云服务提供商提供了日志、API、原生代理等多种技术，帮助安全团队在整个应用堆栈中实现合规、可见和可控。

　　在云环境中，安全责任由云服务提供商（CSP）和企业安全团队共同承担。为了帮助安全团队在整个应用堆栈中实现合规、可见和可控，云服务提供商和安全供应商在不同层中增加了各种创新措施。在本文中，我们将比较这些措施，并为企业提供了思考这些措施的框架。

　　1、概述

　　云服务提供商正在以惊人的速度推出新服务，使企业应用程序开发人员能够更快地为市场带来新的商业价值。对于每一项新服务，云服务提供商在承担越来越多的安全责任的同时，也使企业安全团队更多地专注于应用程序。为了能够在这种多样且快速变化的环境中提供可见性和安全性并增强现有的工具，云服务提供商提供了日志、API、原生代理以及一些其他技术，供企业安全团队使用。

　　2、具体技术措施

　　有许多不同的措施来实现安全性，每种措施都有不同的权衡考量，包括可见性和深入程度、部署难易度、所需权限、成本以及适应规模等方面。

　　（1）API和日志

　　API和日志是探测云端账户并发现这些账户内安全团队感兴趣的异常活动的最佳措施。使用这些机制可以轻易获得各种账户数据，且安全团队无需做更多的工作就可以对组织中众多账户进行跨账户访问。该措施提供了极大的可见性，但需要辅以保护措施。

　　（2）镜像和快照分析

　　镜像和快照分析是一种很好的措施，可以在应用启动前和运行中获得更深度的工作负载数据。该措施可以对运行中的系统的磁盘镜像/快照进行分析，以检测所有异常、漏洞、配置事件等。快照提供了工作负载的深度数据，但可能无法检测到内存常驻问题（memory resident issues），如无文件恶意软件（fileless malware）。此外，随着我们转向使用临时工作负载，定期分析快照可能作用有限。此外，这个机制可能不适用于无法获得磁盘快照的云服务。该措施提供了快照的深度数据，但需要辅以一些保护措施才能发挥作用。

　　（3）原生Agent和脚本

　　原生Agent和脚本是一个很好的措施，通过提供一个简单的方法来加强云原生Agent（如SSM）来实现更深层次的可见性和可控性。根据功能原理，这些Agent可以有很高的资源使用率。原生Agent的支持受限于云服务提供商提供的能力，如操作系统支持/提供的功能。在很多情况下，原生Agent运行的命令会记录所需的信息，这意味着我们需要与日志记录措施并行工作。

　　（4）DaemonSet和Sidecar容器

　　DaemonSet和Sidecar容器是一种在容器和无服务（serverless）环境中轻松部署代理的方法。Sidecar允许每个pod运行一个容器，该容器可提供深度数据，但资源使用量和成本很高，因为多个sidecar会在一台服务器上运行。Sidecar可以在容器无服务（Container Serverless）模型中工作，而在这种模型下DaemonSet容器无法使用。由于Sidecar和DaemonSet的功能就像Agent一样，所以本文所提到的许多Agent限制也适用。

　　（5）Agent

　　Agent通过与应用程序一起运行代码，提供了对应用程序运行环境的最深可见性和最佳可控性。然而这种措施难以实现，因为安全团队需要事先具备深入的主机发现能力，才能部署这些Agent。安装Agent也存在阻力，因为它必须在每台机器上运行，而安全团队没有权限在每台机器上运行软件，尤其是在云环境中。根据所支持的用例，该解决方案的资源使用和成本可能很高。较新的技术（如扩展伯克利包过滤器eBPF）可以减少Agent的资源占用，使其更容易被广泛接受。

　　（6）内置入镜像/代码

　　内置入镜像/内置入代码的措施允许安全内置到被部署的应用程序镜像中。这使得无需在每个工作负载上部署Agent即可完成安全功能的部署。这种措施提供了应用程序的深度可见性，甚至适用于无服务（serverless）的工作负载。但由于必须在构建过程中添加代码，因此代码编译时会增加巨大的阻力，并且需要提供各种应用语言的代码库。

　　3、总结

　　每种安全措施都有其独特的权衡，由于不同团队使用的平台各不相同，没有一种措施可以满足各种团队的所有需求。

　　随着时间变化，不同的云服务将会处于不同的成熟度水平。安全团队需要采取循序渐进的方法，在服务采用周期的开始阶段选用易于集成的解决方案，来提供安全性和可见性的基本防护。随着服务上的应用程序日渐成熟并且更多高价值的应用程序逐渐上线，则需要提供更深入的发现和控制安全措施来对现有措施进行补充。

　　没有任何单一措施能够满足所有客户用例，任意时刻都会有不同的安全解决方案在发挥作用。我们正在走向一个安全措施更加多元化的世界，必须结合使用这些措施来帮助保护企业安全。