云安全态势管理(CSPM)工具在网络安全中起着重要作用,一旦出现问题,CSPM将能持续监控、识别、评分,并修复跨云基础设施的安全性和合规性问题。
如今,CSPM正越来越多地与云工作负载保护平台(CWPP)和云基础设施授权管理(CIEM)相结合,作为综合云原生应用程序保护平台(CNAPP)的一部分;然而,云安全态势管理检测和修复云错误配置的能力,使得独立的CSPM解决方案对于小型企业来说也是值得投资的工具。
以下是我们挑选的当今市场上顶级的云安全态势管理(CSPM)工具:
Palo Alto Networks Prisma Cloud:综合最佳;
Check Point CloudGuard:最适合合规性;
Lacework:最适合行为分析;
CrowdStrike Falcon Cloud Security:最适合威胁情报;
Cyscale:最适合云安全映射;
Trend Micro Trend Cloud One Conformity:最适合配置建议;
Ermetic:最适合特权访问管理;
云安全态势管理工具可以提供广泛的功能,包括支持不同的云基础设施和业务规模,以及专门的安全特性和集成。以下是针对几个关键类别的CSPM软件比较:
软件名称 | 风险或合规性评分 | 自动化 | 高级数据治理和安全功能 | CIEM功能 | 定价 |
Palo Alto Networks Prisma Cloud | √ | √ | √ | √ | 取决于选定的合作伙伴和其他因素;100个积分和12个月的AWS Marketplace订阅费用为18,000美元。 |
Check Point CloudGuard 云安全态势管理 | √ | √ | √ | √ | 取决于选定的合作伙伴和其他因素;涵盖25种资产的起价为625美元/月。
|
Lacework | √ | √ | 有限 | √ | 取决于选定的合作伙伴和其他因素;起价为1,500美元/月,通过谷歌云市场(Google Cloud Marketplace)使用时,每单位需额外支付0.01美元的使用费。 |
CrowdStrike Falcon Cloud Security | √ | √ | √ | √ | 取决于选定的合作伙伴和其他因素;起价为14.88美元/年,通过AWS Marketplace订阅。 |
Cyscale | √ | √ | √ | √ | 取决于选定的合作伙伴和其他因素;专业版计划的起价为1万美元/年,可通过Azure Marketplace订阅。 |
Trend Micro Trend Cloud One Conformity | √ | √ | 有限 | 有限 | Cloud First计划直接通过趋势科技提供,217美元/月/账号,拥有26到50个账户的用户按年收费。 |
Ermetic | 有限 | √ | 有限 | √ | 取决于选定的合作伙伴和其他因素;商业计划起价为28,000美元/年,可通过AWS Marketplace订阅。 |
综合最佳
Prisma Cloud是一种CNAPP解决方案,具有适用于混合、多云和云原生环境的顶级云安全态势管理功能。该解决方案在5个不同的公共云环境中——AWS、谷歌云平台、微软Azure、甲骨文云和阿里巴巴——提供了完整的特性集和功能。值得注意的是,Prisma Cloud是少数几个同时为阿里巴巴和甲骨文云提供功能的解决方案之一。
Prisma Cloud从大多数CSPM竞争对手中脱颖而出的原因有很多,包括其灵活的实现选项,多个第三方和供应商的安全性和合规性集成,机器学习驱动的威胁和异常检测,以及代码扫描和开发支持功能。它是少数几个提供全面的代码扫描功能且易于使用的解决方案之一。通过该平台实现定制和自动化也相当简单。
Prisma Cloud的定价信息没有透明地列在供应商的网站上;这取决于用户选择使用的合作伙伴和特性。例如,Prisma Cloud企业版的100个积分和12个月的AWS市场订阅费用为18,000美元。Prisma Cloud企业版是唯一具有特定CSPM功能的Prisma Cloud版本。
具有完整生命周期资产变更归属的自动化工作负载和应用程序分类;
基于700多个策略和120个云服务的配置评估;
自动修复常见的错误配置;
自定义策略构建和报告功能;
网络威胁检测、UEBA和集成威胁检测仪表板;
采用一种全面的方法来跨多个数据源进行数据规范化和分析,这是许多竞争对手无法比拟的;
用户可以使用机器学习驱动的基于异常的策略;
Palo Alto Networks企业数据丢失防护(DLP)和WildFire恶意软件防护服务与Prisma Cloud集成,支持强大的数据安全功能
Palo Alto Networks的定价方法并不简单明了;根据需要的容量单元数量,客户可能会很快超出预算;
这种解决方案并不太适合小型企业,特别是因为它缺乏一些支出跟踪功能。
最适合合规性
Check Point CloudGuard云安全态势管理是CloudGuard云原生安全平台的一个组件,专门为云安全态势管理提供自动化、可定制的解决方案。它旨在支持云原生环境中的安全和合规性功能,为AWS、谷歌云平台、微软Azure、阿里巴巴和Kubernetes用户提供完整的功能,并为其他云用户提供有限的功能。
许多用户选择这个CSPM是因为它令人印象深刻的合规性功能,其中包括基于规则的、基于数十个合规性框架的ML驱动遥测映射,以及用于自动执行合规性策略的CloudBots。该解决方案中的其他突出特性包括AI/ ML驱动的情境化,它会出现在风险评分活动、IDE中的风险管理以及高级基础设施即代码扫描之前。
CloudGuard云安全态势管理的定价信息没有透明地列出在供应商的网站上;这取决于用户选择使用的合作伙伴和特性。例如,通过AWS Marketplace访问CNAPP合规性和网络安全的费用为625美元/月/25个资产。AWS Marketplace还提供12个月、24个月和36个月的订阅计划,以及购买100个资产包的能力。CloudGuard云安全态势管理通常作为CloudGuard CNAPP合规性和网络安全的一部分购买。
安全加固和运行时代码分析;
自动修复是通过合规性引擎提供的;
IAM驱动的即时用户访问;
安全评估可用于50多个合规性框架、250个云原生API和2,400个安全规则集;
工作负载和软件供应链安全能力
威胁情报支持是所有CloudGuard云安全态势管理用户的免费附加组件;
治理和合规策略特性,尤其是CloudGuard的遥测映射,非常先进;
CloudBots提供易于使用的低代码、开源自动化;
对Oracle Cloud用户的有限支持和特性;
CloudGuard的授权包有很大的最低限额,这对于较小的业务预算和需求来说是不友好的;
最适合智能行为分析
Lacework是一个CNAPP平台,它将云安全态势管理与漏洞管理、基础设施即代码(IaC)安全、身份分析和云工作负载保护相结合,适用于AWS、Microsoft Azure、Google云平台和Kubernetes配置。Lacework并非主要依靠风险和安全管理的合规性策略,而是依靠智能行为分析来确定云环境中的基线,并根据这些标准评估异常和风险。
Lacework的机器学习驱动方法允许平台自动化云安全管理,不仅用于行为分析,还用于威胁情报和异常检测。该工具中的其他突出功能包括代理和无代理操作以及报告功能,这些功能可以轻松地与业务中的各种涉众共享发现结果。
Lacework的定价信息没有透明地列在供应商的网站上;这取决于用户选择使用的合作伙伴和特性。例如,Lacework的起价为每月1,500美元,通过谷歌云市场(Google Cloud Marketplace)使用时,每单位需额外支付0.01美元的使用费。CSPM功能作为Lacework Polygraph数据平台的一部分提供。
云资产库存与每日库存捕获;
预构建和自定义策略选项;
可定制的报告;
攻击路径分析和情境化补救指导;
严重性和风险评分
LaceworkLab是一个内部研究团队,负责识别新的威胁,并优先考虑优化Lacework平台的方法;
该解决方案是高度可定制的,特别是通过Polygraph行为引擎提供的功能;
该工具提供高级风险情境化,允许用户将各种类型的错误配置与环境中已识别的异常活动相匹配;
有限的第三方集成和支持;
数据治理功能有限;
最适合威胁情报
CrowdStrike Falcon Cloud Security为混合云和多云环境提供了先进的CSPM功能。它与三种主要的公共云:AWS、Azure和GCP特别兼容,为这三种服务的用户提供威胁检测、预防和修复功能。CrowdStrike的解决方案主要采用无代理的CSPM方法,通过持续的发现和智能监控,简化了云环境中的风险管理和响应。
但CrowdStrike的CSPM解决方案在威胁情报方面具有战略意义和深厚的专业知识,是使其脱颖而出的关键。其“对手优先”(adversary-first)的威胁情报方法,基于50多个攻击指标和150个对手团体的策略,支持指向性补救,使团队更快、更容易地识别和修复最紧迫的安全问题。
CrowdStrike Falcon Cloud Security的定价信息没有透明地列在供应商的网站上;这取决于用户选择使用的合作伙伴和特性。例如,Falcon Cloud Security的Falcon CrowdStrike CSPM部分12个月的订阅费为14.88美元,用户可以选择通过AWS Marketplace支付额外的费用。用户还可以选择通过AWS Marketplace购买对Falcon CWP和CWP On-Demand的访问权。
由机器学习和行为分析驱动的TTP/IOA检测;
对手驱动的威胁检测和情报;
对错误配置的指导性补救支持;
对未受保护的资源进行一键重新配置的能力;
DevOps、SIEM和其他云安全集成
该解决方案与CrowdStrike的大量网络安全解决方案集成得很好;
CrowdStrike在XDR和EDR解决方案方面的专业知识使CSPM客户能够从云威胁搜索等独特功能中受益;
该平台采用全面和集中的威胁情报方法,具有身份驱动的实时检测;
几乎没有代码扫描功能
CSPM的公共云范围有限,其完整功能仅适用于AWS、Google云平台和Microsoft Azure;
最适合云安全映射
Cyscale将自己定位为“情境云安全态势管理解决方案”,提供支持AWS、微软Azure、谷歌云平台和阿里巴巴配置的云安全管理功能。Cyscale通过多个仪表板、易于导航的界面和结构化的方法来引导新客户及其个人团队,非常注重其解决方案的用户体验。
Cyscale为云资产和安全控制提供了一些最好的映射功能,比如监管标准和组织特定策略。它的工作方式是,云基础设施问题被映射到从既定政策到更大的监管标准的所有方面;在此基础上,用户可以设置自定义阈值,以确定哪些资产满足其安全性和合规性需求。Cyscale的映射方法对于经常被审计,且需要一种快速的方法来可视化问题和补救步骤的组织特别有效。
Cyscale的定价信息没有透明地列出在供应商的网站上;这取决于用户选择使用的合作伙伴和特性。例如,专业(Pro)计划的起价为10,000美元/年,可通过Azure Marketplace提供最多1,000个资产。用户还可以选择以1000美元的价格购买一个月的相同套餐。Scale计划包括更多功能和多达5,000项资产,一年的订阅费用为50,000美元,按月的订阅费用为5,000美元。
云资产盘点、映射和安全评分;
超过500个内置安全控制和策略;
应用内咨询和补救指导;
数据保留导出长达一年的PDF和CSV格式;
除了支持多个公共云,Cyscale还集成了Okta和Azure Active Directory等身份提供商;
Cyscale从一开始就对新客户采用资产发现和映射方法,使其成为用户体验和可见性的最佳CSPM解决方案之一;
提供了一些在CSPM市场上最直接的入门和部署过程;
Cyscale可能非常昂贵,特别是对于预算较小的企业;
单个资产的构成可能会让用户感到困惑,特别是对于那些试图预测成本的新用户;
最适合配置建议
趋势科技的Trend Cloud One Conformity是一个领先的CSPM解决方案,主要关注谷歌云平台、AWS和微软Azure配置,擅长于为新用户提供详细的解释、指导和支持。趋势科技致力于在潜在买家做出承诺之前为他们提供知识,它是为数不多的提供免费公共云风险评估的CSPM供应商之一,以帮助人们在AWS或Azure中构建云基础设施之前获得额外的安全、治理和合规性指导。
Trend Cloud One Conformity还提供了详细的配置建议,这些建议是基于云设计和基础设施标准的。有了这组原则作为其建议的支柱,用户可以轻松地检查他们的配置决策如何与安全性、卓越运营、可靠性、性能效率、成本优化和可持续性等支柱保持一致。用户可以手动更新配置,也可以基于这些规则自动修复配置。
该趋势科技解决方案的定价取决于用户访问它的来源。不过,这是该列表中可以直接通过供应商购买的少数选项之一。Cloud First计划直接通过趋势科技提供,每个账户每月217美元,拥有26到50个账户的用户按年收费。Cloud Ready和Cloud Native包还提供了30天的免费试用。
补救指南和自动补救;
可过滤的错误配置审计;
可导出和可定制的报告;
根据合规性和行业标准进行持续扫描;
免费的公共云风险评估;
直接、易于设置的自动修复的最佳选择之一;
该解决方案集成了多个服务票务和通信工具,包括Slack、ServiceNow、Jira、PagerDuty和Microsoft Teams;
该Conformity Knowledge Base为用户提供了广泛的自助修复指南集合;
有限的CIEM能力;
功能仅限于三个公共云:AWS、Microsoft Azure和Google Cloud Platform;
最适合特权访问管理
Ermetic是一个CNAPP解决方案,它同样强调云安全态势管理和云基础设施授权管理(CIEM),适用于AWS、谷歌云平台和微软Azure的配置和用户。其身份驱动的功能包括多云资产管理和检测、基于身份授权的风险评估以及以IAM为重点的策略建议。它也是为数不多的为其用户提供特权访问管理(PAM)和即时访问管理特性的CSPM软件选项之一。
Ermetic的定价信息并未透明地列在供应商的网站上;这取决于用户选择使用的合作伙伴和特性。例如,Emmetic CIEM和CSPM的商业计划起价为28,000美元/年,通过AWS Marketplace购买时最多可提供120个工作负载。
使用身份驱动策略的自动修复;
对未使用的和过多的用户权限都可以进行补救;
结合CSPM和CIEM功能;
在Terraform和CloudFormation中的IaC片段;
策略的内置模板和可定制选项
对于想要全面CIEM功能的用户来说,这是最好的CSPM选项之一;
唯一提供特权访问管理的CSPM解决方案之一;
与SIEM和票务解决方案(如Splunk、IBM QRadar、ServiceNow和Jira)的强大集成;
至少根据AWS Marketplace提供的信息,这是CSPM市场中最昂贵的选项之一;
仅限于AWS、Azure和GCP;
【FreeBuf粉丝交流群招新啦!
在这里,拓宽网安边界
甲方安全建设干货;
乙方最新技术理念;
全球最新的网络安全资讯;
群内不定期开启各种抽奖活动;
FreeBuf盲盒、大象公仔......
扫码添加小蜜蜂微信回复“加群”,申请加入群聊】
https://www.esecurityplanet.com/products/cspm-tools/
文章引用微信公众号"FreeBuf",如有侵权,请联系管理员删除!
