Check Point CloudGuard如何破解云原生安全困局?

对于许多云安全团队来说,每天确定警报的优先级可能非常困难,而且无法管理。每增加一个云应用、服务器和工作负载,警报的数量就会攀升。安全团队根本无暇细看每个警报、深究每个发现结果、并确定警报的优先级,更不用说由于缺乏全面可视性而被疏忽的其他一些安全问题。

Gartner必须对已识别的风险进行优先级划分

为了解决此问题,Gartner 在其《2023 年云原生应用保护平台市场指南》中强调了云原生应用(CNAPP) 解决方案中的上下文对风险管理的重要性。“为了实现 RiskOps 的愿景,必须深入了解云原生应用不同要素之间的关系。换句话说,为了确保风险识别修复的可操作性,CNAPP 工具必须能够构建一个囊括应用代码、库、容器、脚本、配置和漏洞的模型,以帮助确定高风险位置。由于不存在无风险的应用,安全人员应根据业务上下文对发现结果的风险进行优先级划分,确定根本原因,并让开发人员首先关注风险最高以及潜在业务影响最高的发现结果。同样,必须深入了解开发人员/开发团队在应用整个生命周期中的关系,这对于确定合适的开发人员/开发团队或工程团队来修复已识别的风险(并为他们提供充足的上下文来快速、有效地了解和修复风险)意义重大。”——2023 年 Gartner 云原生应用保护平台 (CNAPP) 市场指南

中国市场:近7成用户对云原生安全表示担忧

2022年7月,工信部直属科研事业单位的中国信息通信研究院,发布了《云计算白皮书(2022年)》。白皮书显示,中国云计算市场在2021年仍保持高速增长,市场规模达3,299亿元,较2020年增长54.4%。而这一增长的技术背景则在于云原生正通过改进企业的IT技术和基础设施,持续加速企业IT要素的变革,成为企业上云的新模式。具体来看,表现在云原生生态的日趋完善、能力模型的日渐丰富、与企业IT建设目标和要素深度融合三大方面。然而,云原生安全在现阶段却成为了其发展的最大阻碍。在一份第三方的《中国云原生用户调查报告》中显示,近7成用户对云原生技术在大规模应用时的安全性、可靠性、性能、连续性心存顾虑。容器逃逸、微服务和API的安全是企业最关心的云原生安全问题。近六成的企业表示,容器及其编排系统自身的安全已成为最突出的云原生安全隐患。

解决方案:Check Point CloudGuard 的有效风险管理功能 

面对云原生应用带来的挑战,Check Point CloudGuard 的有效风险管理 (ERM) 引擎有能力帮助企业用户更加安全、灵活的管理云端应用。该引擎通过在云中应用的上下文来识别风险和安全漏洞(乃至未知工作负载中的风险和安全漏洞),并对其进行优先级划分,安全团队可轻松确定行动方向。CloudGuard 还可以根据企业确定的个性化需求进行优先级排序。这有助于安全团队重点关注对其业务影响重大的风险,同时在整个云环境中实现安全防护自动化,从而快速解决问题。

借助 CloudGuard,安全管理团队可以:

  • 基于完整上下文对风险进行优先级划分,包括:
    • 配置风险
    • 工作负载状态
    • 网络暴露
    • 权限
    • 攻击路径
    • 业务优先级
  • 关注云端、工作负载和代码中的威胁
  • 基于降低风险的最快途径,提供优化的修复指导

全面管理风险以提高运营效率

CloudGuard 的 ERM 引擎可自动整合企业的数据和输入,以便对风险或漏洞进行优先级划分并快速处理。这有助于消除云安全管理的整体复杂性。

首先,CloudGuard 会绘制每个云资产的攻击面,然后结合使用这些攻击面和上下文信息,评估每个资产的业务影响,并为安全团队提供一份按优先级排序的风险资产清单以及清晰可行的修复步骤。所有这些均已整合到 CloudGuard ERM 风险仪表盘中:

图 1.CloudGuard 的 ERM 仪表盘提供了一个简单直观的安全数据视图

快速深挖以确定亟需处理的问题 

安全团队能够一目了然地看到哪些资产的风险更高。例如,下面的仪表盘突出显示了公开暴露的或高危的通用漏洞和暴露 (CVE)。  

图 2.CloudGuard 的 ERM 按风险评分对已知资产进行优先级排序,并提供指导以帮助安全团队采取最高效的措施,从而缩短修复时间

按风险评分对资产进行优先级排序

CloudGuard 按风险评分排列和显示资产,该评分基于各列中明确列出的几个因素,例如业务优先级、公开暴露、错误配置的数量等。 

需要首先关注的风险最高的资产显示在顶部:

图 3.CloudGuard 的 ERM 引擎分析来自平台内部的输入和外部输入,以在上下文中识别风险并准确地进行优先级划分

在计算风险评分时将以下多个因素纳入考量:

  • 配置错误

CloudGuard 可以被配置为只考虑特定的错误配置,默认情况下会将状态管理模块中的所有发现结果都考虑在内。

  • 相关漏洞

漏洞有三种:CVE、威胁(如机器上的恶意文件)和密钥(暴露的凭证)。借助Check Point的无代理工作负载状态,可以在 CloudGuard 中原生获取漏洞信息,也可以通过与外部漏洞扫描工具(如 AWS Inspector)相集成来获取漏洞信息。

  • 资产暴露

互联网暴露会增加资产遭到恶意利用的几率。CloudGuard 利用其图形数据库分析资产之间的连接,并为用户的云网络创建拓扑图。

  • IAM 敏感度

企业风险管理不仅要考虑遭到攻击的概率,还要考虑其可能产生的影响。IAM 敏感度是与影响有关的因素之一。CloudGuard 的 ERM 引擎可计算 IAM 敏感度,衡量具有 IAM 权限的资产可能造成的损害。举例来说,如果攻击者能够访问具有高级权限的 IAM 角色的实例,后果可能会很严重。

  • 业务优先级

业务优先级是另一个重要的考虑因素,因为它衡量受损资产对业务的整体影响。可以选择使用一系列参数(例如持有资产的云帐户、标签或命名惯例)为资产定义业务优先级。团队还可以定义哪些资产至关重要,哪些不太重要,以确保在发现问题时优先处理重要资产所面临的风险。

举例来说,企业可以将最高优先级分配给其关键应用,并确保测试环境中仅包含模拟数据的资产具有较低优先级。当关键资产配置错误或易受攻击时,其风险评分就会升高,成为企业需要优先处理的紧急风险。

图 5.使用 CloudGuard ERM 来定义业务优先级,例如低、高或紧急,并相应地对具体资产进行排序

通过每个资产的详细信息深入了解风险。

汇总所有这些数据,便可获得公司云环境中特定资产的完整风险视图。要想获取更多详情,安全团队可以从 ERM 仪表盘或“受保护资产”列表深入了解任何特定资产。

下面的示例显示了在一个云资产上发现的漏洞的详细信息。左侧显示了 CVE(按软件包索引)、威胁和密钥选项卡。此外,集成到 CloudGuard CNAPP 平台中的无代理工作负载保护 (AWP) 组件允许访问“修复摘要 (Remediation Summary)”选项卡,以获取必要修复操作列表。其中可能包括需要升级的软件包、需要从特定代码行中删除的凭证或其他建议。

图 6.CloudGuard 的 ERM 仪表盘支持团队分析各个资产,查看风险类型、修复操作、暴露的密钥以及所需的软件包更新,以获得上下文和高效解决措施

借助基于风险评分的资产优先级排序和基于人工智能 (AI) 的可行洞察,安全团队能够集中精力防范对业务影响最大的威胁,同时确保妥善维护整个云环境的安全性。

CloudGuard ERM:更出色地管理实际风险

如今,云安全态势比以往任何时候都更加复杂,企业安全团队往往深感力不从心。用户不仅需要更出色的可视性,还需要能够更快速地无缝迁移的安全工具。与此同时,安全厂商必须转变思维模式:从“锁定一切”转变为简化云安全保护和支持更轻松、灵活的管理策略。CloudGuard CNAPP(包括集成式 ERM 功能)的发布,使Check Point 有能力通过无代理部署和无缝集成,在理解上下文环境后,为用户提供了切实可行的安全指导,实现了流畅的使用体验。用户安全团队可获得所需的资源,以主动管理风险、集中精力于关键业务优先事项,确保一切尽在掌握之中。