我们非常高兴地宣布，在最新发布的AWS安全能力认证(Security Competency)中，Aqua Security在合规及隐私类别中获得了安全能力认证，该类别中包含了CSPM (云安全态势管理) 和CWPP (云工作负载保护)在内的用例。该认证再一次证明了Aqua云原生应用保护平台(CNAPP)在帮助客户实现云安全目标方面，展现出的成熟的技术水平和丰富的专业知识。

作为下一步AWS安全能力认证的演进方向，CWPP和CSPM两大用例的引进将会带来更多基于这两个方向上的用例，从而丰富这两大安全类别。

Aqua最初于2018年获得了AWS容器能力认证（Container Competency），标志着我们能够长期帮助客户利用AWS的服务和安全工具，在AWS中安全地构建、部署云原生应用，并实现自动化。新引入的这些类别体现了Aqua的独特优势，反映了Aqua在集成和创新方面的持续投入，通过更广泛和更深入的技术能力，解决潜在安全、风险和合规问题。

适应云原生技术的发展

正如AWS与专家共同合作研究有哪些新工具、流程和框架应该涵盖在更新后的认证项目一样，与此同时，Gartner等行业研究机构也在持续着关注安全类别的最新发展。

去年年底，Gartner正式确定了云原生应用保护平台 (CNAPP)这个类别，该类别结合了“安全左移”DevSecOps、智能自动化、CSPM（云安全态势管理）和 CWPP（云工作负载保护平台）。

根据Gartner创新洞察报告，“保护云原生应用程序的最佳安全性，需要一种从开发一直到运行时保护的集成方法。SRM（安全风险管理）领导者应该积极评估新兴的云原生应用保护平台，也就是能提供完整的安全生命周期方法的平台。”

统一平台的意义不仅在于防患于未然，更在于在云原生应用生命周期内，赋予平台卓越的可见性和控制能力，在问题出现时就将问题解决。另外，对于构建、部署和管理云原生应用的人，和负责保护这些应用的人，统一的平台对于协调他们的工作一致性也非常重要。

为了继续深入AWS的云服务，也为了解决DevOps、安全和新兴的DevSecOps团队之间日益复杂的关系，Aqua将继续在现有成就的基础上，在云风险管理CSPM，对AWS Fargate以及AWS Lambda的运行时保护，以及混合架构的安全与保障范围领域，继续获得更多能力认证。

Aqua与AWS Competency能力认证下一步有哪些计划？

1

集成“上下文环境可见性”的自动化AWS EC2云工作负载扫描

根据我们新成立的事件响应(Incident Response)团队的调研结果，Aqua为更细致地评估每一个组件基础上的镜像漏洞提供了评判条件。一旦发现Log4J或Spring4Shell等零日漏洞，安全团队须立即采取行动，扫描数十万个镜像以识别出新CVE的所有实例。

由于镜像的数量庞大以及要快速降低攻击风险的紧迫性，漏洞管理团队要设法尽快确定风险最高的场景，尤其是在生产环境运行的极易被漏洞攻击的容器。同时，团队还应谨防将时间错误地花费到风险相对较低的漏洞实例上。扫描可以深入评估镜像中的内容是否已成为漏洞攻击的目标。通过在云工作负载扫描中应用“上下文环境的可见性”逻辑，客户就能够拦截这些攻击。

如果能够更快、更准确的识别出针对正在运行的云工作负载的零日攻击实例，那么就能够基于上下文环境可见性，进一步评估相对的风险，由此，安全团队就可以与开发团队合作应对这些高压场景。

2

AWS Fargate和AWS Lambda运行时保护升级版

Aqua的许多客户已经开始利用Fargate来构建、部署和管理可以在全球范围内运行的大型复杂应用。随着无服务器服务变得越来越主流，开发团队经常发现自己在没有制定安全最佳实践的情况下采用AWS Fargate。作为一款容器即服务的产品，尽管Fargate帮助开发者无需再保护基础架构的安全，但是他们仍然可能部署不受信任的镜像，以至于使他们的公司暴露在运行时风险中。

为了满足Fargate独特的交付和安全要求，Aqua提供了专为AWS Fargate所构建的技术，该技术可以作为轻量级Kubernetes pod组件、在容器内或在sidecar架构中。除了在 Amazon EKS 上运行的Fargate之外，Aqua还可以保障在Amazon ECS和Graviton2上Fargate的安全。

PodEnforcer注入在与Aqua Kubernetes准入控制器插件KubeEnforcer组件集成后，能够根据预先定义的合规策略修改pod清单。由此，开发者可以采用与其流程一致的部署方法，安全团队可以维持保障功能，执行镜像合规策略，检测并防御运行时威胁。

同样，容器化的Lambda服务的使用也呈增长之势。安全团队可以使用跨容器和无服务器工作负载获得一致的安全体验，其秘诀就在于将Aqua的NanoEnforcer作为Lambda 层级自动注入，无需修改函数代码或运行时状态，团队可以通过CI集成和扫描Lambda配置的过度访问权限找出漏洞，进而为无服务器功能提供适用的DevSecOps工具、流程和提升门槛。

3

保障Kubernetes混合架构的安全

Aqua是近期发布的EKS Anywhere Bare Metal的发布合作伙伴，该产品发布目的在于帮助客户，无论是想在本地部署过程中利用托管Kubernetes服务，还是出于业务、监管或数据保护的考虑希望保持混合架构，都能拥有更多的产品选择。

同时，Aqua也在帮助Red Hat OpenShift的客户，通过AWS (ROSA)托管服务，他们以更优惠的价格运用Red Hat OpenShift，也可将他们的工作负载从本地Kubernetes部署迁移至云端。

针对上述两种场景，无论基础架构和工作负载在哪里运行，Aqua都满足了对统一可见性，以及合规和安全策略的需求。Aqua致力于帮助采用混合架构的客户，保障其供应链安全、跨集群检测和管理风险，并执行一致的Kubernetes原生安全和合规策略。

展望未来

获得CSPM和CWPP的安全能力资质认证对于Aqua来说拥有里程碑意义，而我们也决意在这一领域继续发展。

在接下来的几个月中，我们计划在现有基础上，通过安全左移的方式，继续帮助客户深入利用AWS服务及工具，并且更好地了解风险，抵御运行时攻击。通过把这些点与DevOps连接起来，我们能提供更多的上下文环境和更强的可见性，以了解对于AWS安全态势来说最紧迫的威胁。

此外，在部署运行时监控和保护功能的过程中，我们进一步简化了流程，并使之自动化。而通过执行Aqua的安全响应策略，我们也实现了针对云原生安全事件的事件响应流程集成，以及更好的安排修复的工作流程。