一个优秀的CSPM产品,在典型行业场景下如何落地?
前言:
前几篇分别从多云管理、数据安全、云上权限与日志管理等角度,详细介绍了云安全态势管理CSPM的核心功能和应用场景。本篇将从CSPM落地角度,对CSPM产品在典型行业场景下的应用实践进行阐述。
01政府单位-政务云安全场景
从合规角度出发,国内对于网络安全越来越重视,并出台了一系列网络安全相关的法律法规和标准制度。政府机构业务常见部署在政务云上,通常需要按照业务系统等级遵守一系列的网络安全等级保护(等保)要求,这些要求由政府制定并强制执行。CSPM可以通过配置审计、漏洞扫描、事件监控等功能,确保云环境的安全性和合规性,从而帮助政府客户满足等保要求中关于云安全的相关条款和标准。
从数据安全角度出发,政务云中存储的敏感数据,如政府机密文件、个人身份信息等,可能因为配置错误、权限设置不当、网络攻击等遭到泄露,进而导致信息被滥用、侵犯隐私权,对政府机构和个人造成重大损失,且政府机构需要确保合法、透明和安全地处理和存储这些数据。CSPM可以对政务云上敏感数据进行自动识别发现、数据分类分级和数据暴露检测,从而减少数据安全事件的产生。
02合资企业-国内外多云管理场景
合资企业一般采用多云策略,使用不同云服务提供商的云平台,相应地,CSPM可以集中管理和监控多个云环境,这些云环境覆盖了国内外厂商,在对接多云的同时提供统一的安全视图和控制,确保合资企业在不同的云环境中保持一致的安全策略和控制。
多云环境意味着企业数据存储是在多个云服务提供商之上的,近年来云上安全事件频发,数据泄露造成的安全事件更是屡见不鲜,云上数据安全成为企业云安全体系建设不可或缺的一环。CSPM通过对接多云环境,实现统一控制台管理和监控云上数据资产安全,从数据自动识别到数据分类分级,帮助企业保护多云数据安全。
此外,作为合资企业,集团公司分布在不同国家,通常需要满足不同国家的法律法规,以保障云的合规性,例如国外的GDPR、HIPAA,国内的等保、数据安全法等。CSPM可以帮助合资企业确保其云环境符合当前区域相关的合规标准,并提供必要的监控和报告功能,以满足当前所在区域合规性要求。
综上,政府单位、合资企业的主要业务需求包括如下:
● 满足国内外各种法规和合规要求,同时需支持自定义合规要求
● 统一监控和管理多种云环境,包括公有云、混合云
● 云上数据安全保护
● 云上账户权限智能化梳理
● 云原生业务转变支持
03宵明CSPM落地实践
宵明·云安全态势管理平台(CSPM)完全满足上述业务需求,默安科技经过与客户的技术探讨和不断打磨,落地实施了宵明云安全态势管理解决方案,具体落地实践如下:
- 国内外合规条例支持
首先,宵明已全部覆盖国内外常见法律规定(等保2.0二级、三级、个人信息保护法、网络数据安全管理条例、GDPR、PCI DSS、CIS、HIPAA等)中的关于网络、计算、数据等单元的安全要求,并映射到云基础设施的各项配置上,检测并修复存在的错误,满足客户对于国内外合规条例支持的需求。
其次,在满足客户基本需求的基础上,宵明还支持自定义合规要求,通过与客户的深度对接,将其关注的一些重点转化为自定义合规条例,整理出最适合企业的云上最佳实践标准。
- 多云环境适配,实现多云统一管理监控
上述典型行业客户需要CSPM既能满足国内云平台支持,也能满足国外云平台的支持。宵明通过云提供商的API连接所有的云平台,自动发现、识别、管理云上资产,建立资产模型,并持续更新资产状态,解决客户国内外多云环境下难以统一管理资产的难题,实现国内外云平台的统一管理监控。
- 敏感数据发现,云上数据安全保护
宵明对于云上数据安全保护分为三个步骤:
(1)自动数据发现
构建数据跨越多个云服务商存储敏感数据的多种服务,包括对象存储、块状存储、数据库服务在内,如 Amazon S3、Google Cloud Storage、Azure Blob、阿里云OSS等。
(2)数据分类分级
使用机器学习的方式理解数据的内容,将它们按照PCI DSS、HIPAA、个人信息保护法等法律法规的要求分类分级。这使组织可以更有效地管理其数据安全状况,确定不同数据资产的安全策略和事件响应的优先级。
(3)数据暴露检测
综合储存桶访问控制ACL、权限策略Policy、文件ACL,通过逻辑检测分析储存桶中文件暴露风险,防止发生敏感数据泄露等重大安全问题。
- 自动化扫描,云账户权限监控
上述典型行业客户云账户体量较大,如果依托于人工去管理,在效率和准确度上都会较低。宵明则通过机器学习建模,了解客户每个云环境中存在哪些访问权利,梳理云上账号、资源、角色、组等权限实体对象,绘制数据/资源与权限的对应关系,识别授予过高访问权限带来的风险。
- 云原生部署支持
上述典型行业客户体量较大,而且考虑到后续弹性扩缩容,顺应客户云原生化的转型,宵明支持k8s编排部署,提供了更好的性能和可扩展性。
此外,宵明提供SaaS、私有化两种部署模式,可适配多种业务场景。对于数据敏感度较高的客户来说,考虑到云环境承载着公司的核心业务数据和应用程序,需要更加严格的安全管理和控制,可以采用私有化部署的方式。宵明所有数据都存储在客户内网,其一,可以保障数据的安全性,数据不出内网;其二,所有数据的处理和分析都发生在内网,对于政企内部的监控和审计更为便捷。
结语:
默安科技通过宵明CSPM云安全态势管理解决方案,为客户成功实现多云统一管理,跨越多云实现安全的一致性,通过私有化部署实现了更好的数据控制、性能和合规性。未来,默安科技将继续坚持以客户需求为导向,持续优化平台能力,帮助客户更好地实现云上安全价值,为客户数字化业务的高效稳定运行保驾护航。