如何理解云安全态势管理（CSPM)？

越来越多的企业正在把数字业务迁移到云端，甚至连信息化建设一直比较滞后或者保守的政府行业也越来越认识到云的优势，弹性，方便性，敏捷性等等。

云服务市场也正在猛增。但随着云平台服务使用量的增加，关键任务型数字行业中未管理的风险数量也在激增。

传统的安全工具完全无法适配云环境下对安全的要求。针对云安全态势的管理需求越来越成为一种趋势，并得到行业的认可。

简单介绍为什么企业需要使用CSPM, 以及关于CSPM的实践。

使用CSPM的理由

如果您的企业使用云服务，您需要一种防止数据泄漏的方法。虽然大多数企业认为他们的数据在云供应商那里是安全的，但即使在最强大和安全的云网络中，一些人为错误也会留下漏洞。例如，当开发人员面临DevOps最后期限的压力时，他们可能会匆忙推出新的虚拟机，从而使网络暴露。CSPM将帮助您主动识别和缓解云安全风险。

CSPM的方法在过去几年中不断发展。它从一个错误配置报告工具变成了可以自动修复问题的东西。它可以识别访问，检查是否符合政策，并检测和减轻风险。

CSPM还可以将安全程序与DevOps流程集成。这使得IT团队在处理从云安全设置到服务配置等一系列问题时更加轻松。拥有多云平台的企业可以从CSPM的风险监控和自动补救之间的互操作性中获益。

实现CSPM探索

目前有一些开源工具如Inspec对Openstack云平台做基线检查的开源工具 https://github.com/dev-sec/openstack-baseline，但是一个好的CSPM平台应该包括如下几个主要功能：

1）发现： 基于API与云服务商集成发现云资产和资产配置。

2）可见性：有关安全和合规状况的仪表板、视图和报告。

3）治理： 调整和管理信息安全要求和客户特定配置。

4）响应： 使用各种技术对错误配置进行修补，包括自动和指导性修补功能。

涵盖安全、合规、风险和数据隐私等方向。

1）安全：包括云基础架构配置、云IAM配置安全性检测、OS基线检测、资产安全、漏洞评估、k8s集群安全；

2）合规：合规态势检测，可以考虑用AI等技术实现合规自动检测；

3）风险：包括ISO 27005基于风险的优化矩阵，实时分析风险状况；

4）数据隐私：包括数据发现、数据分类等。