什么是云安全态势管理（CSPM）？

CSPM（云安全态势管理）是一种工具，用于对整个云基础设施中的安全调查发现进行可视化、优先级排序和补救。CSPM 会不断从各类服务中摄取并关联安全数据，以提供有关整体安全态势评分、威胁、漏洞等方面的深度简介。CSPM 提供补救工作流程、与标准框架的对齐功能以及一段时间内的安全状况视图。

CSPM 工具的工作流程包含四个关键阶段，不过各阶段是连续并行进行的。

发现

CSPM 工具会发现您所有的云资产、云服务和连接，从而精准监控整个云环境的安全性。

评估

CSPM 工具会对照合规标准进行检查并设置控制措施，以确定哪些清单项目及其云配置符合要求。

确定优先级

CSPM 工具会对威胁、漏洞、敏感数据等多个安全领域的安全调查发现进行评分并确定其优先级。

补救措施

CSPM 工具会为修复已识别的安全问题制定指导方案并提供自动化支持。

云安全态势管理解决方案可提供贵组织整个云计算环境的安全概览，并给出切实可行的建议。 CSPM 工具旨在增强云安全状况、直观呈现安全态势并提供漏洞管理功能。

以下是云安全态势管理解决方案的一些主要优势。

统一云基础设施安全概述

云安全态势管理可呈现整个云基础设施的安全态势。CSPM 工具可以收集多个来源的安全调查发现并确定优先级，让您能够集中查看安全状况。

通常，团队依赖基于点的解决方案，这类方案只能呈现特定区域的安全状况。例如，某款安全工具可能只能检查网络流量或资源请求。使用这些基于点的工具时，很难判断哪些安全调查发现对组织更重要。

从整个云架构的安全视角出发，安全团队可以更清楚地了解安全工作的优先事项。

持续监控

云安全态势管理可提供持续的环境监控服务。由于环境监控始终处于运行状态，因此您能收到实时警报和更新，同时确保了解系统的当前状态。持续监控具备自动威胁检测功能。

持续监控能在合适的时间为用户提供准确信息，帮助安全团队确定工作重点的优先顺序。

自动补救路径

在许多情况下，云安全态势管理解决方案会提供自动补救路径。例如，如果特定资源存在严重漏洞，系统可能会提供工具提示或工作流程，用于关闭、隔离该资源或修改其配置。这种攻击路径分析能为用户提供指导。

通过提供自动补救路径，安全团队可以快速完成补救任务，从而提升工作效率。

提高合规性和审计能力

云安全态势管理解决方案通常可配置为与行业安全政策、标准及监管合规框架保持一致。其中包括 NIST 特别出版物 800-53、PCI DSS以及 AWS 基础安全最佳实践（FSBP）。

启用这些安全策略后，CSPM 工具会自动显示云资源和控制措施中的违规行为。这种增强的可见性有助于您修复云环境并保持监管合规性，这在审计或标准评测过程中非常重要。

CSPM 解决方案的关键功能因云提供商或供应商而异。但以下是大多数 CSPM 解决方案的核心功能。

安全区域概述

云安全态势管理概述了涵盖云基础设施的各类安全领域。这些领域显示在小部件或控制面板上，且通常可重新配置，因此您能确定云环境中的核心优先级事项。

涵盖的领域可能包括主要威胁、重大风险、云安全控制覆盖范围、安全标准合规性以及总体安全分数（满分为 100%）。您还可以按调查发现的数量、区域差异、最常见的威胁、一段时间内的威胁调查发现以及环境中的软件漏洞来查看云资产。

确定关键补救领域的优先顺序

在 CSPM 工具的大多数安全领域中，您会看到按严重程度列出的安全调查发现。例如，您可能会看到标记为“严重”、“高”、“中”、“低”的调查发现，并附有向下钻取的概述。当威胁检测识别出严重调查发现时，会突出显示这些调查发现。敏感数据漏洞也可能会被突出显示。

这种自动优先级排序能帮助您更轻松地确定补救工作的重点。

调查和补救能力

在每个特定领域中，您将看到单独的调查发现，例如针对特定云资源的安全警报。通过选择相应的调查发现，您通常可以查看补救需采取的必要步骤、启动自动工作流或查看该调查发现的历史记录。

调查功能可能涵盖多种服务，让您能够大致了解安全事件或云配置错误的发生方式、地点和原因。

这些调查功能让安全团队能够更高效、更有信心地调查和修复安全事件。

实时提醒

CSPM 解决方案能实时呈现新出现的和不断升级的重点安全风险及事件。许多 CSPM 工具都具备集成警报功能，用户可对其进行配置，以显示或隐藏传入事件。

CSPM 工具的实时功能让用户能够更快地解决关键安全问题（通常会借助自动补救路径）。

时间序列数据

CSPM 解决方案提供组织在一段时间内云安全状况的概览。许多安全领域都支持按时间序列查看数据。例如，您可能会看到安全评分在一年内的起伏变化，或特定资源在三个月内出现的严重漏洞数量。

时间序列分析对于组织基准设定、报告和目标制定非常重要，有助于逐步强化组织的安全态势。

与安全工具集成

云安全态势管理解决方案会从各类来源收集数据，并将其调查发现发送至其他工具。数据来源包括云原生应用程序、传统安全工具以及第三方提供商解决方案，如云基础设施授权管理（CIEM）。

例如， AWS Security Hub CSPM 会接收来自 Amazon Detective、 AWS Audit Manager、 AWS Security Lake 及其他服务的调查发现。 AWS Security Hub CSPM 会向 AWS Config、AWS Health、Amazon Macie 等服务发送调查发现。

通过与多种安全和监控工具以及云原生应用程序集成，CSPM 解决方案能获得更全面的可见性。在可能的情况下，应尽可能多地添加推荐的集成项。

自定义功能

CSPM 工具是可定制的，因为每个组织都是独一无二的，且不同供应商的 CSPM 工具在定制功能上存在差异。通常，控制面板可重新配置，安全领域可设置筛选条件。您通常可以设定特定标准来判定违规行为，并可优先考虑特定的云环境控制措施。

AWS Security Hub CSPM 中的一个定制示例是，自动将与基本业务资源相关的调查发现的严重程度提升至“严重”级别。这种自动化能增强关键资产的云工作负载安全性。

CSPM 解决方案需遵循一些最佳运营实践，才能为组织发挥最大效用。

CSPM 培训

CSPM 工具用户必须接受解决方案方面的培训，才能正确运用该工具来保护云基础设施。CSPM 用户培训对于确保您正确了解安全态势至关重要。尽管 CSPM 解决方案可使用默认设置运行，但用户必须知晓如何解读数据、配置系统，并根据业务需求遵循相关指南。

最新的云配置管理

随着云环境的不断发展，您必须确保 CSPM 解决方案与最新发展保持同步。

CSPM 云配置管理可能包括以下任务：

• 自动启用资源和服务，以识别云基础设施的错误配置
• 集成其他云安全解决方案，例如云基础设施授权管理
• 为新确定的优先领域（例如容器安全）重新配置控制面板

CSPM 解决方案并非静态工具，您必须将其与云环境一同进行维护。

基准测试和报告

CSPM 工具中的时间序列数据对于向高管及其他业务利益相关者汇报安全状况至关重要。在设置 CSPM 工具时，您可以对内部安全性进行基准测试，也可以根据特定合规标准开展基准测试。借助这些初始数据，您可以着手设定未来目标，并确保后续报告的准确性。

自动响应

对于组织特有的且频繁发生的安全调查发现，您可以设置自动响应序列。这样一来，您就可以节省修复已知问题的时间。这些响应序列通常会通过集成服务在 CSPM 工具外部执行。例如，Amazon EventBridge 可以触发对 AWS Security Hub CSPM 上特定调查发现的自动响应。

AWS Security Hub 是 AWS 的统一云安全解决方案，可对关键安全问题进行优先级排序，并帮助您作出大规模响应，以保护云计算基础设施。这项全面的安全解决方案通过关联信号并将其转化为切实可行的见解来检测关键问题，从而简化响应流程。

AWS Security Hub CSPM 是 Security Hub 内的一项服务。AWS Security Hub 会执行安全最佳实践检查，并从 AWS 云服务及合作伙伴处摄取安全调查发现。它会将这些调查发现与其他云服务和合作伙伴安全工具的发现相结合。该服务可对您的 AWS 资源执行自动检查，以帮助识别云错误配置并评估您的安全状况。

AWS Security Hub CSPM 提供符合行业和监管框架的安全标准，例如 AWS 基础安全防御最佳实践、互联网安全中心（CIS）、支付卡行业数据安全标准（PCI DSS) 和美国国家标准与技术研究院（NIST）。

Security Hub 还提供自动响应工作流，以简化大规模补救措施，从而降低云安全风险、提高团队工作效率并最大限度地减少潜在的运营中断。Security Hub 可以帮助您更全面地了解安全态势，以保护云环境。

立即创建免费账户，开始在 AWS 上实施 CSPM 解决方案。