云服務(wù)提供商提供了日志、API、原生代理等多種技術(shù)，幫助安全團(tuán)隊在整個應(yīng)用堆棧中實現(xiàn)合規(guī)、可見和可控。

　　在云環(huán)境中，安全責(zé)任由云服務(wù)提供商（CSP）和企業(yè)安全團(tuán)隊共同承擔(dān)。為了幫助安全團(tuán)隊在整個應(yīng)用堆棧中實現(xiàn)合規(guī)、可見和可控，云服務(wù)提供商和安全供應(yīng)商在不同層中增加了各種創(chuàng)新措施。在本文中，我們將比較這些措施，并為企業(yè)提供了思考這些措施的框架。

　　1、概述

　　云服務(wù)提供商正在以驚人的速度推出新服務(wù)，使企業(yè)應(yīng)用程序開發(fā)人員能夠更快地為市場帶來新的商業(yè)價值。對于每一項新服務(wù)，云服務(wù)提供商在承擔(dān)越來越多的安全責(zé)任的同時，也使企業(yè)安全團(tuán)隊更多地專注于應(yīng)用程序。為了能夠在這種多樣且快速變化的環(huán)境中提供可見性和安全性并增強(qiáng)現(xiàn)有的工具，云服務(wù)提供商提供了日志、API、原生代理以及一些其他技術(shù)，供企業(yè)安全團(tuán)隊使用。

　　2、具體技術(shù)措施

　　有許多不同的措施來實現(xiàn)安全性，每種措施都有不同的權(quán)衡考量，包括可見性和深入程度、部署難易度、所需權(quán)限、成本以及適應(yīng)規(guī)模等方面。

　?。?）API和日志

　　API和日志是探測云端賬戶并發(fā)現(xiàn)這些賬戶內(nèi)安全團(tuán)隊感興趣的異?；顒拥淖罴汛胧?。使用這些機(jī)制可以輕易獲得各種賬戶數(shù)據(jù)，且安全團(tuán)隊無需做更多的工作就可以對組織中眾多賬戶進(jìn)行跨賬戶訪問。該措施提供了極大的可見性，但需要輔以保護(hù)措施。

　?。?）鏡像和快照分析

　　鏡像和快照分析是一種很好的措施，可以在應(yīng)用啟動前和運(yùn)行中獲得更深度的工作負(fù)載數(shù)據(jù)。該措施可以對運(yùn)行中的系統(tǒng)的磁盤鏡像/快照進(jìn)行分析，以檢測所有異常、漏洞、配置事件等。快照提供了工作負(fù)載的深度數(shù)據(jù)，但可能無法檢測到內(nèi)存常駐問題（memory resident issues），如無文件惡意軟件（fileless malware）。此外，隨著我們轉(zhuǎn)向使用臨時工作負(fù)載，定期分析快照可能作用有限。此外，這個機(jī)制可能不適用于無法獲得磁盤快照的云服務(wù)。該措施提供了快照的深度數(shù)據(jù)，但需要輔以一些保護(hù)措施才能發(fā)揮作用。

　　（3）原生Agent和腳本

　　原生Agent和腳本是一個很好的措施，通過提供一個簡單的方法來加強(qiáng)云原生Agent（如SSM）來實現(xiàn)更深層次的可見性和可控性。根據(jù)功能原理，這些Agent可以有很高的資源使用率。原生Agent的支持受限于云服務(wù)提供商提供的能力，如操作系統(tǒng)支持/提供的功能。在很多情況下，原生Agent運(yùn)行的命令會記錄所需的信息，這意味著我們需要與日志記錄措施并行工作。

　　（4）DaemonSet和Sidecar容器

　　DaemonSet和Sidecar容器是一種在容器和無服務(wù)（serverless）環(huán)境中輕松部署代理的方法。Sidecar允許每個pod運(yùn)行一個容器，該容器可提供深度數(shù)據(jù)，但資源使用量和成本很高，因為多個sidecar會在一臺服務(wù)器上運(yùn)行。Sidecar可以在容器無服務(wù)（Container Serverless）模型中工作，而在這種模型下DaemonSet容器無法使用。由于Sidecar和DaemonSet的功能就像Agent一樣，所以本文所提到的許多Agent限制也適用。

　?。?）Agent

　　Agent通過與應(yīng)用程序一起運(yùn)行代碼，提供了對應(yīng)用程序運(yùn)行環(huán)境的最深可見性和最佳可控性。然而這種措施難以實現(xiàn)，因為安全團(tuán)隊需要事先具備深入的主機(jī)發(fā)現(xiàn)能力，才能部署這些Agent。安裝Agent也存在阻力，因為它必須在每臺機(jī)器上運(yùn)行，而安全團(tuán)隊沒有權(quán)限在每臺機(jī)器上運(yùn)行軟件，尤其是在云環(huán)境中。根據(jù)所支持的用例，該解決方案的資源使用和成本可能很高。較新的技術(shù)（如擴(kuò)展伯克利包過濾器eBPF）可以減少Agent的資源占用，使其更容易被廣泛接受。

　?。?）內(nèi)置入鏡像/代碼

　　內(nèi)置入鏡像/內(nèi)置入代碼的措施允許安全內(nèi)置到被部署的應(yīng)用程序鏡像中。這使得無需在每個工作負(fù)載上部署Agent即可完成安全功能的部署。這種措施提供了應(yīng)用程序的深度可見性，甚至適用于無服務(wù)（serverless）的工作負(fù)載。但由于必須在構(gòu)建過程中添加代碼，因此代碼編譯時會增加巨大的阻力，并且需要提供各種應(yīng)用語言的代碼庫。

　　3、總結(jié)

　　每種安全措施都有其獨特的權(quán)衡，由于不同團(tuán)隊使用的平臺各不相同，沒有一種措施可以滿足各種團(tuán)隊的所有需求。

　　隨著時間變化，不同的云服務(wù)將會處于不同的成熟度水平。安全團(tuán)隊需要采取循序漸進(jìn)的方法，在服務(wù)采用周期的開始階段選用易于集成的解決方案，來提供安全性和可見性的基本防護(hù)。隨著服務(wù)上的應(yīng)用程序日漸成熟并且更多高價值的應(yīng)用程序逐漸上線，則需要提供更深入的發(fā)現(xiàn)和控制安全措施來對現(xiàn)有措施進(jìn)行補(bǔ)充。

　　沒有任何單一措施能夠滿足所有客戶用例，任意時刻都會有不同的安全解決方案在發(fā)揮作用。我們正在走向一個安全措施更加多元化的世界，必須結(jié)合使用這些措施來幫助保護(hù)企業(yè)安全。