云工作负载保护平台 (CWPP) 可缓解云和本地工作负载中的威胁。
阅读本文后,您将能够:
相关内容
订阅 TheNET,这是 Cloudflare 每月对互联网上最流行见解的总结!
复制文章链接
云工作负载保护平台 (CWPP) 是一种安全工具,可检测和消除云软件内部的威胁。CWPP 就像汽车修理工一样,能够发现汽车发动机内部的缺陷和故障,以免造成进一步损坏——只是它检查云服务的内部,而不是汽车的内部。CWPP 自动监控各种工作负载,包括物理本地服务器、虚拟机和无服务器功能。
在计算中,工作负载是使用一定数量的内存和计算能力的程序或应用程序。在云计算中,工作负载也是如此,但由云提供商远程托管。
在过去,所有工作负载都在物理计算机上运行。然而,在云计算时代,工作负载在许多不同的抽象层运行。
“抽象层”是高级功能与低级功能交互的点,二者互相分离,使得与高级功能交互的某人或某物通常不知道低级功能。例如,大多数用户不知道如何对计算机进行编程,但他们仍然可以使用计算机;这是因为所涉及的编程语言是通过使用图形用户界面和用户友好的应用程序抽象出来的。
云计算中的抽象层使得更有效地使用云服务器成为可能。例如,虚拟机抽象出底层服务器硬件。多个虚拟机可以在一台物理服务器上运行,使多个云客户可以同时使用该服务器。
但这些复杂的抽象层也增加了云计算的复杂性——尤其是在保护使用中的各种云工作负载方面。
| 类型: | 服务模式: | 抽象位置: | 主机位置: | 环境: |
|---|---|---|---|---|
| 服务器 | 自托管 | 物理硬件 | 本地 | 其自身的硬件 |
| 虚拟机 | IaaS、PaaS、SaaS | 虚拟机监控程序 | 云或本地 | 它自己的虚拟硬件 |
| 容器 | IaaS、PaaS | 操作系统内核 | 云 | 它自己的操作系统 |
| 无服务器功能 | FaaS | 取决于供应商 | 云 | 取决于供应商(Cloudflare 使用 Chrome V8) |
这些运行工作负载的不同位置在使用的资源、位置和环境方面差异很大。保护它们就像试图同时保护办公室、私人住宅和停车场一样。没有一种安全方法适用于这全部三种情况——例如,停车场需要一个大门,办公室可能需要一名保安,而家里需要一个防盗警报器。
同样,这些不同类型的云基础设施都有略微不同的安全需求。举个简单的例子,虚拟机的功能就像物理计算机一样,可以同时运行任意数量的应用程序。恶意应用程序可以与虚拟机中的合法应用程序一起运行。与之相反,容器只运行一个应用程序,因此识别该应用程序是否已被入侵比确保没有恶意应用程序正在运行更重要。
但是 CWPP 可以检测并消除所有这些类型的基础设施中的威胁,尤其是恶意软件、漏洞和未经授权的应用程序。
根据全球研究和咨询公司 Gartner 的说法,CWPP 有以下八项功能:
CWPP 能够将这些功能应用于任何类型的工作负载,包括物理服务器、虚拟机、容器和无服务器功能。
由于 CWPP 可以涵盖一系列工作负载,因此它们非常适合保护分布在多个云中的基础设施。多云部署(结合了多个公共云)和混合云部署(将公共云与私有云和内部基础设施相结合)包含多种类型的工作负载。CWPP 提供了“单一管理平台”——组织可以在一个位置轻松查看和分析这些工作负载的云安全风险。
云安全态势管理 (CSPM) 是另一种用于保护一系列云部署的自动化工具。主要区别在于 CSPM 是外部的,用于寻找云配置错误和合规违规;而 CWPP 是内部的,用于寻找在云端运行的软件中的威胁。
A CWPP is a security tool designed to identify and eliminate threats within cloud-based software. They monitor the internal workings of cloud services to detect vulnerabilities and malware, inspecting physical servers, virtual machines, and serverless functions alike.
In cloud computing, a workload is an application or program that utilizes memory and computing power but is hosted remotely by a cloud provider. These workloads can exist at different abstraction layers, such as virtual machines, containers, or serverless functions.
Different environments have unique security requirements. For instance, a virtual machine can run many applications at once, meaning it must be screened for malicious apps running alongside legitimate ones. In contrast, a container typically runs just one application, so the priority is ensuring that specific application hasn't been compromised. A CWPP provides a unified way to secure these diverse environments.
A CWPP offers several key security functions, including vulnerability management to find flaws before code goes live, microsegmentation to prevent attackers from moving through a network, and anti-malware scanning.
For organizations using multiple cloud providers or a mix of private and public infrastructure, a CWPP acts as a single pane of glass, a centralized view that allows security teams to analyze risks across all their different workloads and locations from one place.
The main difference lies in where the tools look for threats. While CSPM is an external tool that checks for misconfigurations and compliance issues in the cloud environment, a CWPP is an internal tool that focuses on detecting threats inside the software and workloads themselves.
[Image comparing CWPP vs CSPM security focus areas]Microsegmentation is the process of dividing a network into smaller, isolated sections. By using a CWPP to implement microsegmentation, an organization can ensure that if one part of the network is breached, the attacker cannot easily access the entire system.