当前,万物网联,企业上云已经成为主流趋势,针对云的网络攻击手段也日益呈现多样化的趋势。同时,随着虚拟机、云主机和容器等技术的落地,虚拟和现实的安全边界也在逐渐被打破。且混合云、多云部署使用不同的云环境,导致企业面临不同的底层架构和安全工具。现在很少有一个组织只使用一个可信的IaaS或PaaS提供商。事实上,只支持一个应用程序可能涉及到两个或三个(或更多)不同的提供者和环境。
在这种背景下,云工作负载保护平台(Cloud Workload Protection Platform CWPP)应运而生,主要是解决混合云、多云数据中心基础架构中服务器工作负载的问题。
那么云工作负载保护平台是什么?
首先你需要了解什么是工作负载。一般来说,工作负载指的是功能或能力的原子单位,以及运行它所需的任何东西——即数据、网络连接等。它是云功能的一个单元。
实际上,工作负载可以是任何东西。一个可能是构成面向客户应用程序一部分的API,另一个可能是内部业务应用程序的前端,还有一个可能是处理后端处理的计算组件。
工作负载可以是VM(例如,在传统的IaaS或私有云中),也可以是容器化的应用程序,即在容器引擎(例如Docker)中运行的应用程序及其支持的中间件。
云工作负载保护平台(CWPP )背后的想法是提供一种机制,以一致的方式保护这些工作负载。与多种云环境(包括组织自己的私有云或混合云)配合使用的方式;并且无论周围发生了什么,都具有相同的安全属性和降低风险的值。
它为信息安全领导者提供了一种集成的方式,通过使用单个管理控制台和单一方式表达安全策略来保护这些工作负载,而不用考虑工作负载运行的位置。
云工作负载保护平台主要采用服务端agent+远程控制台的部署模式,agent支持云、物理、混合环境部署,能有效安全加固服务器、抵御黑客攻击和恶意代码。CWPP 功能因供应商平台而异,但通常包括系统强化、漏洞管理、基于主机的分段、系统完整性监控和应用程序允许列表等功能。
和传统部署在网络边界上的安全产品不一样,CWPP部署在操作系统层,因此可以横跨物理机、公有云、私有云、混合云等多种数据中心环境,部署方式更加灵活、防护层面更加丰富。
云工作负载保护平台的优缺点
CWPP的优点之一是可以降低复杂度。由于CWPP将安全性针对云原生条件,因此它们在云中提供的保护可能很难使用旧版工具来完成,而且成本更高。许多遗留工具都是围绕受管端点或物理服务器设计的。它们的设计不一定会考虑虚拟化或容器-而且很少用于无服务器PaaS或充当服务。作为基准,即使在组织无法控制较低技术堆栈级别的容器或VM中运行时,CWPP仍可以提供预期的安全性值。
第二个优点则是一致性。从使用角度来看,微服务架构导致了更多,更小的工作量;DevOps导致每个单独工作负载的生命周期缩短,因为根据发布节奏将工作负载拆除并替换为较新的工作负载;多云和混合云导致串联使用不同的环境。除非采取行动防止可见度降低,否则从长远来看,这些降低了可见度。无论有多少工作负载或它们位于何处,CWPP都能提供更一致的视图。
第三则是便携性。第三个含义是可移植性,这意味着无论工作负载在哪里或是什么,产品都能增强安全性,例如,今天运行在本地hypervisor中的工作负载明天会转移到IaaS提供者,或者今天在专用IaaS中的引擎上运行的容器将在明天转移到AWS Fargate或Azure容器实例中。
但CWPP也有缺点。它缺乏身份和访问管理功能、无法跨所有云部署提供整体风险管理服务以及无法在工作负载之外执行事件监控。
云工作负载保护平台 CWPP 供应商主要分为八类
应用程序控制/所需的状态执行能力
内存和过程完整性/保护功能
服务器 EDR、工作负载行为监控和威胁检测/响应功能
广泛的多操作系统功能
漏洞扫描、配置和合规能力
基于身份的分割、可见性和控制能力
容器和 Kubernetes 保护功能
无服务器保护功能