雲端平台的組態管理

16 min readApr 16, 2022

CSPM(Cloud Security Posture Management)如何幫我們管理多雲帳號的組態設定管理．

簡介

公有雲的廣泛採用提升了企業的敏捷性和創新的程度，同時從根本上改變了企業生態系統。大型企業現在橫跨多個公共雲和私有雲來運作，並使用無數雲服務。除了雲端服務商(以下簡稱CSP)以創紀錄的速度發布新服務和功能外，雲端用戶還需要應對來自不同監管單位的複雜合規要求。複雜度因此迅速增加，追踪保護每項雲端服務所需的所有設定和配置變得令人難以置信的多。

由於缺乏對不斷變化的雲端配置/設定的可見性和控制，雲端資料洩露極為普遍也就不足為奇了。在過去幾年中，由於雲端基礎設施的配置/設定錯誤，近 200起資安事件中暴露了超過 300 億筆客戶記錄。幾乎所有對雲端服務的攻擊都包括利用組織所犯的各種錯誤配置/設定。在最近的 2020 年 Verizon 資料洩露調查報告中，只有駭客行為在資料洩露來源中的排名高於錯誤的雲端配置/設定。

雖然CSP努力保護他們的服務，但大多數的公司缺乏有效使用它們的必要流程或工具。很多公司的一些最大的雲端資安事件是由於簡單的配置/設定錯誤而發生的，像是把 AWS S3 開過多的權限。 Gartner 估計，到 2025 年，至少 99% 的雲端資安事件將是“客戶的錯”，而無法控制公有雲使用的公司中有 90% 將不當洩漏敏感資料。隨著 COVID-19 大流行進一步加速企業向雲端的遷移，資料洩露的規模和速度只會繼續增加。

本文涵蓋了企業今天在其雲端環境中面臨的安全挑戰、哪些方法可以降低這些風險，以及為什麼雲端安全組態管理 (CSPM — Cloud Security Posture Management) 是最有效地應對這些挑戰的解決方案。

雲端運算的安全挑戰

雲端運算永遠改變了 IT 環境。啟動IT基礎設施所需的時間已大幅減少，使企業能夠在一眨眼之間部署應用程式。雖然雲端運算顯著簡化了配置 IT 資源的過程，但它也增加了“人為錯誤的可能性”。

雲端運算的本質是:動態的、軟體定義的．而這樣的特性導致了與傳統的地端機房完全不同的變化頻率。過去僅存在於地端機房的配置現在作為軟體層完全存在於雲端中 — 允許我們能即時調整設置。在基於雲端的世界中，只需簡單的點幾下滑鼠即可輕鬆變更一切，“但同時也很容易配置錯誤”。

最大的雲端安全挑戰之一是環境的絕對複雜性。每個主要的CSP都提供了一堆的服務，涵蓋運算、存儲、資料庫、分析、網路、移動、物聯網、安全等等。 451 個研究的雲端價格指數追踪了來自 AWS、GCP、Azure、阿里雲和 IBM 的 140 萬個 SKU產品。

在三大CSP(AWS/Azure/GCP)中，有數百種不同的服務、子服務、區域(Region)、可用區(AZ)和配置選項。雖然不同的CSP提供的服務在很多方面都相似，但它們並不完全相同。在它們中的每一個中，都有許多獨特的設置、細緻的配置/設定和特定的授權政策(Authorization policies)，這使得確保環境滿足適當的安全性和合規性要求變得非常困難。

而為了保持競爭力，CSP不斷推出新服務與新功能。例如，AWS 現在在全球 24 個Region內的 77 個AZ提供超過 175 項服務，和 2018 年只有 140 多項服務。到 2020 年為止，AWS 已經宣布了 1000 多項重大服務更新並推出了近十項新服務，並且每年還在持續更新，讓大家都難以跟上。

對於習慣於地端機房的相對靜態特性的IT管理人員來說，這種變化速度令人眼花繚亂。導致雲端基礎設施的絕對複雜性可能配置錯誤。如果不被發現，一鍵式錯誤很容易升級為嚴重的資料洩露。另外確保資訊安全的任務在多雲的環境中變得更加困難，這將迅速成為許多公司的常態。

多雲環境

如今，企業越來越多的使用各種雲端運算組合，即它們同時利用多個公有雲和私有雲。根據 Flexera 的 2020 年雲端狀況報告，大多數公司(93% 的企業)都採用多雲策略。平均而言，他們使用 2.2 個公有雲和 2.2 個私有雲．

有幾個原因導致企業對多雲部署的興趣顯著增加。企業採用多雲來提高敏捷性，利用單項優勢的解決方案，提高成本效率，實現更好的服務區域的地理覆蓋，並通過選擇增加靈活性。除了核心的雲端優勢之外，多雲策略還可以幫助減少vendor lock-in的狀況並確保在CSP服務中斷的情況下企業的業務能正常運行。例如，使用多個CSP可通過將流量和服務分散到多個雲端上來最大限度地減少 DDoS 攻擊的影響，從而消除出現單點故障的風險。 Gartner 預測，到 2024 年，多雲戰略將減少三分之二的企業對CSP的依賴。

憑藉多雲戰略的所有優勢，它也帶來了嚴峻的挑戰。多雲架構會很複雜，因此更難管理。由於缺乏跨不同主機的可見性和跨多個CSP的服務，以及CSP之間類似服務配置的顯著差異（例如，AWS EC2 與 Azure instance，或 AWS EKS 與 GCP GKE），環境變得更加難以保護。

人類的缺陷

使用 IaaS/PaaS 的企業在任何特定時間平均至少有 14 個配置/設定錯誤的服務在運行，導致平均每月發生約 2,300 起雲端配置錯誤事件。部分問題在於，許多企業仍然“缺乏足夠的雲端專業知識和技能”。由於雲端環境變化如此之快，因此能夠永遠一直跟上新服務中精通安全配置的專家成為一項挑戰。但更戲劇性的問題出現在“左移(shift left)”方法的實施中。

總體而言，這是一種很好的做法 — — 我們試圖在 SDLC 中更早的解決問題，因此，我們將更多的控制權交給了IT或開發人員。因此，大型企業現在有數十、數百甚至數千名IT人員在其雲端環境中運行。他們每個人都在進行變更、部署基礎設施和配置服務。然而，由於他們大都不是資安專家，而IT人員通常會採取阻力最小的方式來啟動和運行新服務，這可能會導致錯誤。

更糟糕的是，IT人員現在可以在流程開始時進行配置變動，而IT人員也不用清楚地了解他們的行為可能如何影響下游的基礎設施。由於雲端中的一切都是相互依賴的，這很快就會導致偏離安全和合規的環境。現實情況是，只需要在權限策略中放錯一個misplaced wildcard或一次的滑鼠點擊錯誤就會引起資安風險。

雲端的配置錯誤是資料洩露中兩個最常見的初始威脅向量之一。 IBM X-Force Threat Intelligence Index 2020 報告稱，由於配置錯誤而暴露的記錄同比增長近 10 倍，佔 2019 年被洩露記錄總數的 86%。據估計，由於雲端配置錯誤導致的洩露的平均成本增加超過 50 萬美元，達到 441 萬美元．

大多數違規行為涉及錯誤配置的 AWS S3 bucket，但也發生在 MongoDB 或 Elasticsearch insatnce等資料庫中。 AWS S3是最流行的雲端存儲工具之一，適用於從server logs到客戶資料的所有內容。可以公開存取 S3 bucket合法的使用案例— — 就像在網站上託管面向一般消費者的網站時一樣。但在大多數情況下，它們應該保持私密並且有加密。

近年來，由於許多備受矚目的資料洩露事件影響了Uber、FedEX、Adidas、Shopify、Accenture甚至美國國防部等，S3 bucket引起了很多關注。所有這些違規行為都有一個共同點 — — 管理服務的管理員錯誤地配置了一些安全設置，讓它公開在網路上。雖然並非每一次資料洩露都是由於配置問題而發生的，但這個因素很普遍，並且通常在cyber kill chain中發揮關鍵作用。

共同責任模型

在這些資料洩露事件中，從技術上講，CSP並沒有過錯 — — 如果家裡的大門都一直沒有上鎖，哪製造大門的廠商是不用對闖空門的事負責。雲端中的安全性是客戶與 AWS、Azure 或 GCP等CSP之間的共同責任。它要求客戶保護雲端中的一切，而CSP則確保雲端本身的安全。

換句話說，CSP負責保護底層基礎設施，而基礎設施層之上的幾乎所有東西都需要客戶來負責處理。

這意味著雲端客戶負責正確配置他們自己的客戶OS、Database和應用程式。客戶應該關注網路流量安全、OS和防火牆配置、應用程式安全、patch、IAM，以及最關鍵的客戶資料的安全等領域。無論使用哪種雲端服務，我們都有責任保護自己在這朵雲中的空間。

不斷成長的合規需求

由於個人資料、財務資料和其他敏感資料可能受到嚴格的合規性法規的約束，使用公有雲服務會帶來許多合規性挑戰。將資料遷移到雲端並不排除企業實現和保持對不同地區和行業的監管要求、認證和框架的合規性。主要的公有雲CSP支援一般性的合規框架，例如 HIPAA、GDPR、PCI-DSS、NIST 等，但通常預設是不提供的。

為了遵守法規，企業需要了解並以特定方式部署具有特定配置的雲端服務。每個合規標準都有自己的一套規則和指南，並且必須配置為組織正在使用的任何雲端運算。此外，監管環境一直在變化 — 許多新標準已經在雲端中產生，例如 CIS benchmarks。保持合規性成為一項永遠不會停的工作。

總而言之，企業最終面臨著多方面的挑戰。眾多雲端服務及其配置選項，再加上數百名IT人員和不斷變化的監管環境，很快就會導致”配置混亂”。此外，雲端運算的變化速度如此之快，以至於錯誤幾乎是不可避免的。

解決方案

以下有幾種方法可以解決這些雲端基礎架構的資安挑戰：

人工稽核

如果我們剛開始使用雲端並且沒有用太多的雲端服務，則可以人工稽核我們的雲端基礎架構。但是，總體而言，雲端環境已經變得過於龐大和複雜，以至於絕大多數的企業不可能依賴關於人工稽核。人工方法根本無法跟上雲端不斷變化的本質。任何人工稽核過程都會很快變得不堪重負，並耗費稽核人員上百小時的時間。

例如，即使只配置 5個雲端服務，每個服務都具有不同細緻度的授權策略，跨多個雲端帳號、不同應用程式和合規性的背景脈絡也非常困難。然後，如果我們使用多個CSP，則要追踪的設置/設定太多。在這樣的環境中發現錯誤配置就像試圖在大海撈針，更糟糕的是，這根針還會不斷的飄。即使我們可以全部追踪它們，手動修復它們所需的時間仍然會讓我們長時間暴露在資安風險中。

使用腳本式的稽核

由於人工稽核無法跟上不斷增長的雲端足跡，企業需要自動化工具來應對這些風險。許多團隊開始根據行業的最佳實踐編寫稽核流程。一些公司自己寫腳本來稽核，其他公司可能使用開源工具，例如 CHEF 的inspec(這種開源軟體)。通過確保持續遵循相同的稽核過程，這些工具在檢測基礎設施弱點方面要好得多。

雖然這種方法為組織節省了大量時間，但維護和變更管理仍然是一個大問題(如果用CHEF的商用版就不太有此文提)。我們需要整個團隊來運作它、稽核結果並實施變更。它尤其不適合大型企業規模，因為在擁有許多雲端帳號的大型組織中，我們必須集合各個腳本統一管理並提供高階管理者(例如CIO/CISO)可見性和保留稽核的歷史資料。

CSP提供的工具與功能

為協助組織終結雲端運算的共同責任模型，所有主要CSP都提供一個security hub，提供客戶一個資安的全面視角，例如 AWS Security Hub、Azure Security Center和GCP的 Security Command Center。雖然這些產品以及附加到某些服務的安全功能可以幫助組織加強其雲端的組態安全，但它們的範圍有限。它們解決了基本的資安要求，並且不提供跨所有雲端環境的單一操控平台。

CSP的方法之一是使可見性和一些基本的安全配置更容易，但避開了更高階的安全控制。此外，內建的安全工具會將我們鎖定在一個特定的CSP上。

這些方法中的每一種都有一定的局限性，並且不能提供完全的可見性、自動化和補救措施來有效地解決問題，尤其是在大規模的雲端環境上。需要一種更全面和一致的方法。安全的雲端配置必須是一個動態和連續的過程，並且還要能自動修正。

為了滿足不斷變化的雲端環境的需求，擁有數百名IT人員不斷將新代碼發佈到生產環境中的企業應該尋找完全自動化的雲端安全和合規保證解決方案。這就是CSPM(Cloud Security Posture Management)概念發揮作用的地方。

什麼是CSPM

CSPM是一種相對較新的雲端資安類別，主要在解決雲端基礎架構中的配置和合規風險。 CSPM 的概念是使組織能夠進行自動化搜索、評估和修復跨多個CSP帳戶的安全性配置問題和差異。這種方法可確保我們在任何時刻都擁有一致、安全且合規的雲端基礎架構。

CSPM 術語是由 Gartner 創造的，根據Gartner的描述，“CPSM 產品基於一般性框架、監管要求和企業政策來進行雲端基礎設施風險的預防、偵測、回應和預測達到持續性的管理雲端風險。 CSPM 產品的核心是主動和被動地發現和評估雲端服務配置（例如網路和存儲配置）和安全設定（例如帳戶權限和加密）的風險/信任”。

CSPM是如何作業的

與host-nased的安全工具不同，CSPM 解決方案是在CSP的control plane level運作，並利用來自CSP底層的 API。這提供了對雲端服務配置的獨特可見性，以自動驗證跨Region和帳號的數百個設定。通過這種方式，CSPM 工具可以根據最佳實踐、策略和合規性框架評估當前的安全狀況，並幫助偵測以下問題：

• 配置錯誤的public bucket

• 預期外的Public access權限的VM和Database

• 跨雲端服務的encryption in transit and at rest

• User policy definitions以確保對資源的least-pridilged access

• 對防火牆規則、日誌記錄或帳號設定等關鍵資源的變更

在計畫外的CSP的其他Region啟用雲端資源

CSPM方案的關鍵要素

多個雲端的可見性

大多數企業對其雲端的部署和服務沒有全面的可見性，而全面的可見性對於追踪錯誤配置至關重要。幾乎所有一定規模的企業組織最終都會使用多個CSP，無論是出於設計還是由於業務的演變（收購、業務區域的延伸、特殊服務等）。與原生CSP的工具相比，CSPM 提供跨所有環境的單一管理平台的可見性，包括多個雲端、區域和服務，無論我們使用多少，都可以在一個統一的平台的得到這個可見性。

自訂修正

只獲得有關可以識別錯誤配置的告警和報告是不夠的，企業必須能夠做出回應並採取行動進行補救。由於現代雲端運算環境具有大量的配置與設定，手動修復它們需要花費大量的時間，因此自動化是關鍵。 CSPM 方案應該能夠提供不同等級的自動化，例如修復指引和自動修復，並且理想情況下，包括能有一個自我保護基礎設施的選項。

合規報告

CSPM 為常見的合規性框架和標準提供報告，例如 PCI-DSS、HIPAA、AWS Well-Architected Framework、GDPR、CIS benchmark、NIST 和 ISO27001，以及各種組織內部的合規性要求。組織應該有機會按區域、CSP的服務類別（例如，AWS EC2、GCP Cloud storage）、嚴重性等級，並且能夠根據這些資訊產生能夠客製化的報告。

Aqua 的CSPM解決方案

Aqua CSPM 是一種雲端安全稽核、監控和修復的解決方案，它可掃描我們的整個公有雲的基礎架構以發現潛在的安全風險，包括錯誤配置、惡意 API call 和內部威脅。每次掃描時，它都會通過CSP底層的 API 安全地連接到我們的雲端帳號，收集必要的資料，然後檢查是否存在潛在風險和錯誤配置。對於每個配置，Aqua CSPM 都有一個插件(plugin) — 一個檢查此特定設置並將其與相應的最佳實踐進行比較的軟體，並在配置錯誤的情況下提供修復步驟。

Aqua CSPM的主要功能

跨整多雲基礎架構的可見性
Aqua CSPM 可以進行持續性的稽核我們的雲端帳號，以發現數百個配置設置和合規性的最佳實踐中的安全風險和錯誤配置，從而為 AWS、Azure、GCP 提供一致、統一的多雲安全。

通透性
Aqua CSPM 會維護與更新雲端安全最佳實踐的資料庫，並在未遵守時發送告警。根據 Aqua 專家開發的新的安全配置最佳實踐，這個資料庫會不斷的更新。

自動化與半自動化修正
Aqua CSPM 不僅可以偵測配置問題，還允許我們持續且有效地修正這些錯誤，提供多個等級的控制（協助/手動/自動）。我們可以獲得詳細的、可操作的修正建議和告警，或者選擇對錯誤配置的服務進行自動修正，並對所選的修正進行更精細的控制。因此，Aqua 提供自我保護功能，以確保我們的雲端帳號不會偏離合規性。

廣泛的合規性報告
Aqua CSPM 支援大多數的產業標準和框架，例如 PCI-DSS、HIPAA、AWS Well-Architected Framework、CIS Benchmark、GDPR、SOC2 Type 2、ISO27001、NIST，並允許我們為特定類型的檢查和條件進行客製合規性要求的報告。

Control plane的及時事件監控
有時只有掃描是不夠的，有些事件是需要及時通知的，例如關閉 MFA功能或其他特定的安全性操作。借助 AWS CloudTrail 的強大功能，Aqua 及時分析每個有支援的 API call是否違反資安的最佳實踐、潛在危害或惡意活動。通過提供對所有雲端的control plane API call 的可見性，它使團隊能夠在每分每秒的重要時獲得有關某些 API 活動的告警。

專為企業規模打造
Aqua CSPM 通過其內建的 IaC 掃描引擎幫助保護我們的infrastructure-as-code templates。我們可以在部署基礎設施之前檢查 Terraform 和 AWS CloudFormation 的template是否存在安全性問題。在 CSPM 中應用這種“shift left ”方法可以降低生產環境中的風險和資安事件。

可擴展的開源架構
Aqua CSPM是基於CloudSploit開源項目，核心架構開放，整個掃描引擎都是開源的。它提供了對雲端帳號測試的why、what 和how的完全透明性（我們可以在相應的 GitHub 頁面上查看所有plugins），使我們能夠輕鬆開發新的plugins以解決任何雲端服務中的特定問題。

結論

隨著企業快速遷移到雲端運算，了解獨特的雲端安全挑戰對於管理組織的營運風險至關重要。然而，許多組織都在努力尋找合適的工具來充分解決這些問題。動態的雲端環境不斷增加其複雜性和當前的變化速度使得手動配置無效，並且在大規模上是不可能的。在這種情況下，CSPM 對於解決 cloud stack中的安全問題變得至關重要。

借助 Aqua CSPM，組織可以持續監控和管理跨多個雲端基礎架構的安全狀況，並偵測其雲端帳號中的數千個威脅。為了擴大 CSPM 工具的優勢，必須將其融入我們更大的雲原生安全策略中，該策略涵蓋從基礎架構到工作負載的整個技術堆棧(technology stack)。

保護現代化敏捷環境需要一種整體方法。這意味著在整個應用程式的生命週期中嵌入安全性：從一開始就在構建的過程中以及在運行時的環境中。通過將針對 VM、container和serverless的雲端工作負載保護與雲端基礎架構最佳實踐相結合，我們可以在所有雲原生部署中實現full-stack security。