CSPM源于Gartner对于云安全的未来趋势定义，全称为云安全态势管理（Cloud Security Posture Management），关注对云安全风险的持续管理，主要用来解决IaaS和PaaS的错误配置导致的安全风险。CSPM可以发现配置错误、评估数据风险、持续监控云环境、合规性监测等，发现问题后报告用户或直接自动修复。Gartner预测，到2024年，实施 CSPM 产品的组织因为配置错误而导致的云安全事件将减少80%。

作为云安全工具之一，CSPM的兴起、发展都与云服务市场的成熟度息息相关。IDC咨询发布的相关报告显示，到2023年，50%的中国企业应用将部署在容器化的混合云/多云环境中，以提供敏捷的、无缝的部署和管理体验。但相较于海外蓬勃发展的CSPM市场，目前CSPM的概念在国内尚未普及。随着云架构变得越来越复杂，安全人员很难理解不同云提供商数千个配置选项中的哪一个会产生风险，也难以保证在不同的云里面实施了一致的安全策略。任意一个配置错误就可能会泄露敏感数据，并升级为严重的安全问题，在法务和财务方面带来巨大风险。

Q：为什么说云安全不等于安全资源池？

云舒：云安全不等于安全资源池，目前国内的云计算安全，大家的关注点更多地放在安全资源池和CWPP（云工作负载保护平台）上，这种传统的云安全做法在广泛的数字化时代已经不能完全满足客户的现实需求。安全资源池解决的是一些从传统数据中心就存在，一直延续到了云上继续存在的老问题。

云其实引入了许多新问题，云的资源也远远不止云主机，除此之外，还有各种对象存储服务、块状存储服务、关系数据库之类的服务、VPC（虚拟私有云）、安全组、云上的负载均衡、IAM（身份识别与访问管理）等。对于云安全，大家需要把眼光放得更远一点，不能太注重于安全资源池和CWPP，而忽视了云引入的很多新的安全风险，这是我认为云安全需要着重强调的点，也是这两年出了很多云安全事件的原因所在。

Q：CSPM与CWPP之间是什么关系？未来趋势如何？

云舒：CWPP关注的点比较窄，实际上云的资源是非常多的。举个例子，一家企业如果发生AK/SK泄露，这个时候云主机上装再多的CWPP也没有用，因为它保护的是云的计算平面的安全，而AK/SK泄露是发生在云的控制平面上的问题，导致企业没有办法及时感知。随着云的使用越来越广泛以及云上攻击事件的不断发生，我认为CSPM将会是一个非常重要的产品，甚至和CWPP的市场地位相当。未来对云而言，CWPP解决云主机的安全问题，CSPM将会填补CWPP之外的云安全空白，包括云存储、云数据库、云的负载均衡、VPC、安全组、云的控制平面安全以及控制平面的安全检测响应等。

CSPM产品最初的概念相对较窄，到现在功能性不断向外延展，未来将成为一个越来越大的平台模式。CSPM已经不仅仅是云的安全配置管理，还包括了云上的数据安全（DSPM）、云上身份特权管理（CIEM）、云安全检测与响应（CDR）等等功能模块。即使在CWPP领域，CSPM后面也会涉及一部分，它会对运行中的云主机打快照，去扫描快照，这样可以发现云主机里面的一些错误配置、有漏洞的组件等风险信息，但相对而言，CSPM并不具备CWPP领域内的阻断、修复能力。

Q：为什么CNAPP能解决的问题，默安要单独推出CSPM产品？

云舒：事实上，CNAPP从开发安全到容器运行时保护的维度本身就很大，导致它会是一个很重的方案，如果再加上CSPM的东西，那样对客户来说太庞大了，落地会比较困难。而且有些客户经过这么多年的安全建设，他们可能已经部署了CWPP和容器安全的产品，现在就需要一个除这些以外能覆盖CSPM领域的云安全产品。

加上默安早年其实就已经储备了CSPM产品对应的模块化能力，并植入到了漏扫产品（巡哨）、云原生保护平台（尚付CNAPP）当中。目前国内云的用量越来越大，默安接触每个客户都在用云，都是混合云、多云的模式，大家非常需要有这样一款CSPM产品去做多云的安全管理，去解决CWPP覆盖不到但又很容易出问题的那一部分。所以我认为从客户角度来说，单独推出宵明是很有必要的。

CSPM相对而言是一个非常轻量级的产品，比如方案本身可以纯SaaS交付或私有化软件交付，最低只需要一个只读权限的AK/SK或者STS凭据，就可以简单地连接到云提供商完成全部的功能，五分钟内就可以看到效果，部署非常快速、轻巧。当然，产品轻量级不代表其功能也是如此，CSPM能够保护企业在多云、混合云环境下的云基础架构及云上数据安全，提供多云资产可见性、云上数据保护、持续性云上合规、云上身份特权管理、云入侵检测与响应等多种能力。也就是说，CSPM既轻量又实用。

Q：打造宵明过程中遇到的最大难点是什么？

云舒：打造宵明最大的难点在于国内的云不够标准化、不够开放。像我们现在对接的国内的很多朵云，尤其是专有云的对接上，有些有版本区分，这样API就会有很大变化，甚至有些API没有标准文档，或者标准文档都不是很全，不同云厂商生态建设上完善程度也不同，实现全面的CSPM产品对接在国内是比较困难的，要花大量的时间和精力去做，默安前期大概花了四个月时间去适配不同的云。

Q：宵明如何炼就自己的核心优势？

云舒：事实上，网安市场上各个安全厂商之间并不存在绝对的不可逾越的技术优势，你能做的我也能做，我能做的你当然也能做。默安CSPM产品的核心技术，包括各项功能模块，比如将等保二级、三级，包括云上的扩展要求，以及GDPR、PCIDSS、CIS、HIPAA等等一些法律法规的相应条款全面映射到云厂商的各种安全配置当中，当然还做了一些重点行业的合规映射，但这件事默安能做，别人其实也能做。

所谓的核心优势，务实一点讲，应当是做出来的。你需要比别人更早看到它，先去把它做出来，然后花时间、花精力去和更多的行业和客户接触，并且在做的过程中不断打磨优化你的产品，让这个产品能够更好地适应不同的行业和业务，从而夯实产品的先发优势，获得市场上更多的认可，我觉得这才是真正的核心优势。

欢迎扫描下方二维码

即刻获取产品试用👇