Arch Day 133: 云安全与合规 — Security Hub、CSPM与加密
云安全不是"加个WAF就完事",而是覆盖身份、网络、数据、工作负载、合规的纵深防御体系。2026年,安全平台正在从碎片化工具走向统一的CNAPP(Cloud-Native Application Protection Platform)。
日期: 2026-08-10 (Day 133) 阶段: 第五阶段 - 云架构深度 标签: #云安全 #SecurityHub #GuardDuty #CSPM #Wiz #KMS #合规
核心概念
一句话定义
云安全不是"加个WAF就完事",而是覆盖身份、网络、数据、工作负载、合规的纵深防御体系。2026年,安全平台正在从碎片化工具走向统一的CNAPP(Cloud-Native Application Protection Platform)。
知识点详解
1. AWS安全服务(re:Invent 2025重大升级)
Security Hub新版: 统一安全运营解决方案,整合GuardDuty/Inspector/Macie,近实时分析
GuardDuty Extended Threat Detection: AI/ML自动关联安全信号,检测多阶段攻击链(可疑进程→持久化→挖矿→反向shell)
Macie: 敏感数据发现,与身份/网络/漏洞上下文关联
2. CSPM工具市场
Google以$320亿收购Wiz(2026.03完成),科技行业第三大收购。
| 平台 | 核心方法 | 日均findings |
|---|---|---|
| Wiz | Security Graph | 20-30条(可操作) |
| Orca | Agentless SideScanning | 20-30条 |
| Prisma Cloud | 策略库(700+) | 100-150条(70-80误报) |
| AWS Security Hub | 原生集成 | 依配置而定 |
3. 云加密——KMS Envelope Encryption
原理: CMK加密Data Key,Data Key加密实际数据——解决大量数据加密的性能和密钥管理问题。
Confidential Computing (2025-2026):
- AWS Nitro Enclaves + KMS: 只有匹配image measurement的enclave才能使用密钥
- EC2 Instance Attestation: enclave功能扩展到GPU/AI加速器
- 从研究进入可靠生产模式
4. SOC2/PCI-DSS自动化
| 平台 | 优势 |
|---|---|
| Vanta | 设置最简、初创友好 |
| Drata | 企业级自动化、Compliance as Code |
核心:连接云API自动监控控制状态,自动化证据收集。
面试题
问题:如何为金融系统设计云安全架构?
回答:1) 网络层:VPC隔离+PrivateLink+WAF+Shield;2) 身份层:IAM最小权限+MFA+临时凭证;3) 数据层:KMS加密+Macie敏感数据发现;4) 运行时:GuardDuty威胁检测+Inspector漏洞扫描;5) 合规:Security Hub统一视图+Drata自动化审计证据。