1. Overview (项目背景)

全球航空公司K以云为基础运营数千项全球运营服务，拥有必须同时满足航空安全、运营稳定性、乘客信息保护等全球监管要求的超大型安全环境。在这样的环境中，管理安全复杂性并建立满足全球安全标准的综合威胁分析体系是核心目标。

以前，大规模云基础设施信息和多个分散的安全解决方案各自提供信息。这导致无法进行综合威胁分析，难以识别潜在的威胁传播，难以掌握整个云环境的安全状况。此外，以前使用的CSPM解决方案需要基于代理的管理，运营负担很高，威胁与资源或资源之间的关系可视化功能不够直观，在理解和应对安全风险方面存在局限性。

因此，Megazone Cloud提出了WIZ CNAPP，将CSPM、KSPM、DSPM、CIEM、CWPP、SBOM、IaC SAST等分散的安全解决方案整合到单一平台中，准确发现隐藏的攻击路径和安全盲点，推进多云安全创新。 

2. Challenges (问题定义)

1. 由于安全解决方案分散，整个攻击路径不可见，单个漏洞可能对大规模服务造成影响的风险存在。

2. 无法看到隐藏的资源关系和传播路径，存在实际的致命安全盲点。

3. 基于代理的运营负担和多个解决方案并行导致实际威胁响应速度变慢，运营风险增加。

4. 多云扩展速度超过安全能力，规定遵守失败的风险增加。

3. Solutions (解决方案)

1. 通过单一集成安全视图连接数百万资源，建立了基于攻击路径的威胁分析体系。

使用Wiz CNAPP将分散的信息整合到单一地图中，自动分析众多资源之间的隐藏关系和传播路径，使整个大规模航空服务中的实际风险因素(Attack Path)一目了然。

2. 通过无代理CSPM实时检测所有云配置错误，降低了规定遵守风险。

无需安装代理，持续扫描整个多云环境，立即检测Misconfiguration并提供自动指导，使企业安全政策和合规标准始终保持最新状态。

3. 自动诊断K8s和容器环境中的配置漏洞，主动消除运营中断风险。

使用KSPM功能按安全标准(CIS)扫描Kubernetes集群和容器配置，提前阻止可能影响运营服务的配置错误。

4. 自动识别敏感数据泄露和权限路径，降低了数据泄露的可能性。

通过DSPM自动分类存储/数据库中的敏感信息(PII、支付、客户数据)，通过CIEM检测过度权限，从结构上减少了数据泄露和内部权限滥用的可能性。

5. 加强开发阶段的IaC安全，从根本上阻止了「易受攻击的基础设施部署到运营」的风险。

在Shift-Left阶段扫描Terraform和CloudFormation代码中的错误配置，在易受攻击的基础设施进入运营环境之前自动阻止。

6. 统一管理工作负载漏洞和恶意软件，为立即应对服务扩散风险奠定了基础。

自动扫描OS、应用程序和容器镜像中的漏洞，检测恶意文件，主动阻止服务扩散的可能性。

4. Results (成果)

• 威胁响应速度大幅加快，消除了潜在威胁「看不见而遗漏」的问题。

• 分散解决方案的运营负担消失，安全团队的运营效率大幅提高。

• 资源、权限和数据的盲点被消除，安全风险得到系统性降低。

• 建立了稳定满足全球航空公司要求的高规定遵守标准的基础。