一文讀懂云工作負(fù)載安全平臺CWPP

科技云報(bào)道

+ 關(guān)注

2022-11-16 11:41

864次閱讀

隨著企業(yè)將工作負(fù)載轉(zhuǎn)移到云上，保護(hù)云環(huán)境已成為當(dāng)務(wù)之急。近年來，CWPP（云工作負(fù)載安全防護(hù)平臺）成為云安全領(lǐng)域的關(guān)注熱點(diǎn)。

Gartner報(bào)告指出，美國2021年CWPP市場規(guī)模達(dá)到16.99億美元，而目前中國的市場規(guī)模要遠(yuǎn)低于這個(gè)數(shù)字。

IDC報(bào)告顯示，2021年，中國云工作負(fù)載安全市場實(shí)現(xiàn)規(guī)模和增速雙爆發(fā)，市場規(guī)模達(dá)到2.8億美元（18.74億元），相較2020年同比增長57.9%。

這表明中國CWPP市場還有巨大的發(fā)展?jié)摿Α?/span>

什么是CWPP？

要理解云工作負(fù)載保護(hù)平臺是什么，首先需要了解什么是工作負(fù)載。

一般來說，工作負(fù)載指的是功能或能力的原子單位，以及運(yùn)行它所需的任何東西——即數(shù)據(jù)、網(wǎng)絡(luò)連接等。

實(shí)際上，工作負(fù)載可以是任何東西，可以是VM（如在傳統(tǒng)的IaaS或私有云中），也可以是容器化的應(yīng)用程序，即在容器引擎（如Docker）中運(yùn)行的應(yīng)用程序及其支持的中間件。

隨著云的發(fā)展，如今的工作負(fù)載已經(jīng)不是單純的服務(wù)器，還包括虛擬機(jī)、容器、無服務(wù)（serverless）等，部署的模式也有公有云、私有云、混合云、甚至多云等，因此之前的那一套安全產(chǎn)品已經(jīng)無法滿足需求了，于是開始誕生了CWPP。

CWPP是以工作負(fù)載為主體，以一致的方式保護(hù)混合云、多云架構(gòu)下工作負(fù)載的安全產(chǎn)品。簡單來說，CWPP就是云上工作負(fù)載的全家桶。

和傳統(tǒng)部署在網(wǎng)絡(luò)邊界上的安全產(chǎn)品不一樣，CWPP部署在操作系統(tǒng)層，因此可以橫跨物理機(jī)、公有云、私有云、混合云等多種數(shù)據(jù)中心環(huán)境，部署方式更加靈活、防護(hù)層面更加豐富。

它提供了一種集成的方式，通過使用單個(gè)管理控制臺和單一方式表達(dá)安全策略，來保護(hù)這些工作負(fù)載，而不用考慮工作負(fù)載運(yùn)行的位置。

云工作負(fù)載保護(hù)平臺的優(yōu)點(diǎn)

CWPP作為云上工作負(fù)載的安全“全家桶”，具有很多優(yōu)勢：

降低復(fù)雜度

傳統(tǒng)安全工具在物理服務(wù)器或托管端點(diǎn)上運(yùn)行，這些工具在設(shè)計(jì)時(shí)并未考慮容器、虛擬化、無服務(wù)器功能或云開發(fā)。

現(xiàn)代工作負(fù)載保護(hù)必須跨越公有云中的虛擬機(jī)、容器、無服務(wù)器工作負(fù)載和其他計(jì)算部分。

由于CWPP整合了來自所有工作負(fù)載的數(shù)據(jù)，因此安全人員可以更輕松地分析來自整個(gè)環(huán)境的安全數(shù)據(jù)，這也意味著安全團(tuán)隊(duì)可以更高效地運(yùn)營。

跨云環(huán)境的一致性

從使用角度來看，微服務(wù)架構(gòu)會(huì)產(chǎn)生大量較小的工作負(fù)載； DevOps導(dǎo)致每個(gè)工作負(fù)載的生命周期縮短；多云和混合云導(dǎo)致環(huán)境變得更為復(fù)雜，這些變化都降低了工作負(fù)載的可見度。

但無論有多少工作負(fù)載或它們位于何處，CWPP都提供了對工作負(fù)載安全性的一致可見性，即使他們在多云環(huán)境中處理多個(gè)位置的大量工作負(fù)載也是如此。

安全的可移植性

C WPP可以在不影響安全性的情況下在環(huán)境之間移動(dòng)工作負(fù)載。

例如，今天運(yùn)行在本地hypervisor中的工作負(fù)載，明天會(huì)轉(zhuǎn)移到IaaS云中；或者今天在私有云IaaS上運(yùn)行的容器，明天將轉(zhuǎn)移到公有云容器實(shí)例中。

使用CWPP，它仍然是在遷移前后持續(xù)保護(hù)的相同工作負(fù)載。

確定風(fēng)險(xiǎn)的優(yōu)先級，減少警報(bào)疲勞

強(qiáng)大的CWPP提供了漏洞與云其他部分的關(guān)系背景信息。這種上下文可以更好地確定風(fēng)險(xiǎn)的優(yōu)先級。

通過上下文進(jìn)入身份、數(shù)據(jù)和平臺配置，如果CVSS分?jǐn)?shù)為6.5的工作負(fù)載暴露在網(wǎng)絡(luò)上，并且其身份嚴(yán)重超出許可，可以訪問客戶數(shù)據(jù)，則該工作負(fù)載很快就會(huì)成為關(guān)鍵風(fēng)險(xiǎn)。

這種嚴(yán)重程度的等級劃分有助于安全團(tuán)隊(duì)及時(shí)評估風(fēng)險(xiǎn)。

獨(dú)立的CWPP就足夠了嗎？

Gartner在《2021 年云工作負(fù)載保護(hù)平臺市場指南（CWPP）》中指出：工作負(fù)載保護(hù)必須涵蓋公共云和私有云中的虛擬機(jī)、容器和無服務(wù)器工作負(fù)載。

安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者應(yīng)該了解對跨越開發(fā)和運(yùn)行時(shí)的保護(hù)需求，包括云安全態(tài)勢管理。

同樣，F(xiàn)orrester的一份報(bào)告指出：云安全不應(yīng)該是不同工具的大雜燴，廠商應(yīng)提供融合了云工作負(fù)載保護(hù)（CWPP）、運(yùn)行時(shí)和運(yùn)行時(shí)前容器安全性以及云安全態(tài)勢管理（CSPM）的解決方案，而不是不同的工具。

兩家咨詢機(jī)構(gòu)都指出，CWPP作為獨(dú)立解決方案是不夠的，推薦將CSPM、CWPP、DLP等產(chǎn)品組合到集成方案中。

這是因?yàn)镃WPP是在數(shù)據(jù)面對云工作負(fù)載進(jìn)行保護(hù)，CSPM是在控制面對云工作負(fù)載進(jìn)行保護(hù)，只看數(shù)據(jù)平面還不夠，還需要注意控制平面。

隨著CWPP帶來的安全掃描將安全在開發(fā)階段中進(jìn)行了左移（包括掃描開源漏洞、庫、可執(zhí)行漏洞、依賴性、硬編碼機(jī)密、以及惡意軟件），掃描云配置發(fā)現(xiàn)其他風(fēng)險(xiǎn)同樣重要。

因此，數(shù)據(jù)面和控制面的云安全產(chǎn)品通過相互融合組成統(tǒng)一的解決方案，能夠更好地保護(hù)多云和多租戶。

CNAPP（云原生應(yīng)用保護(hù)平臺）正是這樣一種產(chǎn)物。

作為Gartner新定義的一個(gè)品類，是在CSPM和CWPP的融合中引入了應(yīng)用程序和數(shù)據(jù)上下文，以保護(hù)主機(jī)和工作負(fù)載，包括VM、容器和無服務(wù)器（serverless）功能。

當(dāng)然對于CNAPP還有一種理解方式：CWPP進(jìn)行左移與CSPM融合，就變成了CNAPP。因此CNAPP是對開發(fā)、發(fā)布、部署和運(yùn)營等整個(gè)生命周期進(jìn)行保護(hù)。

嚴(yán)格實(shí)施云安全最佳實(shí)踐

CSPM、CWPP、CNAPP等技術(shù)固然很重要，但是技術(shù)不能取代嚴(yán)格實(shí)施最佳實(shí)踐來減少云中的攻擊面，因此行業(yè)專家建議從以下幾個(gè)方面著手去加固安全防線：

部署適當(dāng)?shù)木W(wǎng)絡(luò)分段和安全性

在每個(gè)環(huán)境中建立安全區(qū)域，并僅允許流量通過防火墻，用于所需和范圍。

至少為每個(gè)應(yīng)用程序和環(huán)境配備單獨(dú)的VPC，但也應(yīng)考慮為每個(gè)應(yīng)用程序環(huán)境（開發(fā)、暫存和生產(chǎn)）分配自己的云帳戶。

利用最小特權(quán)原則

有目的地分配訪問權(quán)限和資源。例如，僅部署代碼的開發(fā)人員不應(yīng)具有整個(gè)云帳戶的管理權(quán)限；開發(fā)人員也不應(yīng)該持續(xù)訪問生產(chǎn)環(huán)境，僅提供他們需要的東西。

盡量減少計(jì)算機(jī)資源的安裝基礎(chǔ)

安裝必需的，刪除不需要的。例如，對于容器，僅安裝應(yīng)用程序需要運(yùn)行的包和庫，因?yàn)楣粽呖梢允褂萌魏味嘤嗟臇|西來攻擊。

及時(shí)打補(bǔ)丁以修復(fù)漏洞

修補(bǔ)是必不可少的，但它并不能解決每個(gè)漏洞。它取決于在野外看到的脆弱性;如果您的軟件版本具有零日威脅，則它對您沒有任何作用。

而且，一旦補(bǔ)丁發(fā)布，在攻擊者有機(jī)會(huì)在系統(tǒng)中發(fā)現(xiàn)和利用該漏洞之前，就是與時(shí)間賽跑。

通過運(yùn)行時(shí)應(yīng)用自我保護(hù)（RASP）阻止受攻擊者影響代碼

真正的RASP能充當(dāng)安全網(wǎng)，它會(huì)強(qiáng)制執(zhí)行應(yīng)用程序應(yīng)該執(zhí)行的操作，并在攻擊發(fā)生之前實(shí)時(shí)停止它不應(yīng)該執(zhí)行的操作。

攻擊者在利用已知或未知的軟件漏洞或利用配置錯(cuò)誤、過時(shí)的安全策略、范圍不當(dāng)?shù)脑L問權(quán)限以及身份或憑據(jù)管理不足之前，就會(huì)被阻止。

因此，攻擊者沒有機(jī)會(huì)安裝惡意軟件或泄露數(shù)據(jù)。

結(jié)語

在Gartner的技術(shù)成熟度曲線中，CWPP、CSPM等品類已經(jīng)進(jìn)入了光明的爬坡期，產(chǎn)品和市場也越來越成熟，而CNAPP才剛剛起步。

隨著云原生安全的發(fā)展，各種平臺的能力也在相互融合。總而言之，上云的服務(wù)越來越多，云原生安全發(fā)展任重而道遠(yuǎn)。

本文來自微信公眾號“科技云報(bào)到”（ID:ITCloud-BD），作者：科技云報(bào)道，36氪經(jīng)授權(quán)發(fā)布。

科技云報(bào)道

微軟azure

2.9

41條點(diǎn)評

咨詢產(chǎn)品

免費(fèi)試用

在本地、混合、多云或邊緣環(huán)境中 - 在 Azure 上創(chuàng)建面向未來的安全云解決方案。

Assembla

3.0

40條點(diǎn)評

咨詢產(chǎn)品

免費(fèi)試用

安全的軟件開發(fā)平臺，適用于企業(yè)軟件開發(fā)團(tuán)隊(duì)的Git、SVN和Perforce。

Aptible

3.0

40條點(diǎn)評

咨詢產(chǎn)品

免費(fèi)試用

Aptible是一個(gè)基于Docker的平臺即服務(wù)，可幫助您從代碼遷移到云，而無需擔(dān)心管理服務(wù)器

IBM Cloud

3.4

39條點(diǎn)評

咨詢產(chǎn)品

免費(fèi)試用

提供市場領(lǐng)先的安全性、企業(yè)可擴(kuò)展性和開放式創(chuàng)新的云計(jì)算解決方案

客戶案例

暫無

合作品牌

Dokku

3.4

40條點(diǎn)評

咨詢產(chǎn)品

免費(fèi)試用

您見過的最小的PaaS，Dokku幫助您構(gòu)建和管理應(yīng)用程序的生命周期。

相關(guān)產(chǎn)品

查看更多同類產(chǎn)品

国产精一区二区_午夜视频99_免费白白视频_中文字幕一区免费

一文讀懂云工作負(fù)載安全平臺CWPP

項(xiàng)目管理SaaS為什么很難一家獨(dú)大？答案藏在中小企業(yè)的痛點(diǎn)里

2025進(jìn)銷存ERP哪個(gè)好用？高性價(jià)比選型指南，助力企業(yè)高效管理

訂單處理效率低？2025電商ERP自動(dòng)化提效指南，破解多渠道運(yùn)營難題

電商稅算不清、多平臺對賬亂？吉客云ERP系統(tǒng)一鍵搞定合規(guī)核算，2025新規(guī)適配無壓力

電商稅怎么合規(guī)？吉客云多平臺數(shù)據(jù)整合，對賬算稅不費(fèi)勁