将战斗转移到云端

这是我们网络安全系列文章的第三篇，之前的文章包括《揭秘网络安全格局》和《终端时代》。在本报告中，我们将深入探讨当今的云安全格局及其未来展望。

• 自 21 世纪初以来，科技领域最大的利好因素之一就是云计算的普及。云迁移是一个循序渐进的过程，大多数大型组织都在缓慢地转型其基础设施。新冠疫情加速了这一转型。从 2018 年到 2021 年，公共云收入从320 亿美元增长到超过4000 亿美元。
• 从历史上看，云迁移的最大障碍之一是需要费力地彻底改革企业现有的安全和网络设置。
• 过去十年，新的工作负载迁移至云端的速度飞速提升。随着云计算的普及，企业能够以前所未有的速度构建和扩展业务。然而，云计算的广泛采用也带来了一个弊端：由于云端运行的工作负载类型远多于本地部署，因此攻击面也随之增大。
• 2021 年，IDC 估计，到 2025 年将构建7.5 亿个新的云原生应用程序。云工作负载安全现在已成为CISO 优先考虑的事项。
• AWS 和 Azure 等主流云提供商采用共享责任模式运营。这些服务提供工具帮助客户保护其云环境，但最终由客户负责确保这些工具的正确使用。这种配置及其最佳实践可能非常复杂，因此云配置错误往往是导致安全漏洞的主要原因。
• 这一动态推动了对云安全解决方案的需求快速增长。据估计，2022年云基础设施安全支出约为1720亿美元。Gartner估计，至少到2023年，超过90%的云安全故障将是由于客户未能采取适当的云安全措施造成的。
• 在Gartner的网络安全支出预测报告中，云安全被列为增长最快的网络安全领域，Lacework、 Wiz和Orca等公司均在云安全领域取得了显著进展，其中Wiz的年度经常性收入（ARR）在18个月内就达到了1亿美元。与此同时，各大云服务提供商正在捆绑云安全产品，这引发了人们对独立解决方案潜力的质疑。
• 当前的云安全格局包括一些公司正在开发云工作负载保护 (CWPP) 和云安全态势管理 (CSPM) 等功能。然而，当前的云安全模式主要围绕将传统安全框架迁移到云端（即识别漏洞、确定信号优先级并触发警报），这导致了警报疲劳。
• 60%的违规行为源于已知漏洞。云安全的未来将经历一场范式转变，这与DevSecOps 的“左移”理念紧密契合。随着开发人员和安全从业人员之间的紧密联系，市场将从以安全为导向的开发模式转变为以开发人员为导向的安全模式。
• 安全性正在从集中式结构转向嵌入式安全性，开发人员越来越多地被要求承担其工作量的责任。

过去几年，网络安全生态系统日益碎片化。本报告是 Contrary Research 网络安全系列报告的一部分，旨在揭秘这个复杂的生态系统。

在我们之前对该主题的深入探讨中，我们首先从宏观角度审视网络安全，并分析其更广泛的发展态势，为读者提供一个理解该行业的框架。我们的第二份报告涵盖了端点安全及其相关行业，例如安全运营和 SIEM 平台。我们还介绍了生态系统中值得关注的新兴初创企业。在第三份报告中，我们将深入剖析相对较新且仍在不断变化中的云安全领域。在本系列即将推出的最后一篇文章中，我们将深入分析身份在快速变化的数字环境中所扮演的角色。

正如我们在之前的报告中所讨论的，网络安全在过去三年中已成为企业高管的首要任务。展望2023年，安全仍然是企业关注的重点，紧随其后的是云迁移。

资料来源：ETR Research

Gartner最近的一项调查显示，网络安全是新支出的首要任务，66% 的 CIO 指出，网络和信息安全是 2023 年增加投资的首要领域。同样，BCG 最近的一项分析表明，虽然服务器基础设施和 ERP 等类别的支出正在减少，但云服务和安全基础设施的预算却增加了 26-33%。

资料来源：BCG；买家调查 5.0，2022 年 12 月

有证据表明，企业高管认为网络安全支出与云计算的持续投资息息相关。尽管云计算支出已大幅增长，预计到2023年将从2022年的4900亿美元增长到5920亿美元，但云计算的普及仍处于起步阶段。2021年，仅有约30%的新增数字工作负载部署在云原生平台上。预计到2025年，这一数字将增长到约95%。云计算的持续快速普及为企业带来了一个全新的攻击面，值得企业担忧。

云计算是指利用云技术按需提供计算服务，涵盖计算能力、存储和应用程序。云服务提供商和云服务消费者共同承担以下责任：

• 基础设施即服务 (IaaS)是一种通过基于 IP 的连接交付服务器和存储等基础设施的方法，作为按需服务的一部分。客户无需购买硬件和操作系统，而是通过外包的按需模式采购这些资源。IaaS 服务的常见示例包括 Amazon Web Services (AWS)、Microsoft Azure 和 Google Cloud (GCP)。其他一些工具（例如HashiCorp Terraform）则用于从云提供商处调配基础设施资源。
• 平台即服务 (PaaS)用于创建通过互联网交付的软件。例如应用服务、Azure 搜索、AWS Elastic Beanstalk 和 Heroku。
• 软件即服务 (SaaS)涉及向客户授权应用程序。许可证通常采用即用即付模式或按需模式。SaaS 是 Microsoft Office 365、Salesforce、Dropbox 等产品的常见产品。

来源：网络漫步

AWS 和 GCP 等公有云提供商提供服务器等物理基础设施，然后将计算能力以服务的形式提供给各种不同的客户。云提供商最初兴起时，由于资源共享和数据控制权的丧失，安全问题随之而来。这成为许多组织采用云解决方案的主要障碍。

随着时间的推移，IaaS 提供商开始负责保护基础设施的各个方面，包括硬件、网络和物理设施。虽然 IaaS 提供商会支持某些安全参数，但像 AWS 这样的服务的客户最终要负责确保其环境的安全。云安全供应商通常关注 IaaS 服务的正确配置（例如，缺少身份验证并意外向互联网开放的数据库，或需要复杂策略配置且经常意外暴露的AWS 服务）。

云安全供应商主要关注公共云计算系统上的数据、应用程序和工作负载的安全。云安全广泛涵盖用于保护并确保客户和云提供商能够降低云风险的流程、策略和机制。客户专注于确保以下几类安全：

• 身份：正确的身份验证和授权
• 应用程序：确保正确的威胁情报和漏洞测试
• 数据：安全且加密
• 工作负载：深度数据包检测
• 网络：加密流量和下一代防火墙的分析

许多云安全公司拥有广泛的产品平台，使其能够应对多个攻击面。此外，各公司采取了不同的方法来应对云安全问题。许多云安全领域的巨头都采用了“扫描”方法。这些扫描工具会审查云资源和应用程序，寻找漏洞。其他一些公司则更加坚定地支持“左移”运动，授权开发人员从一开始就发布更安全的产品。

需要明确的是，许多平台都会举例说明，其产品除了利用扫描功能外，还强调左移，因此这些细分市场并非互斥的。例如，Orca Security 利用侧扫技术来了解云工作负载。然而，其平台也支持安全性和合规性检查，以便开发人员检查可能存在的配置错误。更广泛地说，一些平台更注重将开发人员作为安全生命周期的一部分，而另一些平台仍然专注于传统的安全运营团队。

共担责任模型

在公有云提供商出现之前，企业需要自行搭建物理服务器和数据中心。这不仅赋予了他们完全掌控自身数据的权力，也让他们必须承担自身所有安全责任。云技术的采用催生了一种责任共担的模式，云供应商承担客户的各项安全需求，而客户则直接与云安全供应商合作，以满足他们可能遇到的其他安全需求。

通常，公司会与云安全提供商合作，以保护应用程序、工作负载和数据的安全。云提供商负责管理平台在网络、容器、运行时和隔离方面的安全性和合规性。

随着云提供商寻求在安全领域发挥更积极的作用，其对云安全的参与程度可能正在发生变化。例如，在2022年12月的AWS re:Invent大会上，亚马逊宣布了涵盖云原生应用程序保护 (CNAPP)、身份和访问管理 (IAM)、扩展检测和响应 (XDR) 等产品类别的安全产品或服务。同样，微软也一直高度重视安全。2023年1月，微软宣布其安全业务收入已超过200亿美元。该公司是这样阐述其立场的：

但就目前而言，云安全市场仍然足够大，云提供商、现有的安全平台和新时代的云安全初创公司能够利用许多公司在迁移到云端时需要保护工作负载所带来的市场顺风。

云安全的驱动因素

历史上，安全是由物理网络驱动的。公司会在公司系统周围设置防火墙，以保护其物理本地服务器的安全。云环境的优势在于，它们没有这些限制因素，尤其是在居家办公和自带设备办公 (BYOD)政策日益普及的今天。客户、供应商和员工可以从全球任何地方访问数据。随着应用程序通过 API 集成度不断提高，基于云的应用程序的可访问性也变得普遍。为了有效地建立云安全框架，从业人员必须意识到一些导致云安全风险的因素：

• 网络攻击
• 数据丢失
• 网络攻击和破坏
• 配置错误
• 普遍存在的技术弱点
• 恶意软件
• 高级持续性威胁
• 内幕曝光
• 访问管理不足
• 研究不足

为了应对这些不同的因素，安全平台围绕着一系列不同的核心能力构建而成。每项功能都针对云中的不同风险，包括整体安全态势、工作负载保护以及对不同类型基础设施的访问和授权管理。

2021年5月，Gartner发布了一份报告，其中提出了一系列类别来描述云的多面性。这些类别有助于阐明许多云安全供应商的不同方面以及它们所针对的安全堆栈的各个部分：

• 云安全态势管理 ( CSPM )：通过自动化可见性、不间断监控、威胁检测和补救工作流程来识别和补救风险的过程，以便在不同的云环境和基础设施（包括基础设施即服务 (IaaS)）中搜索错误配置。
• 云工作负载保护平台 ( CWPP )：根据部署在公有云、私有云或混合云环境中的工作负载需求，提供定制化安全保护的平台。CWPP 的目标是通过为应用程序及其所有相关的云功能提供安全保障，确保应用程序的安全。
• 云原生应用保护平台 ( CNAPP )：一种云原生安全模型，将云安全态势管理 (CSPM) 和云工作负载保护平台 (CWPP) 整合到一个整体平台中。CNAPP 强调企业需要专注于云原生安全解决方案，这些解决方案能够提供完整的应用程序安全生命周期方法，而不是一堆工具的拼凑。
• 云基础设施和授权管理 ( CIEM )：管理单云或多云环境中身份的访问权限、许可或特权的安全流程。此流程有助于识别和避免因权限过高或过宽而导致的风险。
• 云访问安全代理 ( CASB )：基于云的安全策略实施点，位于云服务消费者和云服务提供商之间，在访问基于云的资源时结合和插入企业安全策略。

下面，我们将概述这些不同的细分领域，并以相关公司为例来说明这些功能。但首先需要注意的是：网络安全的复杂性之一在于不同功能之间错综复杂的重叠。因此，虽然我们可能会以 Wiz 等公司为例提供 CSPM 功能，或以 Orca Security 等公司为例提供 CWPP 功能，但这两家公司都声称其功能涵盖了列表中的多个类别，而不仅仅是我们认为它们所代表的类别。

云安全态势管理（CSPM）

来源：Uptycs

云安全态势管理 (CSPM) 是一种云安全平台，旨在改善公司的安全态势，识别错误配置，并确保云中公司符合合规标准。错误配置可能包括开发人员为 S3 存储桶配置了错误的设置或不当暴露了权限，从而使其容易受到攻击。

例如，2021年10月，Facebook经历了一次服务中断，影响了其所有平台，覆盖29亿用户。此次中断的原因是配置错误。虽然这种中断并非由恶意外部人员造成的数据泄露，但仍然对业务连续性构成重大威胁，因为它们会危及公司的系统。一次配置错误就可能将数十万个系统或高度敏感的数据暴露在公共互联网上。

根据 Gartner 的数据，95%的云安全问题是由于配置错误或用户失误造成的。使用 CSPM 工具可以将因配置错误导致的云安全事件减少80%。最近的一项调查显示，2022 年有 27% 的组织经历过与公共云相关的安全事件，高于前一年的 10%。

企业在云上面临的最大问题是缺乏对其云资产的可视性。因此，客户云服务经理 (CSPM) 专注于提供可视性，并持续对客户的云基础架构进行风险评估。一些估计表明，从 2022 年到 2025 年，云原生应用的数量将增长 4 倍，达到7.5 亿。这种应用的爆炸式增长将要求对公有云 IaaS 和 PaaS 服务的配置进行更强大的管理。

维兹

Wiz 的核心产品是云安全态势管理 (CSPM)，它通过 API 从客户的云账户收集元数据。Wiz 采用基于 API 的无代理部署方法，提供多种产品，包括漏洞管理、容器安全以及云检测与响应 (CDR)。Wiz 的无代理模型允许产品扫描客户的云环境，而无需复杂的部署，即使对于大型团队来说，这些部署也可能需要数月时间。只需几分钟，Wiz 的产品即可提供云环境的概览。

随着云环境日益复杂，Wiz 提供了一种获取可见性并识别或纠正可能导致漏洞的错误配置的方法。Wiz 的部署模式非常适合技术资源较为受限的公司，以及那些对合规性要求较高、不愿采用普遍部署方法的行业。

Wiz 的 CSPM 扫描和管理云资产，包括虚拟机、容器和对象存储（一种用于非结构化数据存储的架构）。它还从云账户收集管理信息，包括防火墙策略、身份授权和网络设置。通过这些信息，CSPM 将信息情境化，并全面映射到客户的云基础架构中。Wiz 将此功能集称为Wiz 安全图谱 (Wiz Security Graph)。利用此功能，CSPM 可以向客户发出有关云环境中的错误配置和潜在威胁的警报。

花边

Lacework是一个云安全平台，为云环境中运行的工作负载、容器、Kubernetes 和云账户提供安全保障。Lacework 的广泛云安全平台植根于 CWPP。它提供基于代理和无代理的选项。

与 Wiz、Orca 和其他同类产品不同，Lacework 不依赖于需要人工专家编写和更新的基于规则的安全引擎。相反，Lacework 致力于像 CWPP 供应商那样，尽可能通过数据代理收集数据。利用尽可能全面的输入集，Lacework 会对数据进行规范化并将其组织成表格。之后，Lacework 会应用机器学习算法来区分异常行为和正常行为。这使得 Lacework 能够提供 Wiz 等静态引擎所不具备的更具自适应性的安全性。

Lacework 还能识别云漏洞和错误配置设置，以确保符合云最佳实践。例如，如果员工连续几天忘记锁定 AWS S3 存储桶的访问权限，该平台就能检测到此安全风险并向 SOC 团队发出警报。它还能识别多云环境中的错误配置问题和合规性风险。

Lacework 的云原生平台提供自动化异常检测功能，可在多云环境中提供一致的可见性、上下文和安全性。它使客户能够检测源自已知和未知威胁的攻击活动。Lacework 创建了其测谎数据平台，该平台利用数据和机器学习自动识别整个云环境中的风险、漏洞和异常，然后显示高价值警报、确定风险优先级并加快调查速度。

来源：Momentum Cyber

其他几家公司也提供 CSPM 平台，包括提供CSPM 评估的Orca Security ，以及许多其他提供强大 CSPM 扫描功能的供应商。

云工作负载保护平台（CWPP）

云工作负载保护平台 (CWPP) 是一种安全解决方案，用于监控、保护和消除云工作负载（例如虚拟服务器、容器和基础设施）上的威胁。云工作负载保护有两个关键目标：(1) 可见性；(2) 保护。

企业面临的众多挑战之一是缺乏对云环境中正在发生的事情的可视性。如果企业无法看到，就无法检测、阻止或响应某些事件。需要捕获、分析和存储工作负载事件，以便安全产品和服务团队能够实时检测并阻止威胁。

CWPP 平台还可以自动对可疑活动进行安全响应。大多数 CWPP 平台支持持续集成和持续交付 (CI/CD) 工作流，这使得特定工作负载的保护能够像开发人员部署容器或应用程序一样快速地进行。

CWPP 有四大核心技术：

1. 容器：容器是云安全的关键要素。容器已发展成为在云上快速构建和部署应用程序的快捷方式。与容器相关的一些主要风险包括不安全的镜像、存在风险的容器主机、注册表以及像 Kubernetes 这样的编排平台。
2. 无服务器平台：随着本地部署迁移到云端，防火墙的重要性逐渐降低。无服务器应用程序由协同工作的分布式云服务组成，例如，一个 S3 存储桶会触发 Lambda 函数，而 Lambda 函数又会触发 DynamoDB。在这种架构中，安全性的重点在于权限、代码分析和行为分析。
3. 微服务：在应用程序中，开发人员可以将微服务用作小型独立服务，作为更广泛应用程序的一部分。这些服务彼此之间使用简单的 API 进行通信。尽管微服务在云工作负载中发挥着至关重要的作用，但目前尚无通用的方法来保护微服务，使用它们的应用程序依赖于更广泛的安全基础架构。
4. 基础设施即代码 (IAC)：IAC 使开发人员能够更轻松地配置不同类型的云基础设施。HashiCorp的 Terraform等工具可以简化此过程，但基础设施即代码中的配置错误很常见。

虎鲸

Orca Security提供无代理的 CWPP，充分利用云提供商的 API。该公司的产品利用侧扫技术，能够同时深入了解云工作负载和相关元数据。Orca 的产品不需要代理，而是创建云工作负载环境的 1:1 副本，从而为风险警报提供更全面的上下文信息。

Orca 的解决方案与生产环境并行运行，因此有助于加快软件开发和部署流程。Orca 还拥有通常在第三方解决方案中才能找到的原生 SIEM 式修复和响应工具。通过与这些 SecOps 功能的深度集成，Orca 还可以帮助自动化并加速更广泛的 DevSecOps 周期。

来源：Momentum Cyber

水蓝色

CWPP 主要通过安装可检测威胁（恶意软件、可疑横向移动、无文件攻击等）的代理程序，在运行时保护服务器工作负载。CWPP 能够检测并响应异常行为，并识别容器、虚拟机和微服务中的漏洞。鉴于容器的普及，容器安全已成为任何 CWPP 不可或缺的一部分。

Aqua是一个以容器安全功能而闻名的云安全平台。它是最早提供容器扫描功能的独立平台之一，可以扫描容器镜像中的漏洞。这些漏洞包括扫描存储库中的镜像以及集成到 CI/CD 流水线中的镜像。

资料来源：Kuppingercole 分析师

Aqua 最初是一款容器镜像漏洞扫描工具，但很快就专注于 Kubernetes（用于管理容器的编排平台）。Aqua 拥有一种名为动态威胁分析 (DTA) 的无代理沙盒方法，用于在容器投入生产之前对其进行扫描和运行。由于其架构，Aqua 在静态容器镜像扫描方面也具有优势。然而，静态容器领域的竞争日益激烈，产品差异化也日趋明显。

资料来源：RSA 大会上的 Aqua Security

云原生应用保护平台（CNAPP）

云原生应用保护平台 (CNAPP) 是一种安全平台，它包含云安全态势管理 (CSPM) 和云工作负载保护平台 (CWPP) 产品。CNAPP 代表了安全技术的融合，可以保护云工作负载并帮助缓解云中的错误配置。由于 CNAPP 涵盖了云安全的所有关键要素，因此最大的参与者通常是更成熟的多产品平台。

Palo Alto Networks

Palo Alto Networks 拥有最全面的云安全产品之一。其平台的大部分功能源自一系列收购，包括Twistlock（容器安全）、Evident.io、Bridgecrew（基础设施即代码）、Cider Security、Aporeto和PureSec（无服务器和漏洞管理）。

来源：Nosible

Palo Alto Networks 将其云安全产品组合的广泛范围称为 Prisma Cloud。根据 Palo Alto Networks 2022 年第四季度财报电话会议，Prisma Cloud 现已拥有 9 个核心模块，涵盖从开发到部署再到生产的各个环节。

来源：Palo Alto Networks

Crowdstrike

Crowdstrike 已成为网络安全领域的主要平台公司之一。Crowdstrike 的业务范围从端点安全扩展到云工作负载保护，并进军Falcon 容器安全领域，这主要得益于其平台自带的代理解决方案。Crowdstrike 的云原生平台为跨数据中心和平台的所有工作负载提供可视性和保护功能。借助 Crowdstrike，同一个代理可以保护主机以及所有正在运行的容器。

Crowdstrike 为AWS、Azure和GCP提供 Falcon Cloud 安全。其平台提供漏洞扫描、多云工作负载发现、CI/CD 管道、容器安全和运行时保护、云的 MDR 以及 DevOps 安全。

来源：Crowdstrike

数据狗

虽然 Palo Alto Networks 和 Crowdstrike 早已是进军云安全领域的安全老牌企业，但 Datadog 的独特之处在于，其最初的产品专注于可观察性和应用程序性能监控 (APM)。Datadog 产品在特定产品数据流中的定位，使该公司能够将自己定位为云安全的中心平台。

Hhhypergrowth 的 Muji这样描述 Datadog 的定位：

虽然 Datadog 的核心云安全平台是围绕 CSPM 构建的，但该公司围绕安全监控、运行时安全和威胁情报的附加模块使 Datadog 能够更广泛地扩展到 CWPP。

来源：Datadog

云基础设施和授权管理 (CIEM)

云基础设施和授权管理 (CIEM) 解决方案可自动检测、分析和缓解云基础设施访问风险，帮助组织满足跨虚拟机、容器和无服务器工作负载的云原生应用程序不断变化的保护要求。

一项估计表明，75%的云安全故障源于身份和权限管理不足。传统的身份和访问管理 (IAM) 解决方案并非旨在保护和控制对快速变化的云环境的访问。CIEM 通过提高可见性、检测潜在访问风险以及修复 IAM 配置错误来应对这些挑战。大多数 CIEM 解决方案都提供集中式仪表板，用于跟踪和控制分散在公有云中的资源、服务和管理帐户的访问权限。

奥克塔

Okta 成立于 2009 年，现已发展成为更广泛的身份和访问管理 (IAM) 市场的领导者。CIEM 解决方案实际上是 IAM 的云端组件，包括身份规则、合规性文档、用户行为分析 (UBA) 和安全策略。虽然 Okta 已开始管理其中的多项功能，但提供 CIEM 解决方案的专业云安全供应商越来越多地处于管理授权和通过云提供商促进访问之间的中间地带。

来源：SecurEnds

Palo Alto Networks、Zscaler、Saviynt、CyberArk 和 SecurEnds 等公司通常提供更专业的 CIEM 解决方案。在我们的网络安全系列报告的第四篇也是最后一篇中，我们计划深入探讨身份生态系统及其对未来安全的影响。请务必订阅，以便在您的邮箱中接收我们的最新报告。

云访问安全代理 (CASB)

CASB 是一个基于云的安全层，用于在云资源和潜在用户之间强制执行合规性策略。随着云计算的普及，有效地监管防火墙后的特定网络实际上已变得不可能。各种规模的公司都必须采用新的方式来管理来自内部用户的潜在威胁。

CASB 实际上就像一个守门人，使 IT 团队能够了解员工可能访问的任何软件或基础设施。这些平台还可以帮助防止员工使用未经批准的 SaaS 应用程序（即影子 IT）。任何访问公司系统的访问点都将通过 CASB 平台，以确保适当的可见性和合规性。

来源：Gartner

远程办公和自带设备 (BYOD) 策略的兴起，增加了来自现有公司网络之外的设备对公司网络的访问量。为了应对这些趋势，安全访问服务边缘(SASE) 策略变得越来越普遍。一些估计表明，到 2025 年，80%的组织将采用 SASE 架构，即“无论用户、应用程序或设备位于何处，都能实现安全访问”。

CASB 产品帮助组织采用位于用户和供应商之间的零信任策略，以确保云应用程序和基础设施访问遵循既定参数。这些零信任网络确保组织网络中的每个身份或资源访问都经过严格审查，无论访问的是什么。

过去，公司部署分支路由器设备，将分支机构连接到集中式数据中心。然而，这些传统设备正在逐步淘汰，取而代之的是软件定义广域网 (SD-WAN) 产品，这些产品通过将流量直接路由到云端（而不是先将其回传到数据中心），将远程用户和分支机构连接到云应用程序和其他企业位置。SASE 将 SD-WAN 与网络安全功能整合到一个云交付平台中。

来源：Gartner

Netskope

Netskope是一个网络安全平台，提供基于零信任原则的安全远程访问、云托管应用程序保护和安全互联网访问解决方案。随着远程办公和混合办公模式的兴起、云技术的普及以及网络与网络安全之间日益重叠的趋势，Netskope 正乘风破浪。

Netskope 在其 SASE 和安全服务边缘(SSE) 平台中提供了许多产品，包括 CASB、下一代安全网关 (SWG)、防火墙即服务 (FWaaS) 和零信任网络访问 (ZTNA)。Netskope 的 CASB 解决方案位于用户与 Microsoft 365、G-Suite 和 Salesforce 等云应用程序以及 AWS、Azure 和 GCP 等公有云平台之间。

Netskope 还提供了一个名为“云信心指数(CCI)”的数据库，其中包含 54,000 多个第三方云应用程序。企业可以使用 CCI 评分来确定 SaaS 应用程序中存在的威胁级别，并设置适当的策略来缓解威胁。

伊卢米奥

Illumio已成为零信任和网络分段安全领域的领先平台。随着勒索软件和网络黑客攻击的不断增多，企业需要平台来保护自身安全。Illumio 是一个基于云的平台，为工作负载提供数据中心安全保护。该产品通过分段多个网络来保护组织的网络，以防止黑客攻击。这样，任何获得公司网络某个部分的访问权限的黑客都无法立即访问同一网络的其他部分。

现状

传统的本地安全严重依赖于网络访问和防火墙。安全从业人员更注重确保入口点的安全，但对网络内部情况的可视性有限。如今，只有不到1%的组织能够至少了解其 95% 的资产。缺乏可视性意味着，任何监管访问、行为或漏洞的尝试都需要大量的手动工作。

因此，网络安全工具采用了一个通用框架来评估组织的攻击面。威胁情报生命周期围绕核心活动展开，例如收集数据、确定潜在高风险或潜在漏洞的优先级以及创建警报。

来源：ZeroFox

由于“反馈”之后循环再次开始，整个框架严重依赖警报。无论是在终端安全方面，还是其他方面，网络安全的大部分工作都围绕着创建警报（潜在漏洞的标记），并让安全、运营和工程团队在Splunk或其他SIEM平台等系统中处理这些警报。

这种对警报的过度关注导致了“警报疲劳”，安全团队平均每天收到500 多个警报，其中约 27-30%的警报完全得不到处理。在网络安全领域，经常被提及的一个愿景是，解决方案能够提供“单一管理平台”，其中包含解决组织安全基础设施中任何问题所需的所有警报和上下文信息。但这一愿景一直以来都只是一个神话。

渐进式云安全革命

资料来源：财富商业洞察

云安全的兴起在 2020 年开始出现显著变化，部分原因是新冠疫情和向云端迁移的增加。虽然云安全市场在 2020 年至 2021 年期间仅增长了约 11%，但预计到2029 年将以约 18% 的复合年增长率增长，市场规模将超过 1000 亿美元。那么，云安全与更广泛的安全现状相比如何呢？

首先，向云安全的过渡带来了更高的可见性，而过去，安全的关键在于访问权限（例如，谁在访问我的网络？）。云安全可以更清晰地展现组织的所有资产（基础设施、硬件等）。AWS、Azure 和其他云提供商可以更好地记录已创建的资源，用户可以查询这些资产清单。

在云安全成为一个足够大的独立类别以吸引新的初创企业之前，较大的组织已经构建了内部工具，例如 Netflix 的Security Monkey：一种“用于监控和分析 Amazon Web Services 配置安全性的开源解决方案”。然而，这些产品需要大量定制，并且仍然会导致大量的警报。

Wiz、Orca、Lacework 等公司应运而生，旨在提供比开源工具更具可管理性的解决方案，并借此提供比以往更易于访问的上下文信息。通过使用 CSPM 和 CWPP，用户可以更好地了解其虚拟机、容器、面向互联网的连接以及随之而来的所有漏洞。

然而，归根结底，安全团队的主要职责是报告风险并进行补救。尽管现有的云安全解决方案试图报告风险并进行补救，但它们通常止步于一份信息充分、尽管仍然令人眼花缭乱的警报列表。这使得许多补救措施未能完成。

再次，公司转向了可以开源的内部工具，并希望能够解决问题。Riot Games 的MurderBot和Cloud Custodian等产品旨在应对已标记的云资源漏洞，但它们的应对措施往往是关闭问题资源，从而导致产品中断。

范式向左移动

开发人员正在成为安全领域的关键组成部分。开发人员与安全领域的结合推动了 DevSecOps 这一类别的兴起。正如我们在《DevOps 的演变》报告中所写：

尤其是在云安全领域，开发人员处于最前线。开发人员需要资源才能开始任何云原生开发。他们需要手动配置服务器、数据库、网络、存储等等。有一些工具可以加快这一过程，例如HashiCorp 的 Terraform，但最终，安全漏洞会越来越多地出现在开发人员的工作流程中。

最优秀的安全团队能够意识到，开发人员并非秉持安全第一的理念，而是必须努力减少开发人员之间的摩擦，以确保其输出的安全。在 Netflix，安全团队打造了“铺就的道路”，使开发人员在保持安全意识的同时，仍能自助服务：

Netflix 的Lemur就是一个铺就道路的例子，它是一款开源配置工具，可以帮助开发者获取所需的资源，目标是让开发者能够轻松选择使用该工具并获得具有良好安全参数的证书。另一个例子是Netflix 的 API Wall（又名 Wall-E），这是一个身份验证代理，它拥有一个安全框架，包含开发者在新应用程序中构建身份验证所需的一切。

左移的结果是，安全团队需要构建系统并利用工具，使开发人员能够尽可能地提高安全意识，同时尽可能减少摩擦。像Snyk和Resourcely这样的公司正在构建工具，以确保开发人员拥有更高的质量参数，从而保障安全。

供应、目录和上下文

更广泛地考虑安全领域存在的警报疲劳问题。再将这个问题扩展到本已捉襟见肘的软件工程师队伍，仅仅将警报工作转移给开发人员而不是安全运营 (SecOps) 团队不太可能改善这个问题。但现实情况是，SecOps 已经依赖于开发人员来修补任何安全系统发现的漏洞。

事实上，60%的数据泄露是由安全团队已知并已提交工单的漏洞造成的。就云安全而言，最大的瓶颈实际上是赋能开发人员修复现有问题。那么，未来的安全参数将如何解决这个问题呢？

• 保护配置点：30%的云漏洞是由于基础设施初始设置时配置错误造成的。公司越能有效地利用工具来确保配置正确，就越能从一开始就阻止安全漏洞的产生。像 Terraform 的Open Policy Agent这样的 IAC 工具试图确保基础设施配置策略的正确性，但需要使用冗长的语言，而这些语言很容易被错误地编写，最终导致漏洞的产生。
• 创建丰富的目录：像 AWS 这样的云提供商试图提供有关特定基础设施资源的所有者、配置方式以及访问权限的背景信息。然而，在实践中，了解任何基础设施的详细信息都需要大量的人工侦查，并且需要频繁的后续跟进。企业越能有效地利用工具来全面了解其基础设施目录，这些资源的安全性就越高。
• 为开发人员提供上下文：最后，开发人员约有 27-30%的工单完全未得到处理，这并非意味着开发人员懒惰。实际情况是，开发人员缺乏足够的上下文信息，无法轻松理解和修复特定漏洞。公司越能有效地利用工具，确保开发人员能够快速轻松地获取修补漏洞所需的上下文信息，开发人员就能越快地解决这些问题。