CSPM演进

• 2025-10-22 17:59:33

避免云端安全配置错误的关键方法

主要收获

在过去几年中，Verizon 的数据泄露调查报告DBIR指出，错误配置是导致数据泄漏的主要原因之一。根据最近由 Cybersecurity Insiders 进行的一项调查，603 名网络安全专业人员中有 67 认为错误配置是云平台安全的最大威胁。这一危险并未减轻，最近有新闻报导，伦理骇客发现有 80 个错误配置的 Amazon S3 存储桶，其中包含的个人身份信息PII数据超过 1000 GB，且超过 160 万个文件在未设置密码或加密的情况下被访问。

云安全态势管理CSPM工具通常用于保障公共云安全。CSPM 工具利用云服务提供商的 API，作为云基础架构的真实来源，报告资源的配置是否符合各种行业标准的最佳实践。尽管 CSPM 工具有效，但它们无法阻止错误配置在生产环境中反复出现。这主要是因为 CSPM 工具是被动的，即它们只能在资源部署后检测到错误配置。在错误配置被检测和修复之前，骇客有机会利用这些漏洞。对于执行严格变更政策的组织而言，检测和修复之间的时间可能会长达几天甚至几周。总体来看，传统 CSPM 工具无法有效解决这些问题，因为它们在问题发现于循环过程中太晚捕捉到这些漏洞。

真正的解决方案是从源头防止错误配置的发生。在许多情况下，这意味著要修正用于创建资源的基础设施即代码IaC中的错误配置。DevOps 团队越来越多地使用 IaC 来部署云原生应用和配置基础设施。IaC 语言，如 Terraform、CloudFormationCF、Azure Resource ManagerARM，使表达资源配置变得简单。例如，如果您想创建一个私有 S3 存储桶，只需几行 Terraform 代码即可：

hclresource awss3bucket bucket { bucket = mytftestbucket acl = private}

上述代码看似安全您只是创建了一个 S3 存储桶并将其设置为私有。虽然初看之下没有问题，但在安全方面，您还缺少许多关键配置设置，例如启用加密或访问日志。问题在于如何防止部署这个模板。答案是把安全性转移向左，在 CI/CD 流程的每个阶段嵌入安全自动化，并实现内建的自动评估。

Qualys 已经为 IaC 建立了一个安全自动化解决方案，并将 CloudView 的能力扩展到评估云中部署的资产和资源的错误配置及非标准部署。IaC 评估可以分析 Terraform、CF 和 ARM 文件，并识别 AWS、Azure 和 GCP 的资源和服务的安全性错误配置。IaC 评估可以在整个管道中进行从代码进入源代码库时的源代码，整合阶段以及部署之前