安全专家缺乏云原生技术(如容器、Serverless、API)的安全知识和经验。
- 配置错误是头号威胁:Gartner 多次强调,超过 99% 的云安全事件与错误的配置有关,而非外部攻击。
- 从边界安全向零信任的演进:传统的基于边界的防火墙在云和移动时代已经失效,必须转向“永不信任,始终验证”的零信任架构。
- 安全与 DevOps 的融合:安全必须从开发流程的末端前移到整个 CI/CD 生命周期中,即“DevSecOps”。
关键的云安全技术领域
Gartner 定义并推广了多个关键的云安全技术框架,其中最核心和最著名的是 SASE 和 CWPP。
A. 访问服务边缘
这是 Gartner 提出的一个革命性框架,旨在将网络功能和安全功能融合到一个统一的、云交付的全球服务中。
- 核心理念:将 网络(SD-WAN, WAN Optimization) 和 安全(SWG, CASB, ZTNA, FWaaS) 融合在一起,用户无论在哪里访问什么应用,都通过最近的 SASE 接入点,获得一致、安全、高性能的体验。
- 主要组件:
- 安全 Web 网关:过滤恶意网站和内容,防止数据泄露。
- 云访问安全代理:监控和保护 SaaS 应用(如 Office 365, Salesforce)中的用户活动和数据。
- 零信任网络访问:取代传统 VPN,对每个用户和会话进行严格的身份验证和授权,无论其位置或设备如何。
- 防火墙即服务:将传统防火墙的功能云化,保护用户流量和数据中心。
- 为什么重要:SASE 是应对远程办公、移动办公、多云环境的终极解决方案,它简化了架构,提升了安全性和用户体验。
B. 云工作负载保护平台
这是专门保护在云中运行的计算工作负载(如虚拟机、容器、无服务器函数)的平台。
(图片来源网络,侵删)
- 核心理念:为云原生资产提供统一、深度的安全防护,覆盖从开发到运行的全生命周期。
- 主要功能:
- 镜像和容器安全:扫描镜像和容器中的漏洞、恶意软件和不合规配置。
- 运行时保护:监控工作负载在运行时的异常行为,防止内存攻击和进程注入。
- 服务器加固:自动修复操作系统和中间件的配置错误。
- 网络分段和微隔离:在云环境内部创建精细化的安全策略,限制东西向流量,防止攻击横向移动。
- 合规性管理和审计:持续监控工作负载是否符合安全基线(如 CIS, PCI-DSS)。
- 为什么重要:随着容器化和 Serverless 的普及,传统的主机安全代理无法有效保护这些动态、短暂的工作负载,CWPP 是保护云应用核心的必备工具。
C. 其他关键技术
除了 SASE 和 CWPP,Gartner 还强调了以下技术:
-
云安全态势管理:
- 功能:自动发现云环境中的所有资产(IaaS, PaaS, SaaS),持续监控其配置错误、权限过大和不合规策略,并提供修复建议。
- 与 CSPM 的区别:CSPM 侧重于基础设施和配置的安全,而 CSPM(有时也扩展为 CSPM + CWPP)现在也越来越多地包含工作负载保护功能,它解决的是“我们有什么?它们配置得对吗?”的问题。
-
云安全信息与事件管理:
- 功能:从云环境(包括 IaaS, PaaS, SaaS)收集日志和事件,进行关联分析,检测威胁和异常行为,并提供告警和响应。
- 重要性:在多云环境下,SIEM 是实现统一可见性和威胁检测的关键。
-
零信任网络访问:
(图片来源网络,侵删)Gartner 认为 ZTNA 是 SASE 的核心组件,它代表了一种全新的安全访问模型,取代了传统的 VPN。
Gartner 的云安全成熟度模型
Gartner 提出了一个五级成熟度模型,帮助企业评估自身在云安全方面的水平,并规划未来的发展方向。
| 级别 | 名称 | 描述 |
|---|---|---|
| 1 | 反应式 | 被动应对安全事件,缺乏统一的云安全策略和工具,安全是开发流程的瓶颈。 |
| 2 | 认知 | 开始意识到云安全的重要性,但工具和流程是零散的,安全团队和开发团队之间有冲突。 |
| 3 | 主动 | 建立了统一的云安全策略和平台(如 CSPM, CWPP),安全开始融入开发流程,但自动化程度不高。 |
| 4 | 预测 | 实现了自动化和编排,安全与 DevOps 高度集成,能够主动预测和预防风险,安全被视为业务的推动者。 |
| 5 | 自适应 | 达到最高境界,安全架构是动态、智能的,能够根据环境变化和威胁情报自动调整策略,实现完全的零信任。 |
大多数企业目前处于第 2 级或第 3 级,而 Gartner 的愿景是帮助企业迈向第 4 级和第 5 级。
如何根据 Gartner 的建议制定云安全战略
结合 Gartner 的框架,企业可以制定一个清晰的云安全战略:
-
明确责任,建立治理:
- 清晰地定义和记录云安全责任共担模型,让业务部门、开发团队和安全团队都明白自己的职责。
- 制定统一的云安全标准和策略,并将其纳入企业的整体安全框架。
-
采用云原生安全工具:
- 优先部署 CSPM:立即解决最紧迫的配置错误问题,防止数据泄露。
- 投资 CWPP:为你的核心应用(虚拟机、容器)提供运行时保护,防止攻击。
- 规划 SASE 路线图:对于远程和移动办公场景,将 SASE 作为网络和安全现代化的核心战略。
-
实施零信任架构:
- 从 ZTNA 开始,逐步取代传统 VPN,确保对所有用户和应用的访问都经过严格验证。
- 推广身份认证、设备健康检查和最小权限原则。
-
推动 DevSecOps 文化:
- 将安全工具集成到 CI/CD 流水线中,实现“安全左移”。
- 为开发团队提供自助式的安全工具和培训,让他们能够安全地构建和部署应用。
-
提升安全团队的云技能:
- 对现有安全人员进行云平台(AWS, Azure, GCP)和云安全工具的培训。
- 招聘具备云原生安全经验的新人才。
Gartner 为云安全领域描绘了一幅清晰的路线图:
- 战略上,要从边界防御转向零信任。
- 架构上,要将网络与安全融合为SASE。
- 技术上,要用CWPP保护云工作负载,用CSPM管理云配置。
- 流程上,要将安全融入开发,实现DevSecOps。
- 文化上,要从被动响应转向主动、自适应的成熟模式。
遵循 Gartner 的指导,企业可以更有效地驾驭云的巨大潜力,同时将风险控制在可接受的范围内。
