云工作负载保护平台安全优势及其功能

本篇文章1845字，读完约5分钟

不久前，当安全管理员部署应用程序时，他们可以相信某些东西会保持静态。例如，部署到本地物理主机的应用程序将是相同的状态、相同的主机、相同的网络、相同的配置和相同的技术基础，这将在两周之后保留。

然而，在现代生态系统中，这是一个例外，而不是规则。工作负载今天可能会部署到虚拟机或私有云，但明天将会在公共云环境中的docker容器上运行。

从安全角度来看，这是一个重大挑战。例如，如果假设网络入侵检测系统在部署了工作负载的环境中持续受到监控，那么当它被转移到没有部署工作负载的不同环境中时会发生什么情况？

多云天气的增加进一步加剧了这种情况。如今，很少有组织只使用一个可信的iaas或paas提供商。事实上，只支持一个应用程序可能涉及两个或三个(或更多)不同的提供商和环境。这增加了复杂性，并使得难以确保针对正确的工作负载在正确的位置部署正确的控件。

一个新的安全系统正在出现，预计会有所帮助。云工作负载保护平台(cwpps)是一项安全实施战略，旨在通过跨多个云提供商统一管理、打包控制和工作负载并确保控制设计为云原生，来帮助解决这些挑战。

什么是云工作负载保护平台？

gartner提出的Cwpp是指为工作负载的云本地保护而设计的安全策略。要理解这一点，重要的是从什么是工作负载开始。一般来说，工作负载是指功能或能力的原子单位，以及运行它所需的一切，即数据、网络连接等。它是云功能的一个单元。

事实上，工作量可以是任何东西。一个可能是构成面向客户的应用程序一部分的api，另一个可能是处理后端处理的计算组件，另一个可能是内部业务应用程序的前端。工作负载可以是虚拟机(例如，在传统的iaas或私有云中)或容器化的应用程序，即运行在容器引擎(例如，docker)中的应用程序及其支持的中间件。

cwpp背后的理念是提供一种机制，以一致的方式保护这些工作负载。如何与多个云环境合作(包括组织您自己的私有云或混合云)；无论他们周围发生什么，他们都有相同的安全属性和降低风险的价值。

cwpp的三大优势

Cwpp有明显的含义，可分为三大类。

1.降低复杂性

由于cwpp侧重于云本地条件的安全性，它们在云中提供的保护可能难以用旧工具实现，而且成本高昂。许多传统工具是围绕受管端点或物理服务器设计的。它们不一定是为虚拟化或容器而设计的，也很少用于无服务器的paas或作为服务。作为基准，cwpp可以提供预期的安全价值，即使是在组织无法控制的较低技术堆栈级别的容器或虚拟机中运行。

2.一致性

其次是一致性。鉴于大多数组织如何使用云，这一点很重要。例如，从使用的角度来看，微服务架构导致更多和更小的工作负载；Devops导致每个单独工作负载的生命周期缩短，因为工作负载根据发布节奏被分解并替换为更新的工作负载；多云和混合云导致不同环境的串联使用。从长远来看，这将降低能见度，除非采取措施加以防止。Cwpp提供了一个更加一致的视图，无论有多少工作负载或它们位于何处。

3.轻便

第三个意义是可移植性，这意味着无论工作负载在哪里，产品都可以增强安全性。例如，今天在本地虚拟机管理程序中运行的工作负载明天将转移到iaas提供程序，或者今天在专用iaas中的引擎上运行的容器明天将转移到aws fargate或azure容器实例。

Cwpp函数和提供程序

值得注意的是，并非cwpp的所有产品都能提供所有益处。相反，有些系统是服务提供商专用的，因此限制了可移植性。有些是特定用途的——例如，用于虚拟工作负载而不是容器——因此限制了一致性；其他人只关注安全控制的一部分，如漏洞扫描、加密或配置管理。

鉴于产品种类繁多，许多cwpp产品根据其提供的安全声明和提供方式会有所不同。云提供商提供了一些工具。例如，微软的azure安全中心旨在多个操作系统之间提供一致的安全管理，包括网络级可见性、配置评估和威胁防护。你也可以使用亚马逊检查员，这可以帮助解决漏洞和配置问题。

其他更广泛的产品来自成熟且历史悠久的安全供应商，如palo alto networks的prisma cloud，该公司专注于分段工作负载，并为容器和虚拟化工作负载提供额外的安全功能。一些cwpp更加具体，关注于更小的问题子集，包括capsule8的攻击者检测功能或anchore的基于容器的漏洞扫描。

当然，这些只是该领域众多供应商和参与者中的一部分。然而，从安全从业者的角度来看，了解市场的根本变化以及这些变化对我们发展的影响是有益和有价值的。

来源：搜狐微门户