科技云報道原創(chuàng)。

隨著企業(yè)將工作負載轉移到云上，保護云環(huán)境已成為當務之急。近年來，CWPP（云工作負載安全防護平臺）成為云安全領域的關注熱點。

Gartner報告指出，美國2021年CWPP市場規(guī)模達到16.99億美元，而目前中國的市場規(guī)模要遠低于這個數字。

IDC報告顯示，2021年，中國云工作負載安全市場實現規(guī)模和增速雙爆發(fā)，市場規(guī)模達到2.8億美元（18.74億元），相較2020年同比增長57.9%。

這表明中國CWPP市場還有巨大的發(fā)展?jié)摿Α?/p>

什么是CWPP？

要理解云工作負載保護平臺是什么，首先需要了解什么是工作負載。

一般來說，工作負載指的是功能或能力的原子單位，以及運行它所需的任何東西——即數據、網絡連接等。

實際上，工作負載可以是任何東西，可以是VM（如在傳統(tǒng)的IaaS或私有云中），也可以是容器化的應用程序，即在容器引擎（如Docker）中運行的應用程序及其支持的中間件。

隨著云的發(fā)展，如今的工作負載已經不是單純的服務器，還包括虛擬機、容器、無服務（serverless）等，部署的模式也有公有云、私有云、混合云、甚至多云等，因此之前的那一套安全產品已經無法滿足需求了，于是開始誕生了CWPP。

CWPP是以工作負載為主體，以一致的方式保護混合云、多云架構下工作負載的安全產品。簡單來說，CWPP就是云上工作負載的全家桶。

和傳統(tǒng)部署在網絡邊界上的安全產品不一樣，CWPP部署在操作系統(tǒng)層，因此可以橫跨物理機、公有云、私有云、混合云等多種數據中心環(huán)境，部署方式更加靈活、防護層面更加豐富。

它提供了一種集成的方式，通過使用單個管理控制臺和單一方式表達安全策略，來保護這些工作負載，而不用考慮工作負載運行的位置。

云工作負載保護平臺的優(yōu)點

CWPP作為云上工作負載的安全“全家桶”，具有很多優(yōu)勢：

傳統(tǒng)安全工具在物理服務器或托管端點上運行，這些工具在設計時并未考慮容器、虛擬化、無服務器功能或云開發(fā)。

現代工作負載保護必須跨越公有云中的虛擬機、容器、無服務器工作負載和其他計算部分。

由于CWPP整合了來自所有工作負載的數據，因此安全人員可以更輕松地分析來自整個環(huán)境的安全數據，這也意味著安全團隊可以更高效地運營。

從使用角度來看，微服務架構會產生大量較小的工作負載；DevOps導致每個工作負載的生命周期縮短；多云和混合云導致環(huán)境變得更為復雜，這些變化都降低了工作負載的可見度。

但無論有多少工作負載或它們位于何處，CWPP都提供了對工作負載安全性的一致可見性，即使他們在多云環(huán)境中處理多個位置的大量工作負載也是如此。

CWPP可以在不影響安全性的情況下在環(huán)境之間移動工作負載。

例如，今天運行在本地hypervisor中的工作負載，明天會轉移到IaaS云中；或者今天在私有云IaaS上運行的容器，明天將轉移到公有云容器實例中。

使用CWPP，它仍然是在遷移前后持續(xù)保護的相同工作負載。

強大的CWPP提供了漏洞與云其他部分的關系背景信息。這種上下文可以更好地確定風險的優(yōu)先級。

通過上下文進入身份、數據和平臺配置，如果CVSS分數為6.5的工作負載暴露在 網絡上，并且其身份嚴重超出許可，可以訪問客戶數據，則該工作負載很快就會成為關鍵風險。

這種嚴重程度的等級劃分有助于安全團隊及時評估風險。

? ?獨立的CWPP就足夠了嗎？

Gartner在《2021 年云工作負載保護平臺市場指南（CWPP）》中指出：工作負載保護必須涵蓋公共云和私有云中的虛擬機、容器和無服務器工作負載。

安全和風險管理領導者應該了解對跨越開發(fā)和運行時的保護需求，包括云安全態(tài)勢管理。

同樣，Forrester的一份報告指出：云安全不應該是不同工具的大雜燴，廠商應提供融合了云工作負載保護（CWPP）、運行時和運行時前容器安全性以及云安全態(tài)勢管理（CSPM）的解決方案，而不是不同的工具。

兩家咨詢機構都指出，CWPP作為獨立解決方案是不夠的，推薦將CSPM、CWPP、DLP等產品組合到集成方案中。

這是因為CWPP是在數據面對云工作負載進行保護，CSPM是在控制面對云工作負載進行保護，只看數據平面還不夠，還需要注意控制平面。

隨著CWPP帶來的安全掃描將安全在開發(fā)階段中進行了左移（包括掃描開源漏洞、庫、可執(zhí)行漏洞、依賴性、硬編碼機密、以及惡意軟件），掃描云配置發(fā)現其他風險同樣重要。

因此，數據面和控制面的云安全產品通過相互融合組成統(tǒng)一的解決方案，能夠更好地保護多云和多租戶。

CNAPP（云原生應用保護平臺）正是這樣一種產物。

作為Gartner新定義的一個品類，是在CSPM和CWPP的融合中引入了應用程序和數據上下文，以保護主機和工作負載，包括VM、容器和無服務器（serverless）功能。

當然對于CNAPP還有一種理解方式：CWPP進行左移與CSPM融合，就變成了CNAPP。因此CNAPP是對開發(fā)、發(fā)布、部署和運營等整個生命周期進行保護。

嚴格實施云安全最佳實踐

CSPM、CWPP、CNAPP等技術固然很重要，但是技術不能取代嚴格實施最佳實踐來減少云中的攻擊面，因此行業(yè)專家建議從以下幾個方面著手去加固安全防線：

在每個環(huán)境中建立安全區(qū)域，并僅允許流量通過防火墻，用于所需和范圍。

至少為每個應用程序和環(huán)境配備單獨的VPC，但也應考慮為每個應用程序環(huán)境（開發(fā)、暫存和生產）分配自己的云帳戶。

有目的地分配訪問權限和資源。例如，僅部署代碼的開發(fā)人員不應具有整個云帳戶的管理權限；開發(fā)人員也不應該持續(xù)訪問生產環(huán)境，僅提供他們需要的東西。

安裝必需的，刪除不需要的。例如，對于容器，僅安裝應用程序需要運行的包和庫，因為攻擊者可以使用任何多余的東西來攻擊。

修補是必不可少的，但它并不能解決每個漏洞。它取決于在野外看到的脆弱性;如果您的軟件版本具有零日威脅，則它對您沒有任何作用。

而且，一旦補丁發(fā)布，在攻擊者有機會在系統(tǒng)中發(fā)現和利用該漏洞之前，就是與時間賽跑。

真正的RASP能充當安全網，它會強制執(zhí)行應用程序應該執(zhí)行的操作，并在攻擊發(fā)生之前實時停止它不應該執(zhí)行的操作。

攻擊者在利用已知或未知的軟件漏洞或利用配置錯誤、過時的安全策略、范圍不當的訪問權限以及身份或憑據管理不足之前，就會被阻止。

因此，攻擊者沒有機會安裝惡意軟件或泄露數據。

結語

在Gartner的技術成熟度曲線中，CWPP、CSPM等品類已經進入了光明的爬坡期，產品和市場也越來越成熟，而CNAPP才剛剛起步。

隨著云原生安全的發(fā)展，各種平臺的能力也在相互融合?？偠灾显频姆赵絹碓蕉?，云原生安全發(fā)展任重而道遠。

來源：科技云報道

生成海報

免責聲明：此文內容為第三方自媒體作者發(fā)布的觀察或評論性文章，所有文字和圖片版權歸作者所有，且僅代表作者個人觀點，與極客網無關。文章僅供讀者參考，并請自行核實相關內容。投訴郵箱：editor@fromgeek.com。

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。