保护数据 – SASE、CNAPP 和 CSMA 角色

数据已成为耳鼻喉科最宝贵的资源erp上升。 难怪有很多坏人试图扰乱 Enterp防止企业窃取和破坏数据。

数据安全就是保护数据免遭未经授权的用户、恶意软件破坏数据的侵害cio我们的意图和数据盗窃。 您可能想知道为什么许多安全公司谈论保护应用程序、网络、端点，但很少谈论数据。 原因是数据与应用程序和系统之间存在密切的关系。 除非应用程序和系统免受不良行为者的侵害，否则数据安全是不可能的。

“数据是新石油”这句话解释了应用程序与数据之间的关系。 数据就像原始形式的石油一样，除非经过提炼以供消费，否则没有任何用处。 应用程序处理数据并以易于使用的方式将其呈现给用户。

SASE 在数据安全中的作用

请阅读 解密 SASE 博客概述 SASE.

SASE 在保护这个由分布式劳动力和本地分布式部署组成的世界中的应用程序方面发挥着重要作用 Cloud， 上市 cloud和公共边。 以下部分提供了一些关键的安全问题以及如何 SASE 向他们致意。

耳鼻喉科erp出于各种业务目的开发或部署许多应用程序。 所有应用程序可能不需要访问所有 Enterp上升数据。 并且应用程序的所有用户不需要访问所有应用程序数据。 因此，“最小权限访问”和“基于身份的访问控制”是数据安全的关键。

应用不再简单。 开发人员使用许多软件组件——内部构建、购买和开源——使得软件变得复杂且更容易受到攻击。 攻击者倾向于利用威胁知识库并尝试利用漏洞来访问应用程序，然后访问数据。 因此，针对漏洞的威胁防护对于数据安全非常重要。

应用程序和系统管理最为关键，因为应用程序管理员往往拥有更高的权限。 任何管理员帐户的凭据被盗都可能对 Ent 造成严重破坏erp上升。 增加数据保护需要很少的安全技术，例如采用第二级 MFA、限制用户从不安全/未知位置进行访问、限制用户表现出异常行为模式。

耳鼻喉科erp崛起在许多地点部署应用程序，为分散的员工提供低延迟的用户体验，并确保应用程序能够承受增加或异常的负载。 对于分布式应用程序，数据也是分布式的。 因此，预计安全性也将被分散，以解决应用程序需求的增加和 DDoS 攻击。

ZTNA（零信任网络访问）平台和 NGFW （下一代防火墙）的 SASE 解决上述安全问题。 由于此， SASE 正在成为通过保护应用程序以及实现基于身份的访问和授权控制来解决数据安全问题的关键网络安全要素之一。

有人可能会问“ZTNA 和 NGFW 足够好”来保护应用程序并从而保护数据。 和 Cloud 撬动公众力量转型 clouds，Ent 的公共边erp应用程序上升，攻击面就更多。 数据安全需要修复这些攻击面。 这就是 CNAPP 发挥作用的地方。

增加攻击面 Cloud 改造

Cloud 更简单的应用程序的改造减少了 Enterp随着通用基础设施软件的安全性由 cloud 提供商。 从这张图来看，应用程序开发人员越来越关注业务逻辑，而将普通软件组件的责任留给了 cloud 供应商。

确实，开发者只需要关注应用逻辑，而将操作系统、框架、数据库、文件存储、密钥管理、认证、授权系统和可观测系统等公共服务的维护和安全补丁留给开发者。 cloud 提供商，从而减少仅限于应用程序的安全责任

也就是说，分布式劳动力和需要低延迟体验的新型应用程序使应用程序部署变得复杂，从而暴露了更多的攻击面。

应用程序越来越需要部署在多个位置，而不仅仅是跨区域 cloud 提供商，而且还跨多个 cloud 提供商和边缘提供商提供最佳的用户体验。 此外，应用程序越来越多地按需部署在边缘中。 也就是说，只有当附近有客户端需要应用程序服务时，才部署应用程序。 出于成本原因，不保证在所有边缘部署完整的复杂应用程序。 欢迎来到微服务架构。 应用程序开发人员采用微服务架构不仅是为了提高生产力，也是为了在 Edge 中实现部分应用程序部署，并将其余部分保留在 Edge 中 clouds.

下图（为了简洁起见）显示了基于微服务的应用程序部署。 在这个任意应用示例中，应用程序的微服务 1 和 2 部署在 Edge 中以提供低延迟体验，微服务 3 和 4 部署在 Edge 中 cloud用于应用程序的其他操作。 如图所示，共有5个攻击面点。

1. 最终客户端和前端微服务 1 之间的通信以及跨边缘和微服务间的通信 Cloud
2. 边缘位置或微服务之间的通信 cloud 位置。
3. 应用程序微服务之间的通信 cloud/边缘提供商服务
4. 从外部到提供商服务与提供商服务的通信。
5. 微服务的内部软件组件

任何全面的安全措施都应该能够解决所有攻击面。

攻击面 (1) 可以通过以下方式解决 SASE 中天新区& NGFW。 由于分布式计算、微服务架构和使用的应用程序，所有其他攻击面都暴露出来 cloud 提供商服务。 由于这主要是由于 cloud/边缘转型，Gartner定义了一个名为CNAPP模型的新类别来应对这些安全挑战。

国家应用程序（Cloud 本机应用程序保护平台），以解决增加的攻击面

CNAPP 是一个 cloud 结合了本机安全模型/技术 Cloud 安全态势管理（CSPM）， Cloud 服务网络安全（CSNS）和 Cloud 单一平台中的工作负载保护平台 (CWPP)。 通过组合多个 cloud CNAPP 将各种安全工具集成到一个平台中，提供诸如跨应用程序生命周期的全面可见性（构建、部署到运行时阶段）以及跨多种技术的全面控制等优势。 就像 Gartner 创造的其他术语一样，CNAPP 术语也有望提供供应商和消费者之间对安全功能/平台功能的共同理解。 让我们检查 CNAPP 的组成部分，然后将攻击面点映射到这些组成部分。

Cloud 安全态势管理 (CSPM)：CSPM 能力赋予 Enterp提高了所有的可见度 cloud 资源/服务 耳鼻喉科erp提高应用程序使用多个 cloud 提供商。 CSPM 还绘制了 cloud 服务和使用它们的应用程序。

CSPM 的最大好处是配置扫描以检测任何错误配置。 自从 cloud 提供商的服务非常通用，其安全性与其配置一样好。 重要的是要了解 cloud 提供商服务是多租户的，他们的访问不能由 Ent 控制erp上升。 如果配置错误，攻击者就可以访问这些服务并窃取和损坏数据。 例如，如果数据库服务被错误地配置为允许任何人访问，则它可能会泄露 Enterp增加应用程序在数据库服务中存储的数据。

CSPM 还对中的数据执行合规性检查 cloud 服务并向 Ent 提供合规违规可见性erp上升。

CSPM 解决上图中列出的攻击面 (4).

Cloud 服务网络安全（CSNS）：  CSNS 提供应用程序的微服务之间的网络级安全以及微服务与应用程序之间的网络安全 cloud 服务。 它的功能就像 SASE/ZTNA。 其功能包括 NGFW、WAF、基于身份的访问控制、WAF、API 保护、DoS/DDoS 防护。 CSNS 与传统网络安全的活力不同。 由于工作负载是动态的，CSNS 安全生命周期需要与应用程序的生命周期保持一致。

CSNS解决上图中的攻击面（2）和（3）. 本质上，CSNS 为电子战流量提供网络安全。

Cloud 工作负载保护平台 (CWPP)： CWPP 功能主要检查

• 通过分析图像、获取软件清单、清单版本并检查威胁情报数据库以了解软件清单中的任何已知漏洞，来发现工作负载映像（虚拟机、容器、无服务器）中的漏洞。
• 恶意软件检测和解除wan在图像中进行软件检测，以确保其供应链中没有引入恶意软件。
• 通过主机入侵防御技术在运行时进行利用。
• 使用 Intel SGx 等安全保护技术来保护运行时内存。
• 通过 RASP（运行时应用程序自我保护）保护运行时工作负载

CWPP解决上图中列出的攻击面（5）.

随着 Kubernetes 在应用中的普及，上述技术也被交付到 Kubernetes 上运行。 KSPM（Kubernetes 安全态势管理）与 CSPM 类似，但针对 Kubernetes 进行了调整。 它可能是一个 matt随着时间的推移，人们会看到 KWPP（Kubernetes 工作负载保护平台）和 KSNS（Kubernetes 网络安全服务）等术语。

CSNS 和 SASE

CSNS 功能看起来很像 ZTNA & NGFW。 这是因为两者都是网络安全技术。 耳鼻喉科erp人们希望看到 NS（南北）和 EW（东西）流量的统一技术。 因此，我们相信 CSNS 功能将由 SASE 提供商。 普遍的 SASE 预计可以解决所有与网络相关的攻击面，无论它们是 WAN、Kubernetes 网络、带有服务网格的 Kubernetes 网络、VPC 网络、边缘网络等。这似乎是趋势并被接受，因为许多 CNAPP 提供商不再谈论 CSNS。

网络安全网状架构 (CSMA)

耳鼻喉科面临的最大挑战之一erp上升的面是安全孤岛。 耳鼻喉科erp用于部署来自不同供应商的多种安全功能，以解决本地安全、端点安全、网络安全、 Cloud 安全要求。 每个安全功能都带有策略管理、可观察性和数据平面。 因此，管理和可见性变得复杂，导致安全配置错误，从而错过或延迟安全事件检测和响应。 Gartner 创建了 CSMA 术语作为其安全思想领导力的一部分。 Gartner 认识到 Enterp增长需要来自不同安全供应商的多种安全功能。 CSMA概念正试图满足Ent的需求erp需要单一管理平台进行政策管理和可观察性的增长。

Gartner 定义了安全供应商必须遵循的一些原则，以实现多种安全功能的组合。 主要原则是安全供应商在 CLI 和 Portal 接口之外公开 API。 API 优先方法允许 Enterp崛起或托管安全提供商实现用于策略管理和安全分析的单一综合仪表板。

Gartner 还指出需要具有去中心化用户身份的“身份结构”。 今天，耳鼻喉科erp兴起使用 AD、LDAP、SAML IdP 和 OIDC IdP 等技术来维护凭证数据库。尽管拥有员工身份数据库是可以的，但为公共用户维护 ID 数据库是隐私和安全方面的挑战。 将身份数据库和身份检查转移给分布式身份提供商对于两个实体来说是双赢的erp的增长和最终用户。  阿迪协会 和 W3C 正在开发一个通用框架和规范来实现去中心化身份结构。

尽管 CSMA 并不直接解决实际安全问题，但此架构/概念最大限度地减少了安全配置错误，并提供端到端可见性，以实现更快的事件检测和响应。

SASE 和CNAPP正在朝着实现CSMA的方向前进。  SASE 通过提供用于网络安全策略管理和可观察性的单一管理平台，整合所有网络安全功能和网络功能。 CNAPP 整合所有 cloud 安全功能集于一身。 CSMA 是更高一级的整合，包括 SASE、CNAPP、端点安全、身份和其他网络安全技术。

总结

数据安全需要多种技术，例如数据加密、数据治理、数据脱敏和网络安全。  SASE 是网络安全的一个组成部分。 Cloud 边缘转型与微服务架构等较新的应用程序架构相结合，暴露了更多的攻击面点。 CNAPP 与 Universal SASE 解决与新攻击面相关的安全挑战。

• CTO 见解博客

  Aryaka CTO 见解博客系列提供网络、安全和技术方面的思想领导力 SASE 主题。 为了 Aryaka 产品规格参考 Aryaka 数据表。