企業(yè)為了保護(hù)自己的云環(huán)境，可能已經(jīng)采取了保護(hù)云身份，強(qiáng)化云安全態(tài)勢(shì)，配置強(qiáng)大的云訪問(wèn)控制等措施，然而，除此之外還需要做一件事：云工作負(fù)載保護(hù)平臺(tái)，即CWPP。

云工作負(fù)載保護(hù)平臺(tái)會(huì)保護(hù)在企業(yè)的云上運(yùn)行的工作負(fù)載，這些工作負(fù)載與構(gòu)成云環(huán)境基礎(chǔ)的基礎(chǔ)設(shè)施、用戶身份和配置不同。

本文將研究為什么 CWPP 是任何云安全策略中的關(guān)鍵要素，解釋 CWPP 的工作原理，確定可以使用 CWPP 保護(hù)的工作負(fù)載示例，并討論 CWPP 上下文中自動(dòng)化的重要性。

1. 什么是云工作負(fù)載保護(hù)？

云工作負(fù)載保護(hù)是保護(hù)部署在云中的工作負(fù)載的做法。換句話說(shuō)，云工作負(fù)載保護(hù)可以減輕存在于云環(huán)境工作負(fù)載級(jí)別的風(fēng)險(xiǎn)，而不是基礎(chǔ)架構(gòu)或配置級(jí)別。

所涉及的工作負(fù)載可能是企業(yè)在云中托管的軟件、數(shù)據(jù)或它們的組合。例如，云工作負(fù)載保護(hù)可以應(yīng)用于在基于云的 VM 實(shí)例中運(yùn)行的操作系統(tǒng)和應(yīng)用程序，或者它可以保護(hù)對(duì)象存儲(chǔ)桶內(nèi)的數(shù)據(jù)。

2. 什么是 CWPP？

提供云工作負(fù)載保護(hù)的工具通常稱(chēng)為云工作負(fù)載保護(hù)平臺(tái)或 CWPP。保護(hù)云工作負(fù)載很重要，因?yàn)榇蠖鄶?shù)其他類(lèi)型的云安全實(shí)踐并未解決工作負(fù)載風(fēng)險(xiǎn)。

云安全狀況管理 (CSPM) 會(huì)提醒企業(yè)管理者云基礎(chǔ)設(shè)施配置中可能產(chǎn)生安全問(wèn)題的因素，例如提供對(duì)敏感數(shù)據(jù)的公共訪問(wèn)權(quán)限的 IAM 策略。但 CSPM 不涵蓋工作負(fù)載中的配置風(fēng)險(xiǎn)，例如數(shù)據(jù)在應(yīng)用程序中移動(dòng)時(shí)缺乏加密。

同樣，企業(yè)可以跟蹤云指標(biāo)和日志以識(shí)別潛在的安全威脅。但這些數(shù)據(jù)主要來(lái)自云 IaaS 提供商，而不是單個(gè)應(yīng)用程序，因此它幾乎無(wú)法揭示特定于企業(yè)在云中部署的應(yīng)用程序或數(shù)據(jù)的安全風(fēng)險(xiǎn)。

CWPP 解決方案通過(guò)確保企業(yè)可以保護(hù)實(shí)際運(yùn)行在其云上的代碼和數(shù)據(jù)來(lái)填補(bǔ)這些空白，而不僅僅是底層云環(huán)境。

值得注意的是，云工作負(fù)載保護(hù)平臺(tái)可幫助企業(yè)保護(hù)跨多個(gè)云的工作負(fù)載。由于 CWPP 專(zhuān)注于工作負(fù)載而不是托管它的云，因此企業(yè)可以使用云工作負(fù)載保護(hù)來(lái)識(shí)別任何類(lèi)型的基于云的工作負(fù)載中的安全風(fēng)險(xiǎn)，即使它跨云移動(dòng)也是如此。

3. 工作中的 CWPP示例

要進(jìn)一步對(duì)云工作負(fù)載保護(hù)置于環(huán)境中，需要考慮它在以下領(lǐng)域中的應(yīng)用方式。

(1) 容器

當(dāng)使用容器部署云工作負(fù)載時(shí)，您必須解決特殊的安全挑戰(zhàn)。例如，需要確保容器不能在特權(quán)模式下運(yùn)行。還必須掃描容器映像以查找惡意軟件。

容器的云工作負(fù)載保護(hù)可確保企業(yè)擁有保護(hù)容器化工作負(fù)載所需的特定流程，獨(dú)立于企業(yè)應(yīng)用于云環(huán)境的其他安全流程。

(2) Kubernetes 安全

Kubernetes 也提出了只能在工作負(fù)載級(jí)別解決的各種特殊安全挑戰(zhàn)。例如，企業(yè)必須確保正確配置 Kubernetes RBAC 策略和安全上下文。還應(yīng)該使用 Kubernetes 審計(jì)日志來(lái)監(jiān)控 Kubernetes 環(huán)境中出現(xiàn)的潛在安全風(fēng)險(xiǎn)。

(3) 虛擬機(jī)安全

即使企業(yè)的云虛擬機(jī)服務(wù)配置正確，安全問(wèn)題也可能潛伏在虛擬機(jī)中。企業(yè)使用的映像可能包含惡意軟件或僅包含導(dǎo)致安全狀況較弱的配置(例如缺少內(nèi)核強(qiáng)化框架)。云工作負(fù)載保護(hù)會(huì)提醒管理者注意這些風(fēng)險(xiǎn)。

(4) 漏洞掃描

漏洞可能出現(xiàn)在云環(huán)境中的任何地方——應(yīng)用程序內(nèi)、操作系統(tǒng)內(nèi)、容器映像內(nèi)等等。

云工作負(fù)載保護(hù)允許企業(yè)掃描工作負(fù)載所有組件和層的漏洞。將其視為在工作負(fù)載級(jí)別進(jìn)行漏洞發(fā)現(xiàn)和管理的一站式采購(gòu)，而不管運(yùn)行的工作負(fù)載是什么，或者托管它們的云是什么。

(5) 無(wú)服務(wù)器安全

無(wú)服務(wù)器功能從底層服務(wù)器環(huán)境中抽象出應(yīng)用程序，從而減少了潛在的攻擊面。但這些功能本身仍可能包含漏洞。它們也可以以增加風(fēng)險(xiǎn)的方式進(jìn)行配置。云工作負(fù)載保護(hù)會(huì)自動(dòng)發(fā)現(xiàn)無(wú)服務(wù)器功能中的此類(lèi)問(wèn)題。

(6) 應(yīng)用程序安全

基于云的應(yīng)用程序有多種形式，但它們都可能包含安全風(fēng)險(xiǎn)——例如惡意軟件、易受攻擊的軟件組件以及缺乏加密等安全控制。通過(guò)掃描應(yīng)用程序中的此類(lèi)風(fēng)險(xiǎn)，云工作負(fù)載保護(hù)有助于確保整個(gè)云環(huán)境中的應(yīng)用程序安全。

4. 選擇云工作負(fù)載保護(hù)平臺(tái)

在將云工作負(fù)載保護(hù)集成到云安全策略中時(shí)，應(yīng)努力實(shí)施以下解決方案：

• 完全自動(dòng)化，因?yàn)槠髽I(yè)無(wú)法手動(dòng)管理工作負(fù)載級(jí)別的安全風(fēng)險(xiǎn)。并且使企業(yè)可以部署以保護(hù)任何云上的任何工作負(fù)載。
• 解決方案應(yīng)滿足允許任何人——不僅是網(wǎng)絡(luò)安全專(zhuān)家，還包括企業(yè)的任何成員——定義工作負(fù)載必須滿足的安全規(guī)則。并自動(dòng)掃描云工作負(fù)載，以發(fā)現(xiàn)與這些規(guī)則的偏差。

從而達(dá)到無(wú)論云環(huán)境如何配置或在其上運(yùn)行什么，都能實(shí)現(xiàn)完全安全和自動(dòng)化的云工作負(fù)載保護(hù)。