一文读懂云工作负载安全平台CWPP

科技云报道

+ 关注

2022-11-16 11:41

638次阅读

一文读懂云工作负载安全平台CWPP

随着企业将工作负载转移到云上，保护云环境已成为当务之急。近年来，CWPP（云工作负载安全防护平台）成为云安全领域的关注热点。

一文读懂云工作负载安全平台CWPP

Gartner报告指出，美国2021年CWPP市场规模达到16.99亿美元，而目前中国的市场规模要远低于这个数字。

IDC报告显示，2021年，中国云工作负载安全市场实现规模和增速双爆发，市场规模达到2.8亿美元（18.74亿元），相较2020年同比增长57.9%。

这表明中国CWPP市场还有巨大的发展潜力。

什么是CWPP？

要理解云工作负载保护平台是什么，首先需要了解什么是工作负载。

一般来说，工作负载指的是功能或能力的原子单位，以及运行它所需的任何东西——即数据、网络连接等。

实际上，工作负载可以是任何东西，可以是VM（如在传统的IaaS或私有云中），也可以是容器化的应用程序，即在容器引擎（如Docker）中运行的应用程序及其支持的中间件。

随着云的发展，如今的工作负载已经不是单纯的服务器，还包括虚拟机、容器、无服务（serverless）等，部署的模式也有公有云、私有云、混合云、甚至多云等，因此之前的那一套安全产品已经无法满足需求了，于是开始诞生了CWPP。

CWPP是以工作负载为主体，以一致的方式保护混合云、多云架构下工作负载的安全产品。简单来说，CWPP就是云上工作负载的全家桶。

和传统部署在网络边界上的安全产品不一样，CWPP部署在操作系统层，因此可以横跨物理机、公有云、私有云、混合云等多种数据中心环境，部署方式更加灵活、防护层面更加丰富。

它提供了一种集成的方式，通过使用单个管理控制台和单一方式表达安全策略，来保护这些工作负载，而不用考虑工作负载运行的位置。

云工作负载保护平台的优点

CWPP作为云上工作负载的安全“全家桶”，具有很多优势：

降低复杂度

传统安全工具在物理服务器或托管端点上运行，这些工具在设计时并未考虑容器、虚拟化、无服务器功能或云开发。

现代工作负载保护必须跨越公有云中的虚拟机、容器、无服务器工作负载和其他计算部分。

由于CWPP整合了来自所有工作负载的数据，因此安全人员可以更轻松地分析来自整个环境的安全数据，这也意味着安全团队可以更高效地运营。

跨云环境的一致性

从使用角度来看，微服务架构会产生大量较小的工作负载； DevOps导致每个工作负载的生命周期缩短；多云和混合云导致环境变得更为复杂，这些变化都降低了工作负载的可见度。

但无论有多少工作负载或它们位于何处，CWPP都提供了对工作负载安全性的一致可见性，即使他们在多云环境中处理多个位置的大量工作负载也是如此。

安全的可移植性

C WPP可以在不影响安全性的情况下在环境之间移动工作负载。

例如，今天运行在本地hypervisor中的工作负载，明天会转移到IaaS云中；或者今天在私有云IaaS上运行的容器，明天将转移到公有云容器实例中。

使用CWPP，它仍然是在迁移前后持续保护的相同工作负载。

确定风险的优先级，减少警报疲劳

强大的CWPP提供了漏洞与云其他部分的关系背景信息。这种上下文可以更好地确定风险的优先级。

通过上下文进入身份、数据和平台配置，如果CVSS分数为6.5的工作负载暴露在网络上，并且其身份严重超出许可，可以访问客户数据，则该工作负载很快就会成为关键风险。

这种严重程度的等级划分有助于安全团队及时评估风险。

一文读懂云工作负载安全平台CWPP

独立的CWPP就足够了吗？

Gartner在《2021 年云工作负载保护平台市场指南（CWPP）》中指出：工作负载保护必须涵盖公共云和私有云中的虚拟机、容器和无服务器工作负载。

安全和风险管理领导者应该了解对跨越开发和运行时的保护需求，包括云安全态势管理。

同样，Forrester的一份报告指出：云安全不应该是不同工具的大杂烩，厂商应提供融合了云工作负载保护（CWPP）、运行时和运行时前容器安全性以及云安全态势管理（CSPM）的解决方案，而不是不同的工具。

两家咨询机构都指出，CWPP作为独立解决方案是不够的，推荐将CSPM、CWPP、DLP等产品组合到集成方案中。

这是因为CWPP是在数据面对云工作负载进行保护，CSPM是在控制面对云工作负载进行保护，只看数据平面还不够，还需要注意控制平面。

随着CWPP带来的安全扫描将安全在开发阶段中进行了左移（包括扫描开源漏洞、库、可执行漏洞、依赖性、硬编码机密、以及恶意软件），扫描云配置发现其他风险同样重要。

因此，数据面和控制面的云安全产品通过相互融合组成统一的解决方案，能够更好地保护多云和多租户。

CNAPP（云原生应用保护平台）正是这样一种产物。

作为Gartner新定义的一个品类，是在CSPM和CWPP的融合中引入了应用程序和数据上下文，以保护主机和工作负载，包括VM、容器和无服务器（serverless）功能。

当然对于CNAPP还有一种理解方式：CWPP进行左移与CSPM融合，就变成了CNAPP。因此CNAPP是对开发、发布、部署和运营等整个生命周期进行保护。

严格实施云安全最佳实践

CSPM、CWPP、CNAPP等技术固然很重要，但是技术不能取代严格实施最佳实践来减少云中的攻击面，因此行业专家建议从以下几个方面着手去加固安全防线：

部署适当的网络分段和安全性

在每个环境中建立安全区域，并仅允许流量通过防火墙，用于所需和范围。

至少为每个应用程序和环境配备单独的VPC，但也应考虑为每个应用程序环境（开发、暂存和生产）分配自己的云帐户。

利用最小特权原则

有目的地分配访问权限和资源。例如，仅部署代码的开发人员不应具有整个云帐户的管理权限；开发人员也不应该持续访问生产环境，仅提供他们需要的东西。

尽量减少计算机资源的安装基础

安装必需的，删除不需要的。例如，对于容器，仅安装应用程序需要运行的包和库，因为攻击者可以使用任何多余的东西来攻击。

及时打补丁以修复漏洞

修补是必不可少的，但它并不能解决每个漏洞。它取决于在野外看到的脆弱性;如果您的软件版本具有零日威胁，则它对您没有任何作用。

而且，一旦补丁发布，在攻击者有机会在系统中发现和利用该漏洞之前，就是与时间赛跑。

通过运行时应用自我保护（RASP）阻止受攻击者影响代码

真正的RASP能充当安全网，它会强制执行应用程序应该执行的操作，并在攻击发生之前实时停止它不应该执行的操作。

攻击者在利用已知或未知的软件漏洞或利用配置错误、过时的安全策略、范围不当的访问权限以及身份或凭据管理不足之前，就会被阻止。

因此，攻击者没有机会安装恶意软件或泄露数据。

结语

在Gartner的技术成熟度曲线中，CWPP、CSPM等品类已经进入了光明的爬坡期，产品和市场也越来越成熟，而CNAPP才刚刚起步。

随着云原生安全的发展，各种平台的能力也在相互融合。总而言之，上云的服务越来越多，云原生安全发展任重而道远。

本文来自微信公众号“科技云报到”（ID:ITCloud-BD），作者：科技云报道，36氪经授权发布。

科技云报道

0

微软azure

微软azure

2.9

41条点评

咨询产品

免费试用

在本地、混合、多云或边缘环境中 - 在 Azure 上创建面向未来的安全云解决方案。

IBM Cloud

IBM Cloud

3.4

39条点评

咨询产品

免费试用

提供市场领先的安全性、企业可扩展性和开放式创新的云计算解决方案

客户案例

暂无

Dokku

Dokku

3.4

40条点评

咨询产品

免费试用

您见过的最小的PaaS，Dokku帮助您构建和管理应用程序的生命周期。

Assembla

Assembla

3.0

40条点评

咨询产品

免费试用

安全的软件开发平台，适用于企业软件开发团队的Git、SVN和Perforce。

Aptible

Aptible

3.0

40条点评

咨询产品

免费试用

Aptible是一个基于Docker的平台即服务，可帮助您从代码迁移到云，而无需担心管理服务器

相关产品

查看更多同类产品

最新文章

关注 36氪企服点评公众号

打开微信扫一扫

为您推送企服点评最新内容

消息通知

咨询入驻

商务合作