国产精一区二区_午夜视频99_免费白白视频_中文字幕一区免费

一文讀懂云工作負載安全平臺CWPP

科技云報道
+ 關注
2022-11-16 11:41
784次閱讀
一文讀懂云工作負載安全平臺CWPP
隨著企業將工作負載轉移到云上,保護云環境已成為當務之急。 近年來,CWPP(云工作負載安全防護平臺)成為云安全領域的關注熱點。
一文讀懂云工作負載安全平臺CWPP
Gartner報告指出,美國2021年CWPP市場規模達到16.99億美元,而目前中國的市場規模要遠低于這個數字。
IDC報告顯示,2021年,中國云工作負載安全市場實現規模和增速雙爆發,市場規模達到2.8億美元(18.74億元),相較2020年同比增長57.9%。
這表明中國CWPP市場還有巨大的發展潛力。
一文讀懂云工作負載安全平臺CWPP
什么是CWPP?
要理解云工作負載保護平臺是什么,首先需要了解什么是工作負載。
一般來說,工作負載指的是功能或能力的原子單位,以及運行它所需的任何東西——即數據、網絡連接等。
實際上,工作負載可以是任何東西,可以是VM(如在傳統的IaaS或私有云中),也可以是容器化的應用程序,即在容器引擎(如Docker)中運行的應用程序及其支持的中間件。
隨著云的發展,如今的工作負載已經不是單純的服務器,還包括虛擬機、容器、無服務(serverless)等,部署的模式也有公有云、私有云、混合云、甚至多云等,因此之前的那一套安全產品已經無法滿足需求了,于是開始誕生了CWPP。
CWPP是以工作負載為主體,以一致的方式保護混合云、多云架構下工作負載的安全產品。簡單來說,CWPP就是云上工作負載的全家桶。
和傳統部署在網絡邊界上的安全產品不一樣,CWPP部署在操作系統層,因此可以橫跨物理機、公有云、私有云、混合云等多種數據中心環境,部署方式更加靈活、防護層面更加豐富。
它提供了一種集成的方式,通過使用單個管理控制臺和單一方式表達安全策略,來保護這些工作負載,而不用考慮工作負載運行的位置。
一文讀懂云工作負載安全平臺CWPP
云工作負載保護平臺的優點
CWPP作為云上工作負載的安全“全家桶”,具有很多優勢:

  • 降低復雜度

傳統安全工具在物理服務器或托管端點上運行,這些工具在設計時并未考慮容器、虛擬化、無服務器功能或云開發。
現代工作負載保護必須跨越公有云中的虛擬機、容器、無服務器工作負載和其他計算部分。
由于CWPP整合了來自所有工作負載的數據,因此安全人員可以更輕松地分析來自整個環境的安全數據,這也意味著安全團隊可以更高效地運營。
  • 跨云環境的一致性
從使用角度來看,微服務架構會產生大量較小的工作負載; DevOps導致每個工作負載的生命周期縮短; 多云和混合云導致環境變得更為復雜,這些變化都降低了工作負載的可見度。
但無論有多少工作負載或它們位于何處,CWPP都提供了對工作負載安全性的一致可見性,即使他們在多云環境中處理多個位置的大量工作負載也是如此。
  •  安全的可移植性
C WPP可以在不影響安全性的情況下在環境之間移動工作負載。
例如,今天運行在本地hypervisor中的工作負載,明天會轉移到IaaS云中; 或者今天在私有云IaaS上運行的容器,明天將轉移到公有云容器實例中。
使用CWPP,它仍然是在遷移前后持續保護的相同工作負載。
  • 確定風險的優先級,減少警報疲勞
強大的CWPP提供了漏洞與云其他部分的關系背景信息。這種上下文可以更好地確定風險的優先級。
通過上下文進入身份、數據和平臺配置,如果CVSS分數為6.5的工作負載暴露在 網絡上,并且其身份嚴重超出許可,可以訪問客戶數據,則該工作負載很快就會成為關鍵風險。
這種嚴重程度的等級劃分有助于安全團隊及時評估風險。
一文讀懂云工作負載安全平臺CWPP
一文讀懂云工作負載安全平臺CWPP
   獨立的CWPP就足夠了嗎?
Gartner在《2021 年云工作負載保護平臺市場指南(CWPP)》中指出:工作負載保護必須涵蓋公共云和私有云中的虛擬機、容器和無服務器工作負載。
安全和風險管理領導者應該了解對跨越開發和運行時的保護需求,包括云安全態勢管理。
同樣,Forrester的一份報告指出:云安全不應該是不同工具的大雜燴,廠商應提供融合了云工作負載保護(CWPP)、運行時和運行時前容器安全性以及云安全態勢管理(CSPM)的解決方案,而不是不同的工具。
兩家咨詢機構都指出,CWPP作為獨立解決方案是不夠的,推薦將CSPM、CWPP、DLP等產品組合到集成方案中。
這是因為CWPP是在數據面對云工作負載進行保護,CSPM是在控制面對云工作負載進行保護,只看數據平面還不夠,還需要注意控制平面。
隨著CWPP帶來的安全掃描將安全在開發階段中進行了左移(包括掃描開源漏洞、庫、可執行漏洞、依賴性、硬編碼機密、以及惡意軟件),掃描云配置發現其他風險同樣重要。
因此,數據面和控制面的云安全產品通過相互融合組成統一的解決方案,能夠更好地保護多云和多租戶。
CNAPP(云原生應用保護平臺)正是這樣一種產物。
作為Gartner新定義的一個品類,是在CSPM和CWPP的融合中引入了應用程序和數據上下文,以保護主機和工作負載,包括VM、容器和無服務器(serverless)功能。
當然對于CNAPP還有一種理解方式:CWPP進行左移與CSPM融合,就變成了CNAPP。因此CNAPP是對開發、發布、部署和運營等整個生命周期進行保護。
一文讀懂云工作負載安全平臺CWPP
嚴格實施云安全最佳實踐
CSPM、CWPP、CNAPP等技術固然很重要,但是技術不能取代嚴格實施最佳實踐來減少云中的攻擊面,因此行業專家建議從以下幾個方面著手去加固安全防線:
  • 部署適當的網絡分段和安全性
在每個環境中建立安全區域,并僅允許流量通過防火墻,用于所需和范圍。
至少為每個應用程序和環境配備單獨的VPC,但也應考慮為每個應用程序環境(開發、暫存和生產)分配自己的云帳戶。
  •  利用最小特權原則
有目的地分配訪問權限和資源。例如,僅部署代碼的開發人員不應具有整個云帳戶的管理權限;開發人員也不應該持續訪問生產環境,僅提供他們需要的東西。
  • 盡量減少計算機資源的安裝基礎
安裝必需的,刪除不需要的。 例如,對于容器,僅安裝應用程序需要運行的包和庫,因為攻擊者可以使用任何多余的東西來攻擊。
  • 及時打補丁以修復漏洞
修補是必不可少的,但它并不能解決每個漏洞。它取決于在野外看到的脆弱性;如果您的軟件版本具有零日威脅,則它對您沒有任何作用。
而且,一旦補丁發布,在攻擊者有機會在系統中發現和利用該漏洞之前,就是與時間賽跑。
  • 通過運行時應用自我保護(RASP)阻止受攻擊者影響代碼
真正的RASP能充當安全網,它會強制執行應用程序應該執行的操作,并在攻擊發生之前實時停止它不應該執行的操作。
攻擊者在利用已知或未知的軟件漏洞或利用配置錯誤、過時的安全策略、范圍不當的訪問權限以及身份或憑據管理不足之前,就會被阻止。
因此,攻擊者沒有機會安裝惡意軟件或泄露數據。
一文讀懂云工作負載安全平臺CWPP
結語
在Gartner的技術成熟度曲線中,CWPP、CSPM等品類已經進入了光明的爬坡期,產品和市場也越來越成熟,而CNAPP才剛剛起步。
隨著云原生安全的發展,各種平臺的能力也在相互融合。 總而言之,上云的服務越來越多,云原生安全發展任重而道遠。
本文來自微信公眾號“科技云報到”(ID:ITCloud-BD),作者:科技云報道,36氪經授權發布。
0
相關文章
最新文章
查看更多
關注 36氪企服點評 公眾號
打開微信掃一掃
為您推送企服點評最新內容
消息通知
咨詢入駐
商務合作