科技云報道原創(chuàng)。
隨著企業(yè)將工作負(fù)載轉(zhuǎn)移到云上,保護(hù)云環(huán)境已成為當(dāng)務(wù)之急。近年來,CWPP(云工作負(fù)載安全防護(hù)平臺)成為云安全領(lǐng)域的關(guān)注熱點。
Gartner報告指出,美國2021年CWPP市場規(guī)模達(dá)到16.99億美元,而目前中國的市場規(guī)模要遠(yuǎn)低于這個數(shù)字。
IDC報告顯示,2021年,中國云工作負(fù)載安全市場實現(xiàn)規(guī)模和增速雙爆發(fā),市場規(guī)模達(dá)到2.8億美元(18.74億元),相較2020年同比增長57.9%。
這表明中國CWPP市場還有巨大的發(fā)展?jié)摿Α?/p>
什么是CWPP?
要理解云工作負(fù)載保護(hù)平臺是什么,首先需要了解什么是工作負(fù)載。
一般來說,工作負(fù)載指的是功能或能力的原子單位,以及運(yùn)行它所需的任何東西——即數(shù)據(jù)、網(wǎng)絡(luò)連接等。
實際上,工作負(fù)載可以是任何東西,可以是VM(如在傳統(tǒng)的IaaS或私有云中),也可以是容器化的應(yīng)用程序,即在容器引擎(如Docker)中運(yùn)行的應(yīng)用程序及其支持的中間件。
隨著云的發(fā)展,如今的工作負(fù)載已經(jīng)不是單純的服務(wù)器,還包括虛擬機(jī)、容器、無服務(wù)(serverless)等,部署的模式也有公有云、私有云、混合云、甚至多云等,因此之前的那一套安全產(chǎn)品已經(jīng)無法滿足需求了,于是開始誕生了CWPP。
CWPP是以工作負(fù)載為主體,以一致的方式保護(hù)混合云、多云架構(gòu)下工作負(fù)載的安全產(chǎn)品。簡單來說,CWPP就是云上工作負(fù)載的全家桶。
和傳統(tǒng)部署在網(wǎng)絡(luò)邊界上的安全產(chǎn)品不一樣,CWPP部署在操作系統(tǒng)層,因此可以橫跨物理機(jī)、公有云、私有云、混合云等多種數(shù)據(jù)中心環(huán)境,部署方式更加靈活、防護(hù)層面更加豐富。
它提供了一種集成的方式,通過使用單個管理控制臺和單一方式表達(dá)安全策略,來保護(hù)這些工作負(fù)載,而不用考慮工作負(fù)載運(yùn)行的位置。
云工作負(fù)載保護(hù)平臺的優(yōu)點
CWPP作為云上工作負(fù)載的安全“全家桶”,具有很多優(yōu)勢:
降低復(fù)雜度傳統(tǒng)安全工具在物理服務(wù)器或托管端點上運(yùn)行,這些工具在設(shè)計時并未考慮容器、虛擬化、無服務(wù)器功能或云開發(fā)。
現(xiàn)代工作負(fù)載保護(hù)必須跨越公有云中的虛擬機(jī)、容器、無服務(wù)器工作負(fù)載和其他計算部分。
由于CWPP整合了來自所有工作負(fù)載的數(shù)據(jù),因此安全人員可以更輕松地分析來自整個環(huán)境的安全數(shù)據(jù),這也意味著安全團(tuán)隊可以更高效地運(yùn)營。
跨云環(huán)境的一致性從使用角度來看,微服務(wù)架構(gòu)會產(chǎn)生大量較小的工作負(fù)載;DevOps導(dǎo)致每個工作負(fù)載的生命周期縮短;多云和混合云導(dǎo)致環(huán)境變得更為復(fù)雜,這些變化都降低了工作負(fù)載的可見度。
但無論有多少工作負(fù)載或它們位于何處,CWPP都提供了對工作負(fù)載安全性的一致可見性,即使他們在多云環(huán)境中處理多個位置的大量工作負(fù)載也是如此。
?安全的可移植性CWPP可以在不影響安全性的情況下在環(huán)境之間移動工作負(fù)載。
例如,今天運(yùn)行在本地hypervisor中的工作負(fù)載,明天會轉(zhuǎn)移到IaaS云中;或者今天在私有云IaaS上運(yùn)行的容器,明天將轉(zhuǎn)移到公有云容器實例中。
使用CWPP,它仍然是在遷移前后持續(xù)保護(hù)的相同工作負(fù)載。
確定風(fēng)險的優(yōu)先級,減少警報疲勞強(qiáng)大的CWPP提供了漏洞與云其他部分的關(guān)系背景信息。這種上下文可以更好地確定風(fēng)險的優(yōu)先級。
通過上下文進(jìn)入身份、數(shù)據(jù)和平臺配置,如果CVSS分?jǐn)?shù)為6.5的工作負(fù)載暴露在 網(wǎng)絡(luò)上,并且其身份嚴(yán)重超出許可,可以訪問客戶數(shù)據(jù),則該工作負(fù)載很快就會成為關(guān)鍵風(fēng)險。
這種嚴(yán)重程度的等級劃分有助于安全團(tuán)隊及時評估風(fēng)險。
? ?獨立的CWPP就足夠了嗎?
Gartner在《2021 年云工作負(fù)載保護(hù)平臺市場指南(CWPP)》中指出:工作負(fù)載保護(hù)必須涵蓋公共云和私有云中的虛擬機(jī)、容器和無服務(wù)器工作負(fù)載。
安全和風(fēng)險管理領(lǐng)導(dǎo)者應(yīng)該了解對跨越開發(fā)和運(yùn)行時的保護(hù)需求,包括云安全態(tài)勢管理。
同樣,F(xiàn)orrester的一份報告指出:云安全不應(yīng)該是不同工具的大雜燴,廠商應(yīng)提供融合了云工作負(fù)載保護(hù)(CWPP)、運(yùn)行時和運(yùn)行時前容器安全性以及云安全態(tài)勢管理(CSPM)的解決方案,而不是不同的工具。
兩家咨詢機(jī)構(gòu)都指出,CWPP作為獨立解決方案是不夠的,推薦將CSPM、CWPP、DLP等產(chǎn)品組合到集成方案中。
這是因為CWPP是在數(shù)據(jù)面對云工作負(fù)載進(jìn)行保護(hù),CSPM是在控制面對云工作負(fù)載進(jìn)行保護(hù),只看數(shù)據(jù)平面還不夠,還需要注意控制平面。
隨著CWPP帶來的安全掃描將安全在開發(fā)階段中進(jìn)行了左移(包括掃描開源漏洞、庫、可執(zhí)行漏洞、依賴性、硬編碼機(jī)密、以及惡意軟件),掃描云配置發(fā)現(xiàn)其他風(fēng)險同樣重要。
因此,數(shù)據(jù)面和控制面的云安全產(chǎn)品通過相互融合組成統(tǒng)一的解決方案,能夠更好地保護(hù)多云和多租戶。
CNAPP(云原生應(yīng)用保護(hù)平臺)正是這樣一種產(chǎn)物。
作為Gartner新定義的一個品類,是在CSPM和CWPP的融合中引入了應(yīng)用程序和數(shù)據(jù)上下文,以保護(hù)主機(jī)和工作負(fù)載,包括VM、容器和無服務(wù)器(serverless)功能。
當(dāng)然對于CNAPP還有一種理解方式:CWPP進(jìn)行左移與CSPM融合,就變成了CNAPP。因此CNAPP是對開發(fā)、發(fā)布、部署和運(yùn)營等整個生命周期進(jìn)行保護(hù)。
嚴(yán)格實施云安全最佳實踐
CSPM、CWPP、CNAPP等技術(shù)固然很重要,但是技術(shù)不能取代嚴(yán)格實施最佳實踐來減少云中的攻擊面,因此行業(yè)專家建議從以下幾個方面著手去加固安全防線:
部署適當(dāng)?shù)木W(wǎng)絡(luò)分段和安全性在每個環(huán)境中建立安全區(qū)域,并僅允許流量通過防火墻,用于所需和范圍。
至少為每個應(yīng)用程序和環(huán)境配備單獨的VPC,但也應(yīng)考慮為每個應(yīng)用程序環(huán)境(開發(fā)、暫存和生產(chǎn))分配自己的云帳戶。
?利用最小特權(quán)原則有目的地分配訪問權(quán)限和資源。例如,僅部署代碼的開發(fā)人員不應(yīng)具有整個云帳戶的管理權(quán)限;開發(fā)人員也不應(yīng)該持續(xù)訪問生產(chǎn)環(huán)境,僅提供他們需要的東西。
盡量減少計算機(jī)資源的安裝基礎(chǔ)安裝必需的,刪除不需要的。例如,對于容器,僅安裝應(yīng)用程序需要運(yùn)行的包和庫,因為攻擊者可以使用任何多余的東西來攻擊。
及時打補(bǔ)丁以修復(fù)漏洞修補(bǔ)是必不可少的,但它并不能解決每個漏洞。它取決于在野外看到的脆弱性;如果您的軟件版本具有零日威脅,則它對您沒有任何作用。
而且,一旦補(bǔ)丁發(fā)布,在攻擊者有機(jī)會在系統(tǒng)中發(fā)現(xiàn)和利用該漏洞之前,就是與時間賽跑。
通過運(yùn)行時應(yīng)用自我保護(hù)(RASP)阻止受攻擊者影響代碼真正的RASP能充當(dāng)安全網(wǎng),它會強(qiáng)制執(zhí)行應(yīng)用程序應(yīng)該執(zhí)行的操作,并在攻擊發(fā)生之前實時停止它不應(yīng)該執(zhí)行的操作。
攻擊者在利用已知或未知的軟件漏洞或利用配置錯誤、過時的安全策略、范圍不當(dāng)?shù)脑L問權(quán)限以及身份或憑據(jù)管理不足之前,就會被阻止。
因此,攻擊者沒有機(jī)會安裝惡意軟件或泄露數(shù)據(jù)。
結(jié)語
在Gartner的技術(shù)成熟度曲線中,CWPP、CSPM等品類已經(jīng)進(jìn)入了光明的爬坡期,產(chǎn)品和市場也越來越成熟,而CNAPP才剛剛起步。
隨著云原生安全的發(fā)展,各種平臺的能力也在相互融合??偠灾?,上云的服務(wù)越來越多,云原生安全發(fā)展任重而道遠(yuǎn)。
來源:科技云報道
免責(zé)聲明:此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評論性文章,所有文字和圖片版權(quán)歸作者所有,且僅代表作者個人觀點,與極客網(wǎng)無關(guān)。文章僅供讀者參考,并請自行核實相關(guān)內(nèi)容。投訴郵箱:editor@fromgeek.com。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 美國無人機(jī)禁令升級?當(dāng)?shù)乜茖W(xué)家率先“喊疼”:我們離不開大疆
- iQOO Neo10 Pro:性能特長之外,亦有全能實力
- 自動駕駛第一股的轉(zhuǎn)型迷途:圖森未來賭上了AIGC
- 明星熱劇、品牌種草、平臺資源,京東讓芬騰雙11的熱度“沸騰”了
- 一加 Ace 5 Pro明牌:游戲手機(jī)看它就夠了!
- 游戲體驗天花板,一加 Ace 5 系列售價 2299 元起
- 16個月沒工資不敢離職,這些打工人“自費(fèi)上班”
- 怎樣利用微信小店“送禮”功能賺錢?
- 鴻蒙智行問界M9,中國豪華車的龍門一躍
- 科技云報道:人工智能時代“三大件”:生成式AI、數(shù)據(jù)、云服務(wù)
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。