Prisma Cloud

Prisma Cloud 是 PA 面向市场的云原生安全平台（CNSP），为应用、数据和整个云原生技术栈提供完整的安全性和合规性。

CSPM 云安全态势管理

云安全的首要任务是对部署的每个资源具有全面的可视性，同时要能确保配置的合规性。

Prisma Cloud 除了合规性和配置管理之外，还接入了基于漏洞情报的风险识别。具体有以下功能：

可视性、合规性和监管
- 云资产盘点
- 配置评估（运行时）
- 合规性监控及报告
- IaC 扫描（IDE、SCM 供应链管理及 CI/CD 流水线平台）
威胁检测
- 用户和实体行为分析 User And Entity Behavior Analytics
- 基于 API 的网络流量可视性、分析和异常检测
- 自动调查和响应
数据安全（AWS）
- 数据分类
- 恶意软件扫描
- 数据监管

将安全集成到 CICD、注册中心、运行时中。

具体有以下功能：

容器级别的微分段、流量检测日志，七层威胁防御：

跨越 IaaS 和 PaaS 自动检测并修复身份和访问风险。可以自动发现云环境下的人员和机器身份，分析权限、角色和策略。提供：

供应链安全的背景：现代化应用通常使用敏捷开发，有大量的 CICD 流水线，但是伴随着应用生命周期缺少安全或者使用单一的安全手段，没有体系。

下图中同时会包含 IaC(例如 TF)、开源软件包、Image 的清单：

Supply chain graph

包含的模块：

供应链安全（合并了 Cider Security）
- 供应链依赖图，发现包的依赖关系和调用关系
- 发现依赖包中的漏洞（SCA）
- IaC 安全
- VCS （版本控制系统，例如 Git，Bitbucket）安全，例如双因子检测，SSO 等。设置代码合并规则，避免未授权或者代码注入的发生
- 镜像库安全，持续检测 image 漏洞，避免未授信的 image 进入环境中
- CICD 安全，避免使用不安全的命令或者 beta 的功能，移除硬编码的 secret
- 持续的 IAM 控制
- SBOM 管理
Software Composition Analysis (SCA) 解决开源组件的漏洞问题，传统的 SCA 方案只是去扫描使用的组件，很少检测组件依赖的其他组件，缺少上下文的连接，比如和 IaC、k8s、CICD 综合在一起来管理安全
- 检测漏洞：检测依赖包是否有漏洞（通过 Checkov 与 IDE 集成，在开发阶段就提示软件漏洞；可以和 Github 集成，发现漏洞，提示修复的版本，阻止 CD）
- 生成 SBOM（软件物料清单），方便追踪变动，防止篡改
- License 合规性检查
Secret Scanning 密钥扫描
- 发现仓库中的密钥，包括提交历史中的密钥
- 自动发现 API key，加密密钥，OAuth token，证书等多种密钥，通过特征识别，覆盖范围广
- 支持检测自动生成的密钥