同样的故事几乎总是在云端上演。在资源有限的情况下,服务提供商的内置建议、不频繁的检查以及对最敏感设置的手动审核就足以应对。然而,新的账户、团队和项目的独立订阅、临时环境、服务角色、网络规则例外、无人删除的旧资源快照以及无人记得的公共访问点接踵而至。在这种规模下,手动验证不再是有效的控制手段,而变成了对现有资源的随机检查。
云安全态势管理 (CSPM) 正是源于这一实际问题。云基础设施变化太快,无法通过记忆、电子表格或不频繁的审计来跟踪其状态。与此同时,配置错误依然存在,它们往往隐藏在最不起眼的地方:权限过高、服务暴露、日志被禁用、存储设置薄弱、访问策略中存在旧的例外。从外部来看,这似乎只是一些小细节的集合。但在云环境中,这些细节往往会累积成一连串最终导致安全漏洞的事件。
到 2026 年,CSPM 市场本身已经出现了显著的分化。形式上,名称保持不变,但其涵盖的方法却截然不同。一些方法侧重于快速、无代理地收集和分析资产之间的关系。另一些方法则早已将云安全态势管理 (CSPM) 与工作负载保护和权限控制一起集成到更广泛的云堆栈中。还有一些方法主要关注策略即代码和托管规则执行。因此,比较检查的数量、框架和美观的仪表板意义不大。在运维方面,其他因素更为重要:可见性的深度、优先级排序的质量、与身份和访问管理 (IAM) 以及网络上下文的集成、与修复机制的集成,以及与云架构的实际匹配度。
对于团队而言,任务结构也有所不同。系统不仅要检测配置错误,还要将噪声与真正需要优先关注的内容区分开来。如果产品将关键的公共暴露和与最佳实践的细微偏差混为一谈,则几乎毫无用处。如果它检测到某个资源,但却不了解该资源与角色、访问路径和相邻资产之间的关系,那么最终呈现的信息也仍然很模糊。如果该环境不仅包括 AWS、Azure 和 GCP,还包括的云,那么适用性问题就出现了:该工具对这种环境、其服务和其控制模型的理解程度如何?
什么是CSPM?
人工云审计通常只能在审计当日得出结果。一周后,基础设施中可能会出现新的公共负载均衡器、权限过高的临时角色、网络策略异常、特定项目中的日志记录被禁用,或者未经权限审查的数据库快照。对于本地环境,这种滞后尚可接受。但在云端,这种滞后会迅速使有针对性的审计失去意义。
这正是云安全态势管理 (CSPM) 的用武之地。它的目的是持续监控云环境的状态,而不是每季度编制一次报告。它不仅仅是查找错误设置。运行模式本身也至关重要:资源出现、更改、获得新角色、迁移到不同的网络、暴露于公共网络、丢失强制标签或停止写入日志------平台应该无需单独的人工审计即可检测到这些变化。
实际上,从云审计过渡到 CSPM 改变的不是报告格式,而是团队的工作模式。以往的检查流程包括一系列快照:账户列表、检查点集、关键服务的手动审查,以及对检查结果的审查。云安全态势管理 (CSPM) 的工作方式则有所不同。它构建资源清单,将配置与既定规则进行比较,监控偏差,并在出现偏差时立即发出警报。对于大型云环境而言,这是维护自身基础设施的唯一途径。
这里有一个微妙但至关重要的点:单独的错误配置列表几乎毫无用处。在云环境中,很容易积累成百上千条偏差,其中可能包含真正危险的公共安全漏洞、早已被遗忘的测试资源,以及违反内部标准但实际上难以攻破的漏洞。因此,成熟的 CSPM 并非着眼于检查的数量,而是关注发现问题的背景:资源的类型、访问权限、是否公开、关联哪些数据、是否拥有过高的权限以及是否属于敏感区域。
主要特性和功能
CSPM(云安全态势管理)若缺少正确的资产清单,很快就会陷入混乱。该平台不仅应能识别虚拟机和存储,还应识别 IAM 对象、网络实体、托管服务、容器集群、数据库、密钥、日志、备份、无服务器架构以及特定云环境中实际存在的所有内容。如果工具仅能识别资源的表层,大多数问题仍将被忽略。
第二个关键层是基于策略和标准的配置控制。这是 CSPM 的基础组成部分,但重要的并非框架的数量,而是检查本身的深度。优秀的工具能够发现公开暴露的服务、薄弱的加密设置、已禁用的日志记录、危险的信任关系、过多的角色、分段违规、敏感资源缺少强制性限制以及与内部策略的偏差。如果规则能够根据您的云模型进行调整,而不是仅仅依赖现成的模板,那就更好了。
第三个层是优先级排序。安全团队很少需要另一个屏幕来显示成千上万个问题。我们需要一个队列,其中包含真正危险的组合:公共资产加上过高的权限、包含敏感数据的数据库加上薄弱的网络隔离、可以访问密钥的功能加上通往外部世界的开放路径。这目前是云设置扫描器和功能齐全的云安全态势管理 (CSPM) 产品之间的主要区别之一。
第四层是与修复流程的集成。如果发现的问题仅存在于产品控制台中,然后需要手动传输到电子邮件、即时通讯工具和任务跟踪器,团队很快就会退回到旧的手动模式。因此,他们不仅关注检测,还关注平台如何处理所有者分配、路由、工单、自动修复、策略即代码,以及验证问题是否真正已关闭,并且在下一个重新计算周期后没有从报告中消失。
第五层是变更历史记录。这对于云至关重要。重要的是要了解当前不良配置,并了解它何时出现、在什么变更之后、在哪个帐户中、由谁操作,以及这种模式是否在其他网络中重复出现。如果没有这些,CSPM 仍然只是一种症状发现工具。有了历史记录和关联信息,它就能成为根本原因分析的工作层。
Wiz
Wiz 进入市场时,其定位是一个能够整合整个云环境并将已识别的问题整合到一个统一上下文中的平台。这是其核心工程方法。它关注的并非单个配置错误,而是资源、网络、身份、数据、漏洞和外部可用性等因素的交集。这使得该产品能够高度适应实际应用:团队无需手动将外部暴露的虚拟机、拥有不必要权限的角色以及对敏感数据的访问整合到单一风险链中。
Wiz 在技术上是无代理的。该平台通过 API 连接到云,并可处理资源元数据、配置、磁盘快照、镜像、容器注册表和云服务,而无需在每个节点上安装代理。对于大型环境而言,这是一个开箱即用的优势:该产品可以快速部署到多个帐户和订阅中,可以收集资源清单,并快速了解云的初始真实状态,而不是两年前的设计。
第二个支柱是安全图。这并非简单的可视化,而是实体之间关系的真实模型。云资源本身很少是关注的焦点。它的邻近性更为重要:谁可以访问它,通过什么路径,拥有什么权限,附近存储着什么数据,它是否存在漏洞层,以及它会暴露什么。Wiz 的优势在于它不仅能够提取问题列表,还能提取出可攻击的短链。对于云团队而言,这通常比一长串缺乏上下文的最佳实践违规列表更有用。
优势与局限性
Wiz 的主要优势在于其快速部署能力。如果云端已经积累了大量混乱,且没有时间进行冗长的部署,那么无代理模型几乎总是最佳选择。该产品能够快速构建资产地图,在单一图层中清晰地展示公开暴露、不必要的权限、危险连接和敏感数据。对于厌倦了手动梳理账户和控制台的团队来说,这无疑是一项强大的优势。
其次是优先级排序。许多云安全态势管理 (CSPM) 平台都存在同样的问题:它们擅长检测异常,但却难以帮助用户理解应该优先调查哪些问题。Wiz 的优势恰恰在于其图模型。它能够有效地突出显示那些看似存在安全漏洞的组合,而不仅仅是单个配置字段错误。这对于漏洞利用至关重要:您无需浪费一周时间处理表面问题,而真正危险的漏洞链却可能潜伏在附近。
第三个优势是能够清晰地呈现给不同团队。Wiz 不仅对安全团队有效,对云漏洞利用团队也同样适用,因为它能够从基础设施的角度呈现问题。资源的位置、所有者、网络连接方式、路径以及具体需要修复的内容,这些信息都清晰可见。这可以减少安全团队和平台团队之间常见的摩擦,避免一方提出一百多条发现,而另一方却不理解真正的风险。
但这种方法也有其局限性。
首先,无代理并非万能。对于云安全态势管理 (CSPM) 和云可见性而言,这通常足够了。但对于深入的运行时行为分析,则远远不够。如果任务不仅需要资产和漏洞上下文,还需要对主机或容器内部的事件进行更严格的控制,那么仅靠无代理模型是不够的。此时,需要考虑额外的传感器究竟覆盖了哪些内容,以及这些内容与您的场景契合度如何。
其次,这种方法依赖于云访问的质量。只要 Wiz 拥有正确的权限分配,并且能够查看必要的帐户、订阅、项目和服务,它就能正常工作。如果组织仍然依赖于旧的身份和访问管理 (IAM) 系统的碎片、例外情况、影子帐户以及部分损坏的集成,那么最终的视图将是不完整的。这不仅仅是Wiz的问题,但对他来说尤为重要:图表的效果取决于初始架构的完整性。
第三,产品对客户方的成熟度要求较高。它可能会给能力不足的团队带来过多的信息。当平台不仅揭示配置错误,还揭示跨多个层面的相关风险时,修复工作也会变得更加困难。因此,必须明确云平台、DevOps、安全团队和服务所有者之间的责任归属、修复路径和职责范围。否则,即使是优秀的工具也可能在修复阶段停滞不前。
第四,对于某些客户而言,Wiz 的入门价格和整体平台规模可能过大。Wiz 在规模庞大、多账户、拥有复杂身份与访问管理 (IAM) 以及大量服务的云环境中表现出色。但在较为简单的环境中,它的一些优势可能来不及充分发挥,最终导致团队不得不面对一个臃肿的平台,而实际上,一个更精简的控制层就足以满足需求。
Prisma Cloud
Wiz 主要专注于快速的无代理访问和基于风险的关系图,而 Prisma Cloud 则采用了更广泛的方法。在 Prisma Cloud 中,CSPM 只是大型云平台中的一个层,与配置控制、权限检查、工作负载扫描、容器保护、无服务器架构以及更接近代码库的早期检查并列。对于大型组织而言,这在一种情况下非常方便:当团队不想从多个独立产品中集成安全态势、工作负载安全和身份控制时。
就其集合模型而言,Prisma Cloud 更像是一种折衷方案,而非单一理念。它提供无代理可见性和无代理扫描,使云访问速度相对较快,但该平台并不局限于此模式。这使其与 Wiz 区别开来:在 Wiz 中,无代理方法感觉像是产品的基础,而在 Prisma Cloud 中,它嵌入在一个更广泛的技术栈中,某些场景会深入到工作负载和运行时保护。对于客户而言,这是一个重大转变。Prisma Cloud 的选择通常并非因为其卓越的 CSPM,而是因为希望使用单一的、重量级的平台来保护云安全。
这带来了两个实际优势。首先,层与层之间的衔接更少。无需在不同的控制台之间手动协调配置错误、不必要的权限、镜像漏洞和运行时风险。其次,该产品更符合"代码到云"的模式,团队不仅希望看到云资源配置不佳的状态,还希望了解从基础设施即代码 (IaC) 或镜像到运行工作负载的路径。然而,这种方法的代价也在意料之中:与主要用于状态可视化的工具相比,该平台更重、部署更复杂,并且需要更严格的操作规范。
合规范围
在合规性方面,Prisma Cloud 充分发挥了 Palo Alto Networks 的优势:覆盖范围广,并将报告作为一项独立的运营功能,而非审计的副产品。Wiz 更侧重于风险背景和攻击路径,而 Prisma Cloud 则更适合需要将云安全不断转化为内部审计所需的控制要求、证据和报告的场景。
这在两种情况下对企业尤为有用。第一种情况是,同一云环境同时运行在多个控制框架下,团队不仅需要发现违规行为,还需要快速将其汇总成清晰的报告结构。第二种情况是,组织在标准框架之上还拥有自己的内部策略。在这种情况下,Prisma Cloud 的优势在于它并非仅仅依赖于开箱即用的检查:其模型旨在支持自定义策略和持续的状态重新计算,而不仅仅是为审计提供偶尔的快照。
当然,其局限性也很明显。如果团队试图将广泛的合规性覆盖作为主要的风险标准,那么它很容易成为过载的层级。这对于运营流程而言并非明智之举。正式的标准违规和真正危险的公共资源、过度权限以及敏感数据的组合不应仅仅因为两项违规都出现在同一份合规报告中就被优先考虑。因此,Prisma Cloud 特别适用于团队具备将系统分为两层(一层用于需求监控,另一层用于实际的云风险优先级排序)的成熟度的情况。
Orca Security
与专注于风险相关图的 Wiz 相比,Orca 的核心理念有所不同:如何在不部署代理的情况下实现所需的可见性。为此,该平台采用侧扫描技术:它通过云存储层运行,读取节点外部的工作负载状态,并将文件系统恢复为只读模式以进行进一步分析。这使得 Orca 无需在每个资源上安装代理即可获取磁盘内容、配置、易受攻击的软件包、密钥以及工作负载的一些上下文信息。
这种方法的实际应用效果显而易见。部署速度快,覆盖范围广,团队无需在项目启动之初就单独部署代理并协调其对生产系统的影响。这对于大型云环境而言是一个强有力的优势:产品可以快速部署,并且几乎可以立即获得对计算、存储、容器以及众多相关实体的可见性。在这方面,Orca 更接近 Wiz,而不是那些将姿态管理作为更大技术栈一部分的重量级平台。
但侧扫描技术也有其局限性。这种方法能够有效地捕获环境状态和工作负载内容,但它并不能取代深度事件驱动的运行时监控。因此,当任务需要快速了解云环境、识别危险连接并对已识别的风险进行优先级排序时,Orca 的优势尤为突出。如果场景更侧重于进程的即时行为,那么仅靠这一层可能就不够了。但这并不意味着模型本身存在缺陷------它只是侧重点有所不同。
风险优先级排序
Orca 的第二个优势并非在于其发现结果本身,而在于它如何凸显真正危险的组合。该平台强调上下文优先级排序:它关注的并非单个配置错误或漏洞,而是它们与外部可用性、资产关键性、权限、攻击路径以及相邻实体的组合。实际上,这与 Wiz 的优势完全相同:团队不需要另一份冗长的云问题清单;他们需要的是一份可能真正导致安全事件的简短清单。Orca
与 Wiz 的区别更多在于其底层机制。Wiz 更倾向于将图作为解释风险的主要方法。Orca 的核心是无代理收集模型,优先级排序则建立在收集层之上。对于团队而言,这意味着一个相当明确的选择。如果快速的环境覆盖和最小的部署成本至关重要,那么 Orca 看起来非常出色。如果首要任务是通过依赖关系图和可攻击链尽可能细致地分解风险,那么许多人会首先考虑 Wiz。Orca
的局限性也在意料之中。与任何严重依赖无代理数据采集的产品一样,结果的质量取决于平台对云环境的全面了解程度,以及对所需账户、项目和服务的访问权限授予是否谨慎。如果云环境由影子环境、陈旧的异常情况和部分损坏的集成组成,风险评估也会存在缺陷。在小型环境中,这尚可接受。但在企业级环境中,这种差距很快就会显现出来。
Cloud Custodian
Cloud Custodian 与 Wiz、Prisma Cloud 和 Orca 截然不同。它并非连接云端、构建共享上下文并决定控制台显示内容的 SaaS 平台,而是采用不同的方法:团队在代码中定义控制规则,并确定违规行为的判定标准、处理方式以及积极的应对措施。
这正是它的优势所在。Cloud Custodian 非常适合拥有完善云模型且对标签、加密、公开访问、角色和资源生命周期有特定要求的公司。在这样的环境中,现成的检查功能通常要么过于笼统,要么与内部策略不符。Custodian 允许您直接定义所需的策略,而无需适应预先存在的界面。
与 Wiz、Prisma Cloud 和 Orca 相比,它属于不同的工具类别。这些工具侧重于环境可见性、优先级排序以及为安全团队提供的现成工作空间。而 Custodian 则侧重于受控规则的执行。当您需要快速突出显示云端所有问题时,Cloud Custodian 并不适用;但当您需要严格且可复现地在指定范围内维护云配置时,它就派上了用场。
这也带来了一个局限性:如果团队需要全面的可见性、关系图、完善的风险队列和现成的资产上下文,Custodian 本身并不能取代功能齐全的云安全态势管理 (CSPM)。它更像是云端之上的一个工程控制和自动化层。在以下两种情况下,它尤其有用:一是公司希望在内部保留一些状态控制,而不仅仅是在产品控制台中;二是需要将修复程序立即集成到规则中,而不是通过工单和聊天手动分发。
政策示例
云托管策略最常见的应用场景是监控基本的云环境卫生。它并非"发现所有问题",而是捕捉特定类型的异常情况。
例如,缺少必要标签的资源。对于大型云环境而言,这不仅仅是表面功夫,更是维护所有权、控制成本、确保关键性以及提供补救途径的关键手段。该策略可以搜索缺少必要标签的 EC2 实例,并立即为其添加标签或发送通知:
bash
YAML:
policies:
- name: ec2-missing-owner-tag
resource: aws.ec2
filters:
- "tag:Owner": absent
actions:
- type: tag
key: CustodianStatus
value: missing-owner-tag第二种典型场景是公共存储桶或过度数据共享。对于云安全态势管理 (CSPM) 而言,这是一个基本风险类别,而云托管人 (Cloud Custodian) 在这里非常方便,因为规则可以简短而精确:
bash
YAML:
policies:
- name: s3-public-buckets
resource: aws.s3
filters:
- type: global-grants
actions:
- type: remove-statements
statement_ids: matched第三种常见情况是存在长期未审核的旧安全组规则。在默认产品中,此类问题通常会出现在通用配置错误列表中。而在 Custodian 中,您可以将其转换为适用于您网络模型的特定规则:
bash
YAML:
policies:
- name: sg-open-ssh
resource: aws.security-group
filters:
- type: ingress
Ports: [22]
Cidr:
value: "0.0.0.0/0"
actions:
- type: notify
template: default
priority_header: 1此类策略的优势在于它们可以快速集成到常规工程工作流程中。它们可以进行调度、由事件触发或通过 CI/CD 运行,存储在代码库中,像常规代码一样进行审查,并随云环境的变更一起部署。对于成熟的团队而言,这有时比使用另一个包含发现结果的外部控制台更有用。
但这种方法也有其局限性。Custodian 中包含的规则越多,对策略的管理要求就越高。策略需要进行版本控制、测试、审查并分配给负责人。否则,一段时间后,开源云监控工具就会变成又一层无人问津的历史异常记录。
替代方案和具体情况
CSPM(云安全态势管理)在云平台上长期面临一个难题:全球平台虽然精通 AWS、Azure 和 GCP,但在资源、角色和服务模型结构不同的环境中,其性能却显著下降。Yandex Security Deck 包含 CSPM、KSPM、CIEM、DSPM、漏洞管理和工作区等模块,可用于监控组织、单个云平台和文件夹。对于 CSPM,它包含控制规则、例外情况、标准化和自动化检查;部分规则自动执行,而其他规则则需要手动操作。这一点至关重要:云平台现在不仅提供了一套安全最佳实践,还提供了一个正式的态势管理产品层,可以集成到实际运营中。
这具有明显的优势。本地云平台比源自 AWS 优先架构的外部 CSPM 产品更了解自身的服务和层级模型。对于团队而言,这意味着可以减少对资源、角色和组织结构的手动调整。此外,Yandex Security Deck 也存在局限性:它本身比纯粹的云安全策略管理 (CSPM) 更广泛,但就其生态系统的成熟度和深度而言,与其将其与全球市场整体进行比较,不如将其与 Yandex Cloud 的覆盖范围以及其在混合环境中的适应性进行比较更为合理。值得注意的是,该服务目前仍处于预览阶段。
VK Cloud 的情况则不太明朗。目前,公开文档和资料并未像 Yandex Security Deck 那样清晰地展示其 CSPM 层。对于此类环境,这通常意味着需要采用更务实的方法:原生云控制、日志、身份和访问管理 (IAM)、网络策略,以及在其之上部署的外部平台(前提是该平台对特定提供商有足够的了解)。这对客户而言并非缺点,但却是选择时需要考虑的重要差异。在某些云平台上,姿态管理已作为一项独立服务实现,而在其他云平台上,控制则必须由内置机制和外部工具拼凑而成。
因此,在选择 CSPM 的具体细节通常可归结为四个因素。
首先是全面的资源模型。该工具不仅要能够查看虚拟机和对象存储,还要能够查看身份和访问管理 (IAM)、网络实体、托管服务、备份、日志、集群以及云端实际使用的所有资源。否则,云态势管理就只能是对顶层进行选择性的概览。
其次,要清晰地管理本地层级结构和访问权限。这一点对于的云平台尤为重要,因为"组织 -> 云 -> 文件夹"的结构(或其等效结构)会影响权限、所有权和修复路径。如果产品无法理解这一点,优先级排序和可维护性都会迅速崩溃。
第三,适应本地需求。在企业项目中,几乎总是不仅要遵循供应商的最佳实践,还要考虑内部策略、日志记录要求、数据分段、数据存储和访问控制。如果产品仅仅实现一套开箱即用的检查功能,而没有进行适当的适配,那么在这种环境下很快就会显得杂乱无章。
第四,混合环境。到2026年,许多公司不会只使用单一的云平台。他们会同时使用全球和供应商的服务,以及他们自己的设施。因此,对于环境来说,一个好的选择不一定是适用于所有情况的本地产品,有时可能需要组合方案:一个功能强大的全球平台(例如AWS/Azure/GCP),以及一个独立的本地层,用于解决外部工具缺乏原生资源理解和控制的问题。
遴选标准
比较客户云安全态势管理 (CSPM) 工具时,几乎总会遇到两个问题。首先是试图挑选出最好的产品。其次是基于检查项数量、标准和界面美观程度进行比较。
因此,我将在表格中向您展示每款工具最突出的功能。
|----------------------|-------------------------------------------|-------------------------------|-----------------------------------------|-------------------------------------|
| 工具 | 哪里是最佳的躺卧地点? | 优点 | 限制措施将从哪里开始? | 选择时需要考虑哪些因素 |
| Wiz | 专注于快速风险可见性的大型多云企业 | 快速进入、强大的连接图、对可攻击链的良好优先级排序 | 如果需要对运行时事件进行深度控制,则不太适合作为单一答案。 | 能够迅速将大量风险汇总成一小串真正的风险。 |
| Prisma Cloud | 他们希望采用一个功能强大的平台,而不是一系列零散的解决方案。 | 广泛技术栈:CSPM、权限控制、工作负载保护、强大的合规层 | 实施和维护的复杂性更高,而且使用"全能型"平台更容易导致团队工作量过大。 | 当安全态势只是整体云安全计划的一部分时,这样做是合理的。 |
| Orca Security | 无需部署代理即可实现快速、无代理的云覆盖 | 侧扫、广阔的环境可视性、强大的上下文优先级排序 | 单凭这一层可能不足以深度控制运行时行为。 | 当您需要快速启动并建立正常的风险队列,而无需大规模部署时,此方案适用。 |
| Cloud Custodian | 一支技术成熟、内部云技术实力雄厚的团队。 | 策略即代码、YAML 控制、CI/CD 集成和自动化修复 | 它并不能取代功能齐全的概览平台,该平台包含图表、控制台和现成的优先级排序功能。 | 它作为规则维护层而强大,而非姿态管理的唯一展示平台。 |
| Yandex Security Deck | 在这个环境中,除了全球供应商之外,还有 Yandex Cloud 和其他本地平台。 | 更好地了解当地资源、层级结构、角色和内置控制机制 | 可能无法像全球平台那样流畅地支持多云环境 | 通常作为混合配置的一部分取胜,而不是完全取代世界套牌。 |
简而言之,情况大致如下:Wiz 更常用于云环境规模庞大且复杂,需要快速获取风险上下文信息的环境。Prisma Cloud 更适合那些将态势管理作为更广泛的云安全平台的一部分,并尽早考虑的环境。Orca 的优势在于能够快速实现无代理覆盖,并快速构建清晰的问题队列。Cloud Custodian 值得那些希望在自己的存储库和管道(而不仅仅是产品控制台)中维护规则控制的团队考虑。如果云环境不仅限于 AWS、Azure 和 GCP,并且您更看重本地适用性而非美观的多云展示,则应单独评估。