科技云报道原创。
随着企业将工作负载转移到云上,保护云环境已成为当务之急。近年来,CWPP(云工作负载安全防护平台)成为云安全领域的关注热点。
Gartner报告指出,美国2021年CWPP市场规模达到16.99亿美元,而目前中国的市场规模要远低于这个数字。
IDC报告显示,2021年,中国云工作负载安全市场实现规模和增速双爆发,市场规模达到2.8亿美元(18.74亿元),相较2020年同比增长57.9%。
这表明中国CWPP市场还有巨大的发展潜力。
什么是CWPP?
要理解云工作负载保护平台是什么,首先需要了解什么是工作负载。
一般来说,工作负载指的是功能或能力的原子单位,以及运行它所需的任何东西——即数据、网络连接等。
实际上,工作负载可以是任何东西,可以是VM(如在传统的IaaS或私有云中),也可以是容器化的应用程序,即在容器引擎(如Docker)中运行的应用程序及其支持的中间件。
随着云的发展,如今的工作负载已经不是单纯的服务器,还包括虚拟机、容器、无服务(serverless)等,部署的模式也有公有云、私有云、混合云、甚至多云等,因此之前的那一套安全产品已经无法满足需求了,于是开始诞生了CWPP。
CWPP是以工作负载为主体,以一致的方式保护混合云、多云架构下工作负载的安全产品。简单来说,CWPP就是云上工作负载的全家桶。
和传统部署在网络边界上的安全产品不一样,CWPP部署在操作系统层,因此可以横跨物理机、公有云、私有云、混合云等多种数据中心环境,部署方式更加灵活、防护层面更加丰富。
它提供了一种集成的方式,通过使用单个管理控制台和单一方式表达安全策略,来保护这些工作负载,而不用考虑工作负载运行的位置。
云工作负载保护平台的优点
CWPP作为云上工作负载的安全“全家桶”,具有很多优势:
降低复杂度传统安全工具在物理服务器或托管端点上运行,这些工具在设计时并未考虑容器、虚拟化、无服务器功能或云开发。
现代工作负载保护必须跨越公有云中的虚拟机、容器、无服务器工作负载和其他计算部分。
由于CWPP整合了来自所有工作负载的数据,因此安全人员可以更轻松地分析来自整个环境的安全数据,这也意味着安全团队可以更高效地运营。
跨云环境的一致性从使用角度来看,微服务架构会产生大量较小的工作负载;DevOps导致每个工作负载的生命周期缩短;多云和混合云导致环境变得更为复杂,这些变化都降低了工作负载的可见度。
但无论有多少工作负载或它们位于何处,CWPP都提供了对工作负载安全性的一致可见性,即使他们在多云环境中处理多个位置的大量工作负载也是如此。
安全的可移植性CWPP可以在不影响安全性的情况下在环境之间移动工作负载。
例如,今天运行在本地hypervisor中的工作负载,明天会转移到IaaS云中;或者今天在私有云IaaS上运行的容器,明天将转移到公有云容器实例中。
使用CWPP,它仍然是在迁移前后持续保护的相同工作负载。
确定风险的优先级,减少警报疲劳强大的CWPP提供了漏洞与云其他部分的关系背景信息。这种上下文可以更好地确定风险的优先级。
通过上下文进入身份、数据和平台配置,如果CVSS分数为6.5的工作负载暴露在 网络上,并且其身份严重超出许可,可以访问客户数据,则该工作负载很快就会成为关键风险。
这种严重程度的等级划分有助于安全团队及时评估风险。
独立的CWPP就足够了吗?
Gartner在《2021 年云工作负载保护平台市场指南(CWPP)》中指出:工作负载保护必须涵盖公共云和私有云中的虚拟机、容器和无服务器工作负载。
安全和风险管理领导者应该了解对跨越开发和运行时的保护需求,包括云安全态势管理。
同样,Forrester的一份报告指出:云安全不应该是不同工具的大杂烩,厂商应提供融合了云工作负载保护(CWPP)、运行时和运行时前容器安全性以及云安全态势管理(CSPM)的解决方案,而不是不同的工具。
两家咨询机构都指出,CWPP作为独立解决方案是不够的,推荐将CSPM、CWPP、DLP等产品组合到集成方案中。
这是因为CWPP是在数据面对云工作负载进行保护,CSPM是在控制面对云工作负载进行保护,只看数据平面还不够,还需要注意控制平面。
随着CWPP带来的安全扫描将安全在开发阶段中进行了左移(包括扫描开源漏洞、库、可执行漏洞、依赖性、硬编码机密、以及恶意软件),扫描云配置发现其他风险同样重要。
因此,数据面和控制面的云安全产品通过相互融合组成统一的解决方案,能够更好地保护多云和多租户。
CNAPP(云原生应用保护平台)正是这样一种产物。
作为Gartner新定义的一个品类,是在CSPM和CWPP的融合中引入了应用程序和数据上下文,以保护主机和工作负载,包括VM、容器和无服务器(serverless)功能。
当然对于CNAPP还有一种理解方式:CWPP进行左移与CSPM融合,就变成了CNAPP。因此CNAPP是对开发、发布、部署和运营等整个生命周期进行保护。
严格实施云安全最佳实践
CSPM、CWPP、CNAPP等技术固然很重要,但是技术不能取代严格实施最佳实践来减少云中的攻击面,因此行业专家建议从以下几个方面着手去加固安全防线:
部署适当的网络分段和安全性在每个环境中建立安全区域,并仅允许流量通过防火墙,用于所需和范围。
至少为每个应用程序和环境配备单独的VPC,但也应考虑为每个应用程序环境(开发、暂存和生产)分配自己的云帐户。
利用最小特权原则有目的地分配访问权限和资源。例如,仅部署代码的开发人员不应具有整个云帐户的管理权限;开发人员也不应该持续访问生产环境,仅提供他们需要的东西。
尽量减少计算机资源的安装基础安装必需的,删除不需要的。例如,对于容器,仅安装应用程序需要运行的包和库,因为攻击者可以使用任何多余的东西来攻击。
及时打补丁以修复漏洞修补是必不可少的,但它并不能解决每个漏洞。它取决于在野外看到的脆弱性;如果您的软件版本具有零日威胁,则它对您没有任何作用。
而且,一旦补丁发布,在攻击者有机会在系统中发现和利用该漏洞之前,就是与时间赛跑。
通过运行时应用自我保护(RASP)阻止受攻击者影响代码真正的RASP能充当安全网,它会强制执行应用程序应该执行的操作,并在攻击发生之前实时停止它不应该执行的操作。
攻击者在利用已知或未知的软件漏洞或利用配置错误、过时的安全策略、范围不当的访问权限以及身份或凭据管理不足之前,就会被阻止。
因此,攻击者没有机会安装恶意软件或泄露数据。
结语
在Gartner的技术成熟度曲线中,CWPP、CSPM等品类已经进入了光明的爬坡期,产品和市场也越来越成熟,而CNAPP才刚刚起步。
随着云原生安全的发展,各种平台的能力也在相互融合。总而言之,上云的服务越来越多,云原生安全发展任重而道远。
- 蜜度索骥:以跨模态检索技术助力“企宣”向上生长
- 消息称塔塔集团将收购和硕印度iPhone代工厂60%股份 并接管日常运营
- 苹果揭秘自研芯片成功之道:领先技术与深度整合是关键
- 英伟达新一代Blackwell GPU面临过热挑战,交付延期引发市场关注
- 马斯克能否成为 AI 部部长?硅谷与白宫的联系日益紧密
- 余承东:Mate70将在26号发布,意外泄露引发关注
- 无人机“黑科技”亮相航展:全球首台低空重力测量系统引关注
- 赛力斯发布声明:未与任何伙伴联合开展人形机器人合作
- 赛力斯触及涨停,汽车整车股盘初强势拉升
- 特斯拉首次聘请品牌大使:韩国奥运射击选手金艺智
- 华为研发中心入驻上海青浦致小镇房租大涨,带动周边租房市场热潮
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。