推動 CSPM 的秘訣

數年來，企業已大幅增加公用雲端基礎架構的使用，但在疫情期間，由於 IT 部門必須匆忙適應遠距工作的興起，因此更加速了採用的步伐。

這個趨勢也加速了雲端安全軟體的採用，包括 CSPM 在內，它能將偵測與解決安全及合規問題的工作自動化，例如在針對公用雲端基礎架構開發且部署於公用雲端基礎架構中的應用程式和服務錯誤設定。

起初，CSPM 的重點是放在建立執行階段環境的安全設定基準，並監控其是否有偏離的情形。當雲端基礎架構在執行階段定義與管理時，這種方式是足夠的。

然而，現在大部份的雲端基礎架構都在開發階段以程式碼定義和管理，這個趨勢預期還會再成長，也就是說，在開發階段也會產生錯誤設定。

因此，隨著基礎架構即程式碼 (IaC) 使用族群的增加，CSPM 必須能夠「提早執行 (shift left)」，才能夠在開發階段偵測並解決錯誤設定，而不只是在執行階段。

現代化 CSPM 解決方案的三個層面

在您評估 CSPM 產品時，請確保它們能夠提供以下三大方面的功能：
 

保障 IaC 的安全   

CSPM 解決方案必須能夠在開發階段掃描 IaC，在程式碼撰寫好時偵測與解決錯誤設定，並建立一個安全的基準。如此才能確保雲端基礎架構不會夾帶著風險佈建，而且「天生安全」。

應詢問的重要問題：

• 它屬於何種類型的 IaC，支援哪些合規性及安全性標準？
• 它提供多少預先定義的原則？
• 它如何找出資料外洩路徑以及安排解決問題的優先順序？
• 它會自動產生程式碼以解決錯誤設定並建立推送要求嗎？
• 該解決方案整合了哪些 CI/CD 工具？

  在執行階段監控基礎架構設定  

由於使用者會在執行階段變更設定、造成偏離，因此 CSPM 產品必須在執行階段持續監控設定，比對 IaC 基準，以維持安全的環境。
 

應詢問的重要問題：

• 它支援哪些執行階段環境？
• 該解決方案能否相對於透過 IaC 定義的安全基準，找出建立或終止的資源？
• 該解決方案能否找出不同於 IaC 基準定義的資源設定變更？
• 該解決方案能否在執行階段中套用評估 IaC 所使用的相同原則集？
• 該解決方案如何在執行階段中找出潛在的資料外洩路徑，並安排解決問題的優先順序？

透過 IaC 進行修復  

CSPM 應隨時參照 IaC 作為單一事實來源，因此當變更帶來風險時，雲端執行個體會根據安全的 IaC 基準重新部署。或者它會更新 IaC 以反映此變更，並建立一個新的 IaC 基準。

應詢問的重要問題：

• 在執行階段進行了變更時，該解決方案會自動產生解決問題的程式碼嗎？
• 該解決方案能否以程式化方式建立提取或合併程式碼的要求，藉此更新 IaC 並修復執行階段中產生的偏離？

想要更深入瞭解 CSPM 的精闢見解嗎？

我們希望在您選擇最適合貴公司的 CSPM 解決方案時，這些資訊會對您有幫助。如果您想更深入探索這個議題，歡迎下載我們的電子書：「從程式碼到雲端的弱點管理： 您的現代化 CSPM 指南」，該指南將會更精細地探討您在新一代 CSPM 應注意的層面。