TOC\o"1-2"\h\z\u I5GIT技術(shù)、軟IT件。如，20175WannaCry括醫(yī)療機(jī)構(gòu)、政府機(jī)構(gòu)和教育機(jī)構(gòu)。2020SolarWinds攻擊事件被曝光，攻擊者通過(guò)向SolarWindsSolarWinds年11LockBit1（CWPP）（CASB）、微隔離（Micro-Segmentation）、云安全態(tài)勢(shì)管理(CSPM)、云原生應(yīng)用保護(hù)平臺(tái)（CNAPP）、云1主流的云安全技術(shù)2010201220152015201950%以上的工作負(fù)載放置在云中，大多數(shù)組織都面臨著以下困難：云安全部署方面全球各類針對(duì)虛擬化架構(gòu)的逃逸攻擊、資源濫用、橫向穿透、APT攻擊等新安全問(wèn)題層出不上的典型代表事件包括了2013年的斯諾登泄露事件，而影響國(guó)內(nèi)的典型代表事件包括：1．2022年，美商務(wù)部產(chǎn)業(yè)與安全局發(fā)布針對(duì)網(wǎng)絡(luò)安全領(lǐng)域新的出口管制規(guī)定《信息安全控3．2023年，武漢應(yīng)急管理地震監(jiān)控設(shè)備通告稱遭受美國(guó)情報(bào)局的網(wǎng)絡(luò)攻擊，經(jīng)國(guó)家應(yīng)急處理和360安全團(tuán)隊(duì)分析，發(fā)現(xiàn)監(jiān)控設(shè)備中存在惡意竊取程序，監(jiān)控設(shè)備中的地質(zhì)數(shù)據(jù)泄露則會(huì)嚴(yán)APT活動(dòng)近兩年呈現(xiàn)了大幅增?的趨勢(shì)，高級(jí)威脅對(duì)抗已進(jìn)入白熱化階段。一是攻擊總量飆升，APTAPT美國(guó)NSA-TAO的攻擊事件、來(lái)自越南海蓮花組織的系列攻擊活動(dòng)、針對(duì)國(guó)內(nèi)高校的多起APT竊162APT202365APT2022內(nèi)APT攻擊活動(dòng)依緊跟政治、經(jīng)濟(jì)等時(shí)事熱點(diǎn)，攻擊目標(biāo)集中分布于政府、教育、金融等?業(yè)領(lǐng)域；三是攻擊手段多樣化，為了確保攻擊流程的成功實(shí)施，APT攻擊者在代碼執(zhí)?手法上不斷SeelesPII1所示。圖1除去原有的服務(wù)器資產(chǎn)，大量的API應(yīng)用、編排工具、容器及容器上應(yīng)用資產(chǎn)類型不斷容器、應(yīng)用及API等多層級(jí)聯(lián)動(dòng)的復(fù)雜拓?fù)浣Y(jié)構(gòu)；最近幾?年，可以發(fā)現(xiàn)每隔?年都會(huì)有新的技術(shù)出現(xiàn)，甚至改變IT基礎(chǔ)架構(gòu)，比如2000年根據(jù)知名云原生安全公司sysdig在2022年發(fā)布的《云原生安全和使用報(bào)告》顯示，在容器編排平臺(tái)市場(chǎng)，K8s的占比高達(dá)96%，已成為容器編排平臺(tái)的“事實(shí)標(biāo)準(zhǔn)”。此外，在容器?時(shí)引擎方面，Docker46containerd、cri-oK8s云原生工作負(fù)載的安全威脅進(jìn)?分析。儲(chǔ)以及應(yīng)用等方面的安全問(wèn)題。圖2展示了容器云的安全威脅概況。圖2“云原生K8s工作負(fù)載的攻擊模式圖”呈現(xiàn)了攻擊者在云原生K8s工作負(fù)載中的典型攻擊路圖3K8soud——Lnux宿主機(jī)集群，并通過(guò)專業(yè)的數(shù)據(jù)交換機(jī)進(jìn)?連接。常?的安全問(wèn)題主要集中在操作系Webrofs塊本身包含有漏洞，VE-206-5195（“臟?漏洞”）就是該類型漏洞的典型代表。該漏洞存在于特定版本的Lnux內(nèi)核，由于內(nèi)核代碼沒(méi)有正確處理py-on-wrie(O)功能寫入只讀內(nèi)存映射，導(dǎo)致本地攻擊者可利用該漏洞獲取權(quán)ashhE-2021-03Lnuxokit權(quán)限提升漏洞）peecWebTatWeboicVE-200-255WeboicIIPIIPKubernetesKubernetes其本身是由多個(gè)組件構(gòu)成的集群系統(tǒng)。這些組件包括但不限于kubelet、Docker、containerd、cri-o、etcd、kube-apiserver、kube-controller、kube-scheduler以runCroot?的安全?險(xiǎn)包括但不限于Kubernetes組件或容器運(yùn)?時(shí)組件未鑒權(quán)、允許非安全I(xiàn)age——容器鏡像一般都采用分層文件系統(tǒng)的方式進(jìn)?組織。而大部分被復(fù)用的數(shù)據(jù)主要來(lái)自于互聯(lián)網(wǎng)或者某些未知的地方。一些攻擊者可能會(huì)通過(guò)某些精心配置的上游鏡像投放來(lái)實(shí)現(xiàn)對(duì)系統(tǒng)的滲透，這些方案包括植入某些可進(jìn)?漏洞利用的工具或者動(dòng)態(tài)庫(kù)、Webhel庫(kù)的入侵也可能會(huì)導(dǎo)致鏡像被污染或者投毒。同時(shí)，開(kāi)發(fā)者無(wú)心導(dǎo)致的應(yīng)用漏洞也可環(huán)境類似，容器環(huán)境下的業(yè)務(wù)代碼本身也可能存在Bg甚至安全漏洞。無(wú)論是SL注入、SSWeb客直接利用。容雖天地與主機(jī)內(nèi)核有著一定的隔離這使得它們有著一定的安-pieged”Seoprot宿機(jī)的ot限異器逸題仍運(yùn)時(shí)器為重安VE-2019-136器逸比如E-2016-5195等洞險(xiǎn)仍需重關(guān)的題。《2021Falco“在/etcroot劃采用DevSecOps。此外使用了基礎(chǔ)設(shè)施即代碼、Serverless和持續(xù)集成持續(xù)部署（CI/CD）的云客?占比分別為44%、48%和44%。此外，和Serverless相比，容器的占比雖只有4%，但其安全防御的形勢(shì)嚴(yán)峻。近兩年Sysdig的《云原生安全和使用報(bào)告》的幾項(xiàng)統(tǒng)計(jì)可?一斑：（4）62%的容器被檢測(cè)出包含shell命令、76%的容器使用root權(quán)限運(yùn)?。整體而言，云原生應(yīng)用較之傳統(tǒng)的云上應(yīng)用可受的攻擊面更廣，比如K8s、容器以及激增的運(yùn)?的全生命周期均面臨著?險(xiǎn)，這對(duì)DevSecOps的建設(shè)提出了更為嚴(yán)格的要求。未授權(quán)的情況下訪問(wèn)或破壞系統(tǒng)。配置不當(dāng)也是一種漏洞的形式。根據(jù)Cybersecurity根據(jù)4圖420182022189年，IDSrjan早期的勒索病毒主要通過(guò)釣?郵件、掛?、社交網(wǎng)絡(luò)方式傳播，使用轉(zhuǎn)賬等方式支付贖金，其攻2013下半年開(kāi)始，是現(xiàn)代勒索病毒快速成型的時(shí)期。這個(gè)時(shí)期典型的勒索病毒有自2016年開(kāi)始，而隨著漏洞利用工具包的流?，尤其是“TheShadowBrokers”（影子WannaCry的業(yè)務(wù)植入勒索病毒，可以說(shuō)IAB的出現(xiàn)為RaaS提供了極大的便利，如圖5所示。圖5RaaS勒索團(tuán)伙還在拓展獲利方式，即被攻擊方拖延不交贖金時(shí)，對(duì)其發(fā)起DDoS以下是近10年來(lái)的新型高級(jí)攻擊技術(shù)的發(fā)展情況：高級(jí)持續(xù)威脅（APT）（APT）攻擊逐漸成為主流。APT攻擊者擅?使用先進(jìn)的技術(shù)手段，如零日攻擊、社工等方式進(jìn)?定向攻擊，以隱蔽和?期的和其客?。攻擊者可以主動(dòng)尋找錯(cuò)誤配置的CI/CD管道或者工具，從而修改云應(yīng)用、篡改軟件更VMware、KVM等宿主機(jī)的攻擊。宿主機(jī)層容易受到高危漏洞或者勒索攻擊。攻擊者常用的高頻漏洞包括但不限于：RedHatlibvirt（CVE-2020-25637）、QEMUKVMvSphereClient輸入驗(yàn)證錯(cuò)誤漏洞（CVE-2021-21985）以及ApacheLog4j代碼問(wèn)題漏洞2ESXiArgsVMwareESXiESXiArgs過(guò)利用VMwareESXi服務(wù)器中的RCE漏洞（CVE-2021-21974），進(jìn)?了一次大規(guī)模的自動(dòng)化勒索軟件攻擊?動(dòng)，影響了全球超過(guò)3000臺(tái)VMwareESXi服務(wù)器。雖VMware公司在2021年支付約2比特幣（當(dāng)時(shí)約值45,000美元）。回首過(guò)去?年的云計(jì)算安全威脅，我們可以深切地感受到，云計(jì)算安全威脅呈現(xiàn)了以下的新世紀(jì)80年代，最早的主機(jī)安全技術(shù)聚焦在(AniViu，防病毒)，防病毒技術(shù)集中于病隨著20世紀(jì)90年代互聯(lián)網(wǎng)的普及，計(jì)算機(jī)系統(tǒng)暴露在廣泛的網(wǎng)絡(luò)攻擊之下，危險(xiǎn)漏洞的數(shù)侵主機(jī)后可能在系統(tǒng)層面做的惡意?為，比如可疑命令、異常登錄、反彈shell、上傳webshellProtectionPlatform，端點(diǎn)保護(hù)平臺(tái)）整合了多種安全功能，包括防病毒、防火墻、應(yīng)用程序控提供響應(yīng)動(dòng)態(tài)安全事件和警報(bào)所需的調(diào)查和補(bǔ)救能?。EPP的檢測(cè)能?各有不同，但是高級(jí)的解決方案會(huì)使用多種檢測(cè)技術(shù)，從靜態(tài)IOC到?為分析。反病毒的啟發(fā)式監(jiān)控結(jié)合威脅情報(bào)信息提EPP2010年代以后云計(jì)算的開(kāi)始廣泛應(yīng)用，市場(chǎng)上出現(xiàn)了EDR（EndpointDetection&Response，端點(diǎn)檢測(cè)與響應(yīng)）、XDR（ExtendedDetectionandResponse，擴(kuò)展檢測(cè)與響應(yīng)）和CWPP（CloudWorkloadProtectionPlatform，云工作負(fù)載保護(hù)平臺(tái)）等云安全解決方案。EDR解決方案面向的是端點(diǎn)設(shè)備，記錄和存儲(chǔ)終端系統(tǒng)層?為，使用各種數(shù)據(jù)分析技術(shù)檢測(cè)可疑系統(tǒng)?為，提供上下文信息，封堵惡意活動(dòng)并提供修復(fù)建議以恢復(fù)受感染系統(tǒng)。EDR解決方XDREDREDR電子郵件、應(yīng)用程序、網(wǎng)絡(luò)、云工作負(fù)載和數(shù)據(jù)，集成EDR解決方案的功能對(duì)更為廣泛的業(yè)務(wù)場(chǎng)在2016年3GanerWPPWPPPPgent的近年來(lái)，WPP產(chǎn)品的定義、基本產(chǎn)品特性以及廠商都發(fā)生了一定的變化，無(wú)論工作負(fù)載位置和CWPP5G、I、VHIDS到EP、ER、DR、PP隨著云計(jì)算和虛擬化的快速發(fā)展，云服務(wù)時(shí)代已經(jīng)來(lái)臨，越來(lái)越多的企業(yè)將業(yè)務(wù)和數(shù)據(jù)逐步因此，（云）WPPGartner在提出CWPP理念的同時(shí)也給出了“安全能?金字塔”，以核心級(jí)、重要級(jí)、擴(kuò)展級(jí)描述了CWPP所應(yīng)具備的安全能?，如圖6所示。圖6CWPPCWPPCWPP最為核心的五層基座是所有工作負(fù)載保護(hù)的基礎(chǔ)和共性，而在核心級(jí)之上則體現(xiàn)了CWPP解決方案的靈活性，由于市場(chǎng)產(chǎn)品的發(fā)展，CWPP的能?已經(jīng)在現(xiàn)有產(chǎn)品中得以體現(xiàn)（如：EDR、防病毒、入侵檢測(cè)）其可以被分解為CWPP涵蓋了工作負(fù)載整個(gè)生命周期的安全需求，涉及的控制點(diǎn)很多，因此Gartner也將CWPP的能?做了分層，明確了主要能?和次要能?。CWPPCWPP有代理技術(shù)由于在每臺(tái)主機(jī)上安裝代理，所以具備實(shí)時(shí)監(jiān)測(cè)、實(shí)時(shí)阻斷以及采集數(shù)據(jù)更全面的PrismaCloud、CrowdStrikeFalcon、AquaSecurity和國(guó)內(nèi)的亞信安全信艙等。SSeertalahneiualahne）時(shí)監(jiān)測(cè)和分析，保護(hù)云環(huán)境中的數(shù)據(jù)安全，滿足云計(jì)算環(huán)境下的安全需求（如CSPM技術(shù)）。從技術(shù)應(yīng)用落地情況來(lái)看：國(guó)內(nèi)無(wú)代理的相關(guān)技術(shù)主要是CSPM，不具備實(shí)時(shí)殺毒、虛擬補(bǔ)WIZ、OrcaCSPMSnapshot（比如：azonEaicBckSage，EBS提供E2實(shí)例一起使用的塊級(jí)存儲(chǔ)服務(wù)等）YRA在國(guó)外，已有大量的廠商逐步踐?CWPP理念。對(duì)于CWPP面向的工作負(fù)載范圍不同廠商有著不同的闡釋。AquaWizCWPP容器、容器編排和無(wú)服務(wù)器；Cloudnosys作為公有云的合作伙伴將重心放在了公有云主機(jī)的保護(hù)上，對(duì)公有云AWS、Azure、GCP進(jìn)?很好的兼容；PaloAltoNetworks將工作負(fù)載解隅對(duì)于主機(jī)、容器、無(wú)服務(wù)器進(jìn)?產(chǎn)品拆分，并將這些產(chǎn)品聚合作為自己的CWPP解決方案。在國(guó)內(nèi)，大多數(shù)廠商將工作負(fù)載類型解隅，面對(duì)云主機(jī)、虛擬機(jī)、容器及無(wú)服務(wù)提供差異化WPPPP理念+PP隨著IT產(chǎn)業(yè)和云服務(wù)市場(chǎng)的迅速升級(jí)和擴(kuò)張，主機(jī)面臨的潛在威脅仍將不斷增加。盡管AI其是在容器和serverless的業(yè)務(wù)架構(gòu)下，CWPPCSPM虛擬化層和宿主機(jī)安全主要是指保護(hù)虛擬化平臺(tái)自身及其管理功能免受惡意攻擊的安全措施。虛擬化層的核心是ypeior（虛擬機(jī)管理程序），它位于物理宿主機(jī)操作系統(tǒng)之下，負(fù)責(zé)虛擬化層（VirtualizationLayer）序和服務(wù)、運(yùn)?的服務(wù)和組件等方面。例如，在使用VMwareESXi或KVM的環(huán)境中，宿主機(jī)另外，這些方案只能防護(hù)KVM類別的宿主機(jī)，針對(duì)VMwareESXi無(wú)法防護(hù)，也無(wú)法防護(hù)云圖7VMwareESXI安全升級(jí)難度大：宿主機(jī)通常承載著多個(gè)虛擬機(jī)實(shí)例，因此在進(jìn)?安全升級(jí)時(shí)需要考慮虛擬化技術(shù)的復(fù)雜性：虛擬化技術(shù)本身具有一定的復(fù)雜性，包括虛擬機(jī)管理程序在國(guó)外，一些先進(jìn)的安全公司和研究機(jī)構(gòu)在虛擬化安全領(lǐng)域取得了一定的成果，提出了一些waeosftirx但盡管如此，這幾年針對(duì)虛擬化層或者宿主機(jī)的攻擊越來(lái)越頻繁，特別是針對(duì)VMwareESXi和KVM宿主機(jī)的勒索攻擊頻發(fā)，但目前國(guó)內(nèi)外都還沒(méi)有一套完整的方案能夠?qū)MwareESXi和KVM宿主機(jī)進(jìn)?全方位防護(hù)的方案。智能化與自動(dòng)化：安全防護(hù)將進(jìn)一步智能化和自動(dòng)化，利用AI和機(jī)器學(xué)習(xí)技術(shù)提高威脅理和政策一致性將成為關(guān)鍵點(diǎn)，比如能夠同時(shí)針對(duì)VMware、KVM等宿主機(jī)環(huán)境進(jìn)?統(tǒng)一管理；WFISIP8所示。圖82020NISTAgent4基于數(shù)據(jù)中心網(wǎng)絡(luò)隔離的安全防護(hù)需求：數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)架構(gòu)從傳統(tǒng)的IT架構(gòu)向虛擬80%為東西向流量。云環(huán)境中南北向的網(wǎng)絡(luò)數(shù)據(jù)通過(guò)防火墻的策略規(guī)則可以做到網(wǎng)絡(luò)IP表2對(duì)比了云防火墻、安全組以及微隔離等技術(shù)方案，通過(guò)對(duì)比可知，微隔離對(duì)于東西向及2OSI用程序和網(wǎng)絡(luò)的HTTP微隔離提供內(nèi)網(wǎng)中不同業(yè)務(wù)間的機(jī)代理微隔離。針對(duì)這些技術(shù)選擇的對(duì)比分析如表3所示。3微隔離技術(shù)路線比較模塊后在平臺(tái)可進(jìn)?配PC基于虛擬化層不支持移動(dòng)或臨時(shí)工作PC持PC、混合云環(huán)境的微在初次實(shí)施時(shí)需要通過(guò)將微隔離、SASESASE在國(guó)內(nèi)，隨著網(wǎng)絡(luò)攻擊的不斷升級(jí)，企業(yè)對(duì)網(wǎng)絡(luò)安全的關(guān)注度逐漸提升。一些大中型企業(yè)開(kāi)逐增多府布網(wǎng)安法相政也企提網(wǎng)安水起推作用而，化層隔離、工作節(jié)點(diǎn)Agent隔離），主要采用通過(guò)在公有云、私有云、混合云模式下的工作負(fù)載安裝Agent，采集工作負(fù)載之間的網(wǎng)絡(luò)流量，以可視化展示網(wǎng)絡(luò)訪問(wèn)關(guān)系，實(shí)現(xiàn)根據(jù)業(yè)務(wù)需求設(shè)eBPFpacket重復(fù)檢測(cè)等影響性能問(wèn)題；iptables等）存在較大局限性，將催生新一代云原生防火墻，比如從發(fā)送側(cè)進(jìn)?訪問(wèn)控制策略檢研究機(jī)構(gòu)Gartner在2015年左右開(kāi)始提出“云安全態(tài)勢(shì)管理”（CloudSecurityPosture規(guī)開(kāi)展。根據(jù)Gartner報(bào)告的分析結(jié)論：“95%的云上安全?險(xiǎn)是由于錯(cuò)誤配置導(dǎo)致”，因此，CSPM的核心定位就是通過(guò)云提供商的API連接所有的云平臺(tái)，一是自動(dòng)發(fā)現(xiàn)、識(shí)別、管理云上漏洞掃描和?險(xiǎn)評(píng)估成為CSPM的關(guān)鍵功能，使其能夠識(shí)別潛在漏洞和安全?險(xiǎn)。隨著技術(shù)的不斷發(fā)展，CSPM逐步引入了自動(dòng)化響應(yīng)和修復(fù)功能，使系統(tǒng)能夠自動(dòng)糾正檢測(cè)到的安全問(wèn)題，降低潛在威脅的?險(xiǎn)。多云支持和整合成為另一個(gè)關(guān)鍵方向，使CSPM和監(jiān)控，并提供統(tǒng)一的安全視圖?，F(xiàn)代CSPM工具還整合了威脅情報(bào)，從外部數(shù)據(jù)源獲取實(shí)時(shí)的提高數(shù)據(jù)分析的準(zhǔn)確性。持續(xù)合規(guī)性監(jiān)控也成為CSPM的重要特性，確保云資源在其生命周期中持續(xù)符合安全和合規(guī)標(biāo)準(zhǔn)。CSPM技術(shù)通過(guò)這些演進(jìn)階段，為組織提供了全面的云安全管理和保CSPM在國(guó)外市場(chǎng)已經(jīng)屬于?業(yè)熱點(diǎn)且發(fā)展成熟。從2014到2018年，正是北美企業(yè)大量上云（到2018年美國(guó)企業(yè)的上云率在85%以上），且云上安全處于逐漸完善階段，安全?險(xiǎn)層出2019GartnerGartner連續(xù)多年都將CSPM與CWPPCASB一起作為Gartner所重點(diǎn)推崇的云安全解決方案推出。另外，從資本層面看，國(guó)外CSPM廠商在過(guò)去幾年經(jīng)歷大規(guī)模的并購(gòu)事件包括：CheckPoint2018Dome92019CloudConformityCloudAquaSecurity2019Sophos2019AvidZscaler2020CloudneetiCSPMCSPMCrowdStrike、PaloAlto、Zscaler、WIZ等。CSPM產(chǎn)品在國(guó)內(nèi)還處于剛起步階段，相對(duì)海外并購(gòu)以快速布局，國(guó)內(nèi)以自研為主，產(chǎn)品演進(jìn)路徑包括從資產(chǎn)管理出發(fā)、從CWPP出發(fā)以及從DevSecOps出發(fā)這三大?類。CSPMCSPMCWPPAPISDKAPISDK置。產(chǎn)品部署靈活，同時(shí)提供私有化產(chǎn)品部署和CSPMSaaS安全服務(wù)。等方向的落地加速，下一代CSPM解決方案必須支持“安全左移”，適配云上的DevOps環(huán)境配置安全、容器環(huán)境配置安全、K8S編排平臺(tái)配置安全，以及兼容適配“異構(gòu)多芯、混合調(diào)度”信evSeOps“大多數(shù)安全人員和開(kāi)發(fā)人員都感到被迫要在安全性上妥協(xié)，以滿足最后交付期限的要求”。開(kāi)eadieSMCASB（CloudAccessSecurityBroker，云訪問(wèn)安全代理）最早是2012年由Gartner提出的BYOD（Bringyourowndevice，自帶設(shè)備辦公）問(wèn)題。GartnerCASB可?性：CASB提供影子和認(rèn)可的IT發(fā)現(xiàn)，以及組織的云服務(wù)使用情況和從任何設(shè)備或位置訪問(wèn)數(shù)據(jù)的用?的綜合視圖。領(lǐng)先的CASB通過(guò)云服務(wù)安全態(tài)勢(shì)評(píng)估數(shù)據(jù)庫(kù)進(jìn)一步實(shí)現(xiàn)這一組織仍需要證明他們能夠滿足內(nèi)部和外部合規(guī)要求，并展示他們?nèi)绾握故疚鍌€(gè)W：誰(shuí)、什么、何時(shí)、何地和為什么。CASB還可以通過(guò)控制對(duì)云的訪問(wèn)來(lái)提供幫助；數(shù)據(jù)安全：CASBCASB提供了在云服務(wù)中的現(xiàn)場(chǎng)和文件級(jí)別加密/標(biāo)記化和編輯內(nèi)容的能?。加密密鑰管理可以與任何本地產(chǎn)品集成。數(shù)據(jù)丟失防護(hù)(DLP)功能既包含在CASB產(chǎn)品中，也可通過(guò)ICAP集成從本地網(wǎng)絡(luò)DLP產(chǎn)品中獲得。一些CASB以及現(xiàn)在涵蓋云使用用例的傳統(tǒng)本地DCAP提供商也在本地解決以數(shù)據(jù)為中心的審計(jì)和保護(hù)(DCAP)功能；威脅防護(hù)：CASB的使用以及惡意軟件識(shí)別。在某些情況下，CASB提供商擁有自己的分析團(tuán)隊(duì)，研究特定于云和CASB9（CASB）是位于云服務(wù)消費(fèi)者圖9CASBGaner對(duì)SBSB將Saa、IaaS和aaS多（EBALP、CASB。CASBCASB的安全實(shí)時(shí)性、功能性和覆蓋范圍。從安全實(shí)時(shí)性上看，其中API和日志分析模式能夠?qū)崿F(xiàn)接近WebAPI威脅防護(hù)；正向代理模式能夠保護(hù)混合云、WEB如圖10所示。圖10CASBCASB2023Gartner魔?象限的數(shù)據(jù)展示，Netskope、Zscaler、PaloAltoNetworks等廠商位列前瞻領(lǐng)導(dǎo)者地位，SkyhighSecurity、Forcepoint、lookoutCASB理、API、日志）對(duì)數(shù)據(jù)傳輸做嚴(yán)格安全審查；在產(chǎn)品的兼容性上，CASB火墻、日志收集器等安全設(shè)備數(shù)據(jù)難以打通，這導(dǎo)致用?將花費(fèi)額外成本來(lái)購(gòu)置和部署CASB專用代理設(shè)施和日志采集器，這些都是傳統(tǒng)CASB產(chǎn)品面臨的通病。在全球的云安全領(lǐng)域中，CASBCASBCASBCSPCASBSaaSSaaS軍企業(yè)，所以國(guó)內(nèi)的CASB也難以明確適配對(duì)象。也正因?yàn)槿绱耍瑖?guó)內(nèi)目前僅存的個(gè)別CASB產(chǎn)CASBSaaSSaaS國(guó)內(nèi)國(guó)內(nèi)的中小型企業(yè)會(huì)是SaaS的主流用?群體，出于成本的考慮，再額外采購(gòu)專?CASB國(guó)內(nèi)用?對(duì)數(shù)據(jù)位置較為關(guān)注（多數(shù)CASB服務(wù)都基于SaaS，用?對(duì)于將數(shù)據(jù)傳輸?shù)降谝蚨鴩?guó)內(nèi)的CASB廠商不應(yīng)盲目地追逐熱點(diǎn)，完全按照歐美的一套，必須摸索出一套適合中國(guó)市場(chǎng)的CASB產(chǎn)品服務(wù)模式。SBASBSSSereessSeriede）或SSESeriySeceEde）11所示，SSE框架提供融合的網(wǎng)絡(luò)和網(wǎng)絡(luò)安全即服務(wù)功能，包括SWAN、SWG、TNA、FWaaS以及ASB。SSESSESSE的構(gòu)建離不開(kāi)SB。ASBSSE圖11SASE此外CASB作為獨(dú)立產(chǎn)品來(lái)講，需要更好地與其他安全產(chǎn)品進(jìn)?數(shù)據(jù)共享，降低CASB部署的成本。同時(shí)CASB需要能夠利用安全產(chǎn)品所共享的數(shù)據(jù)，根據(jù)全球威脅情報(bào)通過(guò)合理的數(shù)據(jù)處理方式自動(dòng)發(fā)現(xiàn)和管控CASB范圍內(nèi)任何一個(gè)位置的數(shù)據(jù)安全?險(xiǎn)。圖12們開(kāi)始虛擬化其IT基礎(chǔ)設(shè)施，用軟件代替并將其外包給服務(wù)提供商；2006AmazonWebServices（AWS）開(kāi)始以Web服務(wù)的形式向企業(yè)提供IT基礎(chǔ)設(shè)施服務(wù)，現(xiàn)在通常稱為云計(jì)算。隨著云計(jì)算服務(wù)的拓展，云安全解決方案在2000年代后期應(yīng)運(yùn)而2010年，Gartner將第一類云安全解決方案定義為“云工作負(fù)載保護(hù)平臺(tái)”（CWPP），旨2014年左右，當(dāng)AWSMicrosoftAzure和GoogleCloud等云服務(wù)提供商的云計(jì)算產(chǎn)品開(kāi)20142018到2020年，一種消除許多孤立云解決方案障礙的新方法和創(chuàng)新誕生了，以往碎片化的各種排平臺(tái)的安全性。這包括確保Kubernetes集群的安全配置、訪問(wèn)控制、監(jiān)控和審計(jì)等；服務(wù)網(wǎng)格安全階段：服務(wù)網(wǎng)格技術(shù)（Istio）的出現(xiàn)使得云原生安全進(jìn)一步提升。服務(wù)圖13-CNAPP系也趨于成熟。其中，GartnerCNAPP踐，也對(duì)?業(yè)產(chǎn)生了廣泛而深刻的影響。該模型的核心內(nèi)容涉及云原生應(yīng)用的DevOps全生命周圖13-CNAPP中國(guó)信息通信研究院在2022云原生產(chǎn)業(yè)聯(lián)盟年會(huì)上發(fā)布了標(biāo)準(zhǔn)《云原生應(yīng)用保護(hù)平臺(tái)（NPP2022GarnerNPP14所示。圖14-《云原生應(yīng)用保護(hù)平臺(tái)(CNAPPAquaSecurityCNAPP安全的運(yùn)?工作負(fù)載。綜合型安全公司PaloAlto的Prisma產(chǎn)品線將CWPP、CSPM和CASB三過(guò)結(jié)合下一代殺毒(NGAV)、端點(diǎn)檢測(cè)和響應(yīng)(EDR)、云上安全（CWPP）、網(wǎng)絡(luò)威脅情報(bào)、托管CNAPPPaloAlto、Lacework、Rapid7Serverless的能?覆蓋。WPPKbenees等模塊，并且在NPP賦能工具（應(yīng)用和供應(yīng)鏈安全）、IEM、SM等方面開(kāi)展大量落地實(shí)Sererles合。在云原生技術(shù)落地中，“代理技術(shù)路線”和“無(wú)代理技術(shù)路線”是關(guān)鍵的技術(shù)路線，多數(shù)主SMN合1NPP目前，中國(guó)云原生安全技術(shù)發(fā)展與海外領(lǐng)先企業(yè)還存在一定差距，CWPP技術(shù)在國(guó)內(nèi)的應(yīng)用安全Agent大基座和安全組件自身資源自適應(yīng)管控算法，保障多安全場(chǎng)景下主機(jī)和容器工作負(fù)載webshell，在保持低誤報(bào)的同時(shí)具有高準(zhǔn)確率且具備對(duì)識(shí)別結(jié)果的解釋性；使用云原生運(yùn)?該技術(shù)基于零信任模型的高性能云原生防火墻技術(shù)，可以滿足核心業(yè)務(wù)應(yīng)用處理海量交易時(shí)ubereesNIKerneeseworkPlcy的多模網(wǎng)絡(luò)方案，即采用路由模式為od分配PC子網(wǎng)方案；或基于ndelay模式NI采用SR-IVF給odNPPNPPPI連手段。對(duì)此，Gartner2023核心CNAPP能?。綜上所述，CNAPP通過(guò)綜合運(yùn)用有代理和無(wú)代理技術(shù)，可為云原生環(huán)境提供15圖150?1Day圖16因此，為了減輕用?安裝、運(yùn)維云原生安全產(chǎn)品的工作負(fù)擔(dān)，我們提出環(huán)境安全一體化的目17CPU網(wǎng)絡(luò)CNI插件、鏡像倉(cāng)庫(kù)以及CI/CI工具鏈。圖17應(yīng)對(duì)容器逃逸、內(nèi)核漏洞利用等高級(jí)威脅時(shí)?不從心，如圖18所示。圖18防護(hù)和響應(yīng)技術(shù)體系，如圖19所示。圖