2020年2月24日-28日,網絡安全行業盛會RSA Conference將在舊金山拉開帷幕。前不久,RSAC官方宣佈了最終入選今年的創新沙盒十強初創公司:AppOmni、BluBracket、Elevate Security、ForAllSecure、INKY、Obsidian、SECURITI.AI、Sqreen、Tala Security、Vulcan。
昨天綠盟君已經向大家介紹了Elevate Security 和Sqreen兩家廠商,今天,我們要介紹的是廠商是:AppOmni。
AppOmni成立於2018年,總部位於舊金山卡本代爾,該公司致力於保護、管理和監控公有云上的應用程序(SaaS),從而解決了絕大多數企業SaaS產品上雲後面臨的安全風險。目前公司人數大約40-50人左右,公司的創始人大部分來自Salesforce、Palo Alto Networks公司,在今年1月28日,該公司已經籌集了1300萬美元的A輪融資,投資者以ClearSky牽頭,Inner Loop Capital公司也參與了這一輪融資。
隨著雲技術的蓬勃發展,企業紛紛選擇上雲。然而,面臨複雜多變的雲環境,企業也因擔心數據洩漏問題而經常問雲服務商“你的雲安全嗎?”
隨著技術的不斷積累,雲計算的技術手段越來越成熟,雖然如今的雲環境逐漸趨向於穩定和安全,但是企業上雲暴露出來的安全問題仍然層出不窮,歸根到底是什麼原因?
Gartner曾預測到2022年,至少有95%的雲安全問題是客戶的過錯。因為技術提升的同時,雲上應用變得普適廣泛,雲上的業務複雜性也在提高,我們知道在一些規模比較大的生產級IaaS、PaaS平臺上,通常會有上百個配置選項、每日千萬級的API調用頻次以及各種數據訪問模型。雲服務面臨的安全挑戰不在於雲自身的安全,而在於有效的安全管理、技術控制、實施安全策略等。所以問題不應該是“你的雲安全嗎?”而是“你是否有安全的使用雲?”
SaaS安全防護面臨的問題
SaaS服務在IT成熟市場已被廣泛應用,相關數據表明,到2024年全球SaaS的市場規模將達到1800億美金,年複合增長率超過20%。與此同時,SaaS的安全問題也成為技術人員討論的熱點,近年來大規模的數據洩漏事件已造成數以萬計的損失,綜合原因不外乎以下幾點:
1、雲端不安全的訪問控制
訪問控制、包括特權用戶訪問是數據洩漏的最大原因,而根源在於不安全的默認配置以及對訪問控制的濫用造成,比如舊的用戶未刪除或過度使用管理控制等。面對以上這些問題,一些企業採用RBAC機制來管理用戶的權限訪問控制,這看上去是沒問題的,但在實際運用當中,沒有良好安全基礎背景的運維人員是很難做到完全可控的,畢竟隨著企業規模的增大,人員會越來越多,角色權限也會增多,沒有一個統一的管理平臺光靠專業的維護人員去管理未免要求太高。
2、 錯誤的雲存儲配置
許多企業選擇將SaaS服務部署在公有云上,卻對雲上的存儲配置並不關心,他們認為這是雲服務商的責任。但現實很殘酷,在購買雲服務商服務時大多數中小企業甚至沒有仔細閱讀過條款。據Macfee調查聲稱99%的雲端和IaaS錯誤配置都是在終端用戶的控制範圍內,而且並不為人所知,造成這一現象的主要原因是“公開數據”在很多雲服務中是雲數據存儲配置的默認訪問設置,所以企業需要受過良好教育的架構師和安全人員對服務進行適當的管理,以免數據洩漏的慘案再次發生。
3、SaaS服務缺乏持續性的監控告警
當服務被黑客攻陷導致數據洩漏時,持續的監控告警可以將用戶的損失降到最低。目前企業大多數使用雲服務商提供的監控告警,但因為服務商針對的是普遍用戶群體,所以其安全功能存在單一性、反饋用戶信息不夠友好、缺乏持續性的監控等不足,最終導致了黑客入侵造成了不可收拾的局面。為保證SaaS服務的安全,企業急需一個專業的雲告警平臺處理所有入侵事件。
2018年9月,Veeam公司客戶數據洩漏,有200GB與4.4億條客戶記錄相關的數據在網上公開。2019年12月,雷鋒網報道了 Elasticsearch 服務器 12 億個人數據遭洩露的事件,造成如此之大的損失原因竟然都是因為錯誤的雲實例配置導致,想起來讓人唏噓不已。
綜上,相關領域如雲中的數據的可訪問性如何實現,用戶訪問控制,跨雲的應用程序安全性和數據訪問策略成為了客戶側安全防護面臨的最大問題。
AppOmni平臺是由一個具有豐富經驗並瞭解安全性、合規性、IT團隊需求的專家團隊設計和構建的。通過使用AppOmni自研的策略引擎深度掃描SaaS服務的API和配置,可在數分鐘內識別出數據洩漏,並生成相應報告;其次,AppOmni還持續提供監控用戶的SaaS程序是否發生安全事件併產生相應告警;最後,AppOmni的“SaaS權限建模” 專利可使用戶能夠立即、切實並可行的洞察對SaaS應用程序中關鍵業務數據的有效訪問權限。綜合以上三點,AppOmni在訪問控制、數據洩漏、數據訪問策略方面均有著一定程度的創新,從而為SaaS服務全力保障護航。
AppOmni 的解決方案主要是:安全自動化、合規控制和IT管理,我們逐一進行介紹。
01、安全自動化
1、配置防火牆
AppOmni支持配置防火牆功能,並可以定義數據訪問的安全規則,以防止數據暴露給第三方或公共網絡。
2、一致的訪問控制
基於角色的訪問控制(RBAC)仍然是對SaaS用戶訪問權限控制和授權的行業標準策略,在大型企業必須支持成千上萬內部用戶時,IT團隊將不得不面臨授予訪問權限的壓力,並且此時很容易造成配置權限超越了其自身原本應有權限的事件發生,而且不正確的刪除權限可能會對業務造成嚴重影響。AppOmni遵循RBAC的原則,提供可視化的角色用戶管理界面,可以顯示哪些用戶共享同一權限哪些不共享,並且可以標識異常的用戶權限綁定,使運維人員清晰的對用戶及角色進行有效分配。
3、 24*7的持續監控
有了一致的訪問控制往往還不夠,一旦SaaS應用程序處於已知良好的訪問控制狀態,就需要不斷的保持這種良好的狀態並將一致性延續下去。AppOmni提供了24*7的持續監控,其內部通過“權限模型”可以評估SaaS應用程序配置和有效訪問,與設置的安全策略或綁定的用戶權限有任何偏差都會立即告警並進行相應的處理措施。
02、合規控制
1、合規報告
AppOmni支持在“數分鐘”內執行對SaaS的訪問檢查並導出對應合規性報告,這在企業中是非常必要的,因為企業會不定期的查詢當前部署的SaaS服務是否一切合規。
2、數據清單
AppOmni會根據類型、業務需求、合規性需求對數據進行分類提供用戶可視化數據清單, 並且可以將數據接入任何SIEM系統(SOAR)、日誌管理系統、漏洞管理系統做進一步的數據分析。
3、控制匹配
AppOmni中提供了業界的一些標準,例如ISO 27001、PCI、NIST等,作為基線與SaaS的應用程序進行匹配,從而可以看出SaaS應用程序使用是否合規。
03、IT管理
1、配置管理
AppOmni可以配置用戶角色權限、防火牆安全策略、配置文件等,為用戶、雲環境和應用程序創建了良好的基礎配置模版。
2、功能測試
在IT流程中,將自動化測試納入其中可以在用戶升級和部署新的應用程序時不擔心會出現影響線上版本的事件發生,AppOmni具備這項能力。
AppOmni在官網未說明其使用的掃描引擎運用了哪些技術,只是說是一項專利,但可由此推斷這一定是AppOmni的核心賣點。畢竟在數分鐘內即可掃描完SaaS服務並輸出相應的合規性報告及數據清單,同時又可以做到24*7的持續性服務監控和告警並且不會太影響性能,試問誰不好奇AppOmni是怎麼做到的呢?
對於公有云上的配置進行核查,Gartner將該細分市場稱為CSPM(Cloud Security Posture Management),目前大部分公司的配置核查主要是對如存儲資源的訪問憑證進行檢查,避免弱口令或無口令拖庫的事件,AppOmni的創新之處在於結合合規性要求,可視化地還原業務層面的訪問邏輯關係,並通過持續性的監控告警保證訪問策略隨著業務遷移和人員變更後的一致性。
AppOmni可提供持續的監控和告警這一優勢使得用戶層面具備了“即時可見性”,從而在很大程度上改善了雲中的安全現狀。另外,AppOmni平臺通過用戶定義的安全策略評估數據暴露風險,以提供警告和見解,為用戶節省了大量的補救時間。在企業發展業務速度跟不上上雲引起的安全問題這一普遍趨勢下,AppOmni可以說是該領域的首批著眼於解決如何安全的使用SaaS雲的公司,未來隨著業務越發複雜,雲中面臨的安全問題只會越來越多,希望AppOmni可以保持其創新性和優勢,繼續努力,同時也祝願AppOmni在2020年RSAC創新沙盒十強賽中可以取得好的成績。
[1] https://appomni.com/
[2] https://appomni.com/appomni-raises-10-million-in-series-a/
[3] https://appomni.com/using-roles-for-continuous-saas-security-monitoring/
[4] https://appomni.com/is-the-cloud-secure/
[5] https://www.infosecurity-magazine.com/news/orgs-failing-protect-data-cloud/
[6] https://www.cbronline.com/news/iaas-misconfiguration-mcafee
[7] https://thehackernews.com/2019/10/data-breach-protection.html
閱讀更多 安全牛 的文章
