保护数据 – SASE、CNAPP 和 CSMA 角色

数据已成为耳鼻喉科最宝贵的资源erp上升。 难怪有很多坏人试图扰乱 Enterp防止企业窃取和破坏数据。

数据安全就是保护数据免遭未经授权的用户、恶意软件破坏数据的侵害cio我们的意图和数据盗窃。 您可能想知道为什么许多安全公司谈论保护应用程序、网络、端点，但很少谈论数据。 原因是数据与应用程序和系统之间存在密切的关系。 除非应用程序和系统免受不良行为者的侵害，否则数据安全是不可能的。

“数据是新石油”这句话解释了应用程序与数据之间的关系。 数据就像原始形式的石油一样，除非经过提炼以供消费，否则没有任何用处。 应用程序处理数据并以易于使用的方式将其呈现给用户。

SASE 在数据安全中的作用

请阅读 解密 SASE 博客概述 SASE.

SASE 在保护跨本地云、公共云和公共边缘的分布式劳动力和分布式部署的世界中的应用程序方面发挥着重要作用。 以下部分提供了一些关键的安全问题以及如何 SASE 向他们致意。

耳鼻喉科erp出于各种业务目的开发或部署许多应用程序。 所有应用程序可能不需要访问所有 Enterp上升数据。 并且应用程序的所有用户不需要访问所有应用程序数据。 因此，“最小权限访问”和“基于身份的访问控制”是数据安全的关键。

应用不再简单。 开发人员使用许多软件组件——内部构建、购买和开源——使得软件变得复杂且更容易受到攻击。 攻击者倾向于利用威胁知识库并尝试利用漏洞来访问应用程序，然后访问数据。 因此，针对漏洞的威胁防护对于数据安全非常重要。

应用程序和系统管理最为关键，因为应用程序管理员往往拥有更高的权限。 任何管理员帐户的凭据被盗都可能对 Ent 造成严重破坏erp上升。 增加数据保护需要很少的安全技术，例如采用第二级 MFA、限制用户从不安全/未知位置进行访问、限制用户表现出异常行为模式。

耳鼻喉科erp崛起在许多地点部署应用程序，为分散的员工提供低延迟的用户体验，并确保应用程序能够承受增加或异常的负载。 对于分布式应用程序，数据也是分布式的。 因此，预计安全性也将被分散，以解决应用程序需求的增加和 DDoS 攻击。

ZTNA（零信任网络访问）平台和 NGFW （下一代防火墙）的 SASE 解决上述安全问题。 由于此， SASE 正在成为通过保护应用程序以及实现基于身份的访问和授权控制来解决数据安全问题的关键网络安全要素之一。

有人可能会问“ZTNA 和 NGFW 足够好”来保护应用程序并从而保护数据。 利用公共云、Ent 的公共边缘进行云转型erp应用程序上升，攻击面就更多。 数据安全需要修复这些攻击面。 这就是 CNAPP 发挥作用的地方。

通过云转型增加攻击面

更简单应用程序的云转型减少了 Enterp由于公共基础设施软件的安全性由云提供商负责，因此响应度有所提高。 从这张图来看，应用程序开发人员越来越关注业务逻辑，并将普通软件组件的责任留给云提供商。

确实，开发者只需关注应用逻辑，而将操作系统、框架、数据库、文件存储、密钥管理、认证、授权系统、可观测系统等公共服务的维护和安全补丁交给云提供商，从而减少安全责任仅限于应用程序

也就是说，分布式劳动力和需要低延迟体验的新型应用程序使应用程序部署变得复杂，从而暴露了更多的攻击面。

应用程序越来越需要部署在多个位置，不仅跨云提供商的区域，而且还跨多个云提供商和边缘提供商，以提供最佳的用户体验。 此外，应用程序越来越多地按需部署在边缘中。 也就是说，只有当附近有客户端需要应用程序服务时，才部署应用程序。 出于成本原因，不保证在所有边缘部署完整的复杂应用程序。 欢迎来到微服务架构。 应用程序开发人员采用微服务架构不仅是为了提高生产力，也是为了在边缘中实现部分应用程序部署，并将其余部分保留在云端。

下图（为了简洁起见）显示了基于微服务的应用程序部署。 在这个任意应用示例中，应用程序的微服务 1 和 2 部署在边缘以提供低延迟体验，微服务 3 和 4 部署在云中用于应用程序的其他操作。 如图所示，共有5个攻击面点。

1. 最终客户端与前端微服务 1 之间的通信以及跨边缘和云的微服务间通信
2. 边缘位置或云位置内的微服务之间的通信。
3. 应用程序微服务与云/边缘提供商服务之间的通信
4. 从外部到提供商服务与提供商服务的通信。
5. 微服务的内部软件组件

任何全面的安全措施都应该能够解决所有攻击面。

攻击面 (1) 可以通过以下方式解决 SASE 中天新区& NGFW。 由于分布式计算、微服务架构和使用云提供商服务的应用程序，所有其他攻击面都暴露出来。 由于这主要是由于云/边缘转型，Gartner 定义了一个名为 CNAPP 模型的新类别来应对这些安全挑战。

CNAPP（云原生应用程序保护平台）解决不断增加的攻击面

CNAPP 是一种云原生安全模型/技术，将云安全态势管理 (CSPM)、云服务网络安全 (CSNS) 和云工作负载保护平台 (CWPP) 结合在一个平台中。 通过将多个云安全工具组合到一个平台中，CNAPP 提供了诸如跨应用程序生命周期的全面可见性（构建、部署到运行时阶段）以及跨多种技术的全面控制等优势。 就像 Gartner 创造的其他术语一样，CNAPP 术语也有望为供应商和消费者之间提供对安全功能/平台能力的共同理解。 让我们检查 CNAPP 的组成部分，然后将攻击面点映射到这些组成部分。

云安全态势管理 (CSPM)：CSPM 能力赋予 Enterp提高所有云资源/服务的可见性erp增加来自多个云提供商的应用程序使用。 CSPM 还映射云服务和使用它们的应用程序。

CSPM 的最大好处是配置扫描以检测任何错误配置。 由于云提供商的服务非常通用，因此其安全性与其配置一样好。 重要的是要了解云提供商的服务是多租户的，并且它们的访问不能由 Ent 控制erp上升。 如果配置错误，攻击者就可以访问这些服务并窃取和损坏数据。 例如，如果数据库服务被错误地配置为允许任何人访问，则它可能会泄露 Enterp增加应用程序在数据库服务中存储的数据。

CSPM 还对云服务中的数据执行合规性检查，并向 Ent 提供合规性违规可见性erp上升。

CSPM 解决上图中列出的攻击面 (4).

云服务网络安全（CSNS）：  CSNS 提供应用程序的微服务之间的网络级安全以及微服务与云服务之间的网络安全。 它的功能就像 SASE/ZTNA。 其功能包括 NGFW、WAF、基于身份的访问控制、WAF、API 保护、DoS/DDoS 防护。 CSNS 与传统网络安全的活力不同。 由于工作负载是动态的，CSNS 安全生命周期需要与应用程序的生命周期保持一致。

CSNS解决上图中的攻击面（2）和（3）. 本质上，CSNS 为电子战流量提供网络安全。

云工作负载保护平台 (CWPP)： CWPP 功能主要检查

• 通过分析图像、获取软件清单、清单版本并检查威胁情报数据库以了解软件清单中的任何已知漏洞，来发现工作负载映像（虚拟机、容器、无服务器）中的漏洞。
• 恶意软件检测和解除wan在图像中进行软件检测，以确保其供应链中没有引入恶意软件。
• 通过主机入侵防御技术在运行时进行利用。
• 使用 Intel SGx 等安全保护技术来保护运行时内存。
• 通过 RASP（运行时应用程序自我保护）保护运行时工作负载

CWPP解决上图中列出的攻击面（5）.

随着 Kubernetes 在应用中的普及，上述技术也被交付到 Kubernetes 上运行。 KSPM（Kubernetes 安全态势管理）与 CSPM 类似，但针对 Kubernetes 进行了调整。 它可能是一个 matt随着时间的推移，人们会看到 KWPP（Kubernetes 工作负载保护平台）和 KSNS（Kubernetes 网络安全服务）等术语。

CSNS 和 SASE

CSNS 功能看起来很像 ZTNA & NGFW。 这是因为两者都是网络安全技术。 耳鼻喉科erp人们希望看到 NS（南北）和 EW（东西）流量的统一技术。 因此，我们相信 CSNS 功能将由 SASE 提供商。 普遍的 SASE 预计可以解决所有与网络相关的攻击面，无论它们是 WAN、Kubernetes 网络、带有服务网格的 Kubernetes 网络、VPC 网络、边缘网络等。这似乎是趋势并被接受，因为许多 CNAPP 提供商不再谈论 CSNS。

网络安全网状架构 (CSMA)

耳鼻喉科面临的最大挑战之一erp上升的面是安全孤岛。 耳鼻喉科erp用于部署来自不同供应商的多种安全功能，以满足本地安全、端点安全、网络安全、云安全要求。 每个安全功能都带有策略管理、可观察性和数据平面。 因此，管理和可见性变得复杂，导致安全配置错误，从而错过或延迟安全事件检测和响应。 Gartner 创建了 CSMA 术语作为其安全思想领导力的一部分。 Gartner 认识到 Enterp增长需要来自不同安全供应商的多种安全功能。 CSMA概念正试图满足Ent的需求erp需要单一管理平台进行政策管理和可观察性的增长。

Gartner 定义了安全供应商必须遵循的一些原则，以实现多种安全功能的组合。 主要原则是安全供应商在 CLI 和 Portal 接口之外公开 API。 API 优先方法允许 Enterp崛起或托管安全提供商实现用于策略管理和安全分析的单一综合仪表板。

Gartner 还指出需要具有去中心化用户身份的“身份结构”。 今天，耳鼻喉科erp兴起使用 AD、LDAP、SAML IdP 和 OIDC IdP 等技术来维护凭证数据库。尽管拥有员工身份数据库是可以的，但为公共用户维护 ID 数据库是隐私和安全方面的挑战。 将身份数据库和身份检查转移给分布式身份提供商对于两个实体来说是双赢的erp的增长和最终用户。  阿迪协会 和 W3C 正在开发一个通用框架和规范来实现去中心化身份结构。

尽管 CSMA 并不直接解决实际安全问题，但此架构/概念最大限度地减少了安全配置错误，并提供端到端可见性，以实现更快的事件检测和响应。

SASE 和CNAPP正在朝着实现CSMA的方向前进。  SASE 通过提供用于网络安全策略管理和可观察性的单一管理平台，整合所有网络安全功能和网络功能。 CNAPP 将所有云安全功能整合到一起。 CSMA 是更高一级的整合，包括 SASE、CNAPP、端点安全、身份和其他网络安全技术。

总结

数据安全需要多种技术，例如数据加密、数据治理、数据脱敏和网络安全。  SASE 是网络安全的一个组成部分。 云和边缘转型与微服务架构等较新的应用程序架构相结合，暴露了更多的攻击面点。 CNAPP 与 Universal SASE 解决与新攻击面相关的安全挑战。

• CTO 见解博客

  Aryaka CTO Insights 博客系列提供了网络、安全和技术方面的思想领导力 SASE 主题。 有关 Aryaka 产品规格，请参阅 Aryaka 数据表。