云原生安全平台 (CNSP) 的核心原则

21 世纪头十年的特点是，一大波组织推动采用 基础设施即服务（IaaS） 平台，以利用可扩展性、灵活性和降低数据中心成本等优势。由于技术堆栈在很大程度上没有改变，当时的当代安全工具能够在这一转变中顺风顺水，只需 "移花接木 "即可在这些 IaaS 平台上运行。

然而，最近我们进入了一个采用 平台即服务（PaaS）和云原生技术的时代，通过端到端自动化实现了软件的快速交付。云原生安全工具迅速出现，以支持这些新技术，但最初的形式很简陋。这些工具数量稀少，只解决了问题的个别部分，缺乏适当的整合，产生的安全分析结果也不完整。这迫使安全小组不得不同时使用多种工具和仪表板，造成了盲区和难以管理的复杂性，同时增加了组织在云中被入侵的风险。

云原生应用开发重新定义了在云中构建应用的方式，因此也到了重新定义云安全方式的时候了。这导致了云原生安全平台（CNSP）的出现。CNSP 跨平台组件共享有关基础设施、PaaS 服务、用户、开发平台、数据和 应用工作负载的 上下文，以加强保护。这些平台包含众多不同的功能，无论组织使用的是其他平台还是特定的云服务提供商（CSP），它们都能始终如一地交付这些功能。

以下是组成 CNSP 的这些术语的概述：

• 资产清单 可在多个云账户和 CSP 之间自动发现云资源，并在整个生命周期内对每个已发现资产的变更进行审计跟踪。这为任何成功的云安全计划提供了必要的基础可视性和意识。
• 配置评估 通过遵循内置和自定义策略扫描 基础设施即代码（IaC） 模板（如 Terraform^® 和 CloudFormation），在整个生命周期内提供持续的配置风险评估，并提供自动修复功能，以快速修复生产中的问题。
• 合规性管理 可监控整个云环境的合规性状况，并支持庞大的合规性框架库，提供实时合规性监控，并能立即生成审计就绪报告。
• 网络安全 从 CSP 直接摄取网络流日志，结合威胁情报反馈，并利用对云原生防火墙规则的深入理解，建立全面的网络风险背景图。这样就能检测入侵以及更高级的威胁，如加密劫持、恶意软件感染实例、横向移动和其他类型的高级持续威胁（APT）。
• 身份和访问管理（IAM） 安全可关联跨环境的用户行为，并利用机器学习建立行为配置文件。这也被称为用户和实体行为分析 (UEBA)。它可以监控敏感活动，如根用户活动、安全组更改和 IAM 配置更新，这些都可能是凭证泄露或恶意内部威胁的迹象。
• 数据安全性可 提供多云就绪数据保护，具有数百种开箱即用的云数据分类规则，可映射到监管要求并集成恶意软件扫描功能。
• 漏洞管理可 监控跨 容器、映像、主机和功能的所有活动和运行时生产环境，并对整个云原生基础架构的漏洞和风险进行堆叠排序。
• 工作负载安全 提供与检测方法（行为或其他）相结合的预防机制，以保护工作负载（虚拟机、容器和无服务器部署）在运行时免受应用级攻击。
• 与 SOAR 产品直接集成的自动调查和响应 功能基于云原生环境中各种来源的丰富上下文数据。这些功能与细粒度取证功能相结合，并通过机器学习算法进行分析，有助于加快安全事件调查。