随着企业将工作负载转移到云上,保护云环境已成为当务之急。近年来,CWPP(云工作负载安全防护平台)成为云安全领域的关注热点。
Gartner报告指出,美国2021年CWPP市场规模达到16.99亿美元,而目前中国的市场规模要远低于这个数字。
IDC报告显示,2021年,中国云工作负载安全市场实现规模和增速双爆发,市场规模达到2.8亿美元(18.74亿元),相较2020年同比增长57.9%。
这表明中国CWPP市场还有巨大的发展潜力。
什么是CWPP?
要理解云工作负载保护平台是什么,首先需要了解什么是工作负载。
一般来说,工作负载指的是功能或能力的原子单位,以及运行它所需的任何东西——即数据、网络连接等。
实际上,工作负载可以是任何东西,可以是VM(如在传统的IaaS或私有云中),也可以是容器化的应用程序,即在容器引擎(如Docker)中运行的应用程序及其支持的中间件。
随着云的发展,如今的工作负载已经不是单纯的服务器,还包括虚拟机、容器、无服务(serverless)等,部署的模式也有公有云、私有云、混合云、甚至多云等,因此之前的那一套安全产品已经无法满足需求了,于是开始诞生了CWPP。
CWPP是以工作负载为主体,以一致的方式保护混合云、多云架构下工作负载的安全产品。简单来说,CWPP就是云上工作负载的全家桶。
和传统部署在网络边界上的安全产品不一样,CWPP部署在操作系统层,因此可以横跨物理机、公有云、私有云、混合云等多种数据中心环境,部署方式更加灵活、防护层面更加丰富。
它提供了一种集成的方式,通过使用单个管理控制台和单一方式表达安全策略,来保护这些工作负载,而不用考虑工作负载运行的位置。
云工作负载保护平台的优点
CWPP作为云上工作负载的安全“全家桶”,具有很多优势:
- 降低复杂度
传统安全工具在物理服务器或托管端点上运行,这些工具在设计时并未考虑容器、虚拟化、无服务器功能或云开发。
现代工作负载保护必须跨越公有云中的虚拟机、容器、无服务器工作负载和其他计算部分。
由于CWPP整合了来自所有工作负载的数据,因此安全人员可以更轻松地分析来自整个环境的安全数据,这也意味着安全团队可以更高效地运营。
- 跨云环境的一致性
从使用角度来看,微服务架构会产生大量较小的工作负载;DevOps导致每个工作负载的生命周期缩短;多云和混合云导致环境变得更为复杂,这些变化都降低了工作负载的可见度。
但无论有多少工作负载或它们位于何处,CWPP都提供了对工作负载安全性的一致可见性,即使他们在多云环境中处理多个位置的大量工作负载也是如此。
- 安全的可移植性
CWPP可以在不影响安全性的情况下在环境之间移动工作负载。
例如,今天运行在本地hypervisor中的工作负载,明天会转移到IaaS云中;或者今天在私有云IaaS上运行的容器,明天将转移到公有云容器实例中。
使用CWPP,它仍然是在迁移前后持续保护的相同工作负载。
- 确定风险的优先级,减少警报疲劳
强大的CWPP提供了漏洞与云其他部分的关系背景信息。这种上下文可以更好地确定风险的优先级。
通过上下文进入身份、数据和平台配置,如果CVSS分数为6.5的工作负载暴露在 网络上,并且其身份严重超出许可,可以访问客户数据,则该工作负载很快就会成为关键风险。
这种严重程度的等级划分有助于安全团队及时评估风险。
独立的CWPP就足够了吗?
Gartner在《2021 年云工作负载保护平台市场指南(CWPP)》中指出:工作负载保护必须涵盖公共云和私有云中的虚拟机、容器和无服务器工作负载。
安全和风险管理领导者应该了解对跨越开发和运行时的保护需求,包括云安全态势管理。
同样,Forrester的一份报告指出:云安全不应该是不同工具的大杂烩,厂商应提供融合了云工作负载保护(CWPP)、运行时和运行时前容器安全性以及云安全态势管理(CSPM)的解决方案,而不是不同的工具。
两家咨询机构都指出,CWPP作为独立解决方案是不够的,推荐将CSPM、CWPP、DLP等产品组合到集成方案中。
这是因为CWPP是在数据面对云工作负载进行保护,CSPM是在控制面对云工作负载进行保护,只看数据平面还不够,还需要注意控制平面。
随着CWPP带来的安全扫描将安全在开发阶段中进行了左移(包括扫描开源漏洞、库、可执行漏洞、依赖性、硬编码机密、以及恶意软件),扫描云配置发现其他风险同样重要。
因此,数据面和控制面的云安全产品通过相互融合组成统一的解决方案,能够更好地保护多云和多租户。
CNAPP(云原生应用保护平台)正是这样一种产物。
作为Gartner新定义的一个品类,是在CSPM和CWPP的融合中引入了应用程序和数据上下文,以保护主机和工作负载,包括VM、容器和无服务器(serverless)功能。
当然对于CNAPP还有一种理解方式:CWPP进行左移与CSPM融合,就变成了CNAPP。因此CNAPP是对开发、发布、部署和运营等整个生命周期进行保护。
严格实施云安全最佳实践
CSPM、CWPP、CNAPP等技术固然很重要,但是技术不能取代严格实施最佳实践来减少云中的攻击面,因此行业专家建议从以下几个方面着手去加固安全防线:
- 部署适当的网络分段和安全性
在每个环境中建立安全区域,并仅允许流量通过防火墙,用于所需和范围。
至少为每个应用程序和环境配备单独的VPC,但也应考虑为每个应用程序环境(开发、暂存和生产)分配自己的云帐户。
- 利用最小特权原则
有目的地分配访问权限和资源。例如,仅部署代码的开发人员不应具有整个云帐户的管理权限;开发人员也不应该持续访问生产环境,仅提供他们需要的东西。
- 尽量减少计算机资源的安装基础
安装必需的,删除不需要的。例如,对于容器,仅安装应用程序需要运行的包和库,因为攻击者可以使用任何多余的东西来攻击。
- 及时打补丁以修复漏洞
修补是必不可少的,但它并不能解决每个漏洞。它取决于在野外看到的脆弱性;如果您的软件版本具有零日威胁,则它对您没有任何作用。
而且,一旦补丁发布,在攻击者有机会在系统中发现和利用该漏洞之前,就是与时间赛跑。
- 通过运行时应用自我保护(RASP)阻止受攻击者影响代码
真正的RASP能充当安全网,它会强制执行应用程序应该执行的操作,并在攻击发生之前实时停止它不应该执行的操作。
攻击者在利用已知或未知的软件漏洞或利用配置错误、过时的安全策略、范围不当的访问权限以及身份或凭据管理不足之前,就会被阻止。
因此,攻击者没有机会安装恶意软件或泄露数据。
结语
在Gartner的技术成熟度曲线中,CWPP、CSPM等品类已经进入了光明的爬坡期,产品和市场也越来越成熟,而CNAPP才刚刚起步。
随着云原生安全的发展,各种平台的能力也在相互融合。总而言之,上云的服务越来越多,云原生安全发展任重而道远。