云安全
CSPM(云安全姿态管理)
别称: 云安全态势管理
定义
一类持续将云账户与最佳实践和合规基线进行比对,以发现并修复配置错误的工具。
CSPM 平台通过云厂商 API(AWS、Azure、GCP、OCI)接入云环境,清点网络、存储、IAM、数据库等全部资源,然后用源自 CIS、NIST、PCI、SOC 2 或自定义策略的规则进行评估。常见发现包括公开访问的存储桶、权限过大的安全组、缺失的加密配置、被关闭的日志记录以及偏离标准基线的情况。现代 CSPM 会结合业务上下文(数据敏感度、互联网暴露、影响范围)对风险进行排序,并提供自动修复剧本或 Terraform 拉取请求。它是多云治理的基础,但通常缺乏工作负载层面的深度,因此越来越多被整合进 CNAPP 套件。
示例
- Wiz、Prisma Cloud 或 Microsoft Defender for Cloud 检出公开 ACL 的 S3 存储桶。
- AWS Security Hub 汇总跨账户的 CIS Foundations Benchmark 检查结果。
相关术语
云安全
用于保护托管在公有云、私有云或混合云环境中的数据、应用和基础设施的一整套策略、控制措施和技术。
Cloud Misconfiguration
Cloud Misconfiguration — definition coming soon.
CNAPP(云原生应用保护平台)
一种集成式安全平台,融合 CSPM、CWPP、CIEM、IaC 扫描与运行时检测,用于保护云原生应用从构建到运行时的全过程。
CWPP(云工作负载保护平台)
一种保护云端工作负载(虚拟机、容器和无服务器函数)从构建到运行时整个生命周期的平台。
CIEM(云基础设施权限管理)
一种用于发现、分析并精简云环境中身份与权限的安全实践及工具类别。
合规
通过文档化控制、证据收集和持续评估,满足法律、监管、合同及内部安全要求的实践。