云工作负载保护平台安全优势及其功能
不久前,当安全管理员部署应用程序时,他们可以相信有些东西会保持静态。例如,部署到本地物理主机上的应用程序将是相同的状态—相同的主机、相同的网络、相同的配置、相同的技术基础—它在两周后被保留。
然而,在现代生态系统中,这是例外而不是规则。一个工作负载今天可能被部署到一个VM或私有云,但是明天却发现它在公共云环境中的Docker容器上运行。
从安全角度来看,这是一个重大挑战。例如,如果假设在部署工作负载的环境中通过网络入侵检测系统进行持续监视,那么当它被转移到没有部署工作负载的不同环境中运行时会发生什么情况?
多云的兴起进一步加剧了这种局面。现在很少有一个组织只使用一个可信的IaaS或PaaS提供商。事实上,只支持一个应用程序可能涉及到两个或三个(或更多)不同的提供者和环境。这增加了复杂性,并使得很难确保在正确的位置为正确的工作负载部署正确的控件。
一种新的安全系统正在出现,它有望提供帮助。通过跨多个云提供商统一管理、将控件与工作负载打包并确保控件设计为云原生,云工作负载保护平台(CWPPs)是一种安全实现策略,有助于解决这些挑战。
什么是云工作负载保护平台?
CWPP一词由Gartner提出,是指为工作负载的云本地保护而设计的安全策略。要理解这一点,首先从什么是工作负载开始是很重要的。一般来说,工作负载指的是功能或能力的原子单位,以及运行它所需的任何东西——即数据、网络连接等。它是云功能的一个单元。
实际上,工作负载可以是任何东西。一个可能是构成面向客户应用程序一部分的API,另一个可能是处理后端处理的计算组件,而另一个可能是内部业务应用程序的前端。工作负载可以是VM(例如,在传统的IaaS或私有云中),也可以是容器化的应用程序,即在容器引擎(例如Docker)中运行的应用程序及其支持的中间件。
CWPP背后的想法是提供一种机制,以一致的方式保护这些工作负载。与多种云环境(包括组织自己的私有云或混合云)配合使用的方式;并且无论周围发生了什么,都具有相同的安全属性和降低风险的值。
CWPP的三大好处
CWPP的含义很明显,分为三个主要类别。
1.降低复杂度
由于CWPP将安全性针对云原生条件,因此它们在云中提供的保护可能很难使用旧版工具来完成,而且成本更高。许多遗留工具都是围绕受管端点或物理服务器设计的。它们的设计不一定会考虑虚拟化或容器-而且很少用于无服务器PaaS或充当服务。作为基准,即使在组织无法控制较低技术堆栈级别的容器或VM中运行时,CWPP仍可以提供预期的安全性值。
2.一致性
接下来是一致性。鉴于大多数组织如何使用云,这一点很重要。例如,从使用角度来看,微服务架构导致了更多,更小的工作量;DevOps导致每个单独工作负载的生命周期缩短,因为根据发布节奏将工作负载拆除并替换为较新的工作负载;多云和混合云导致串联使用不同的环境。除非采取行动防止可见度降低,否则从长远来看,这些降低了可见度。无论有多少工作负载或它们位于何处,CWPP都能提供更一致的视图。
3.便携性
第三个含义是可移植性,这意味着无论工作负载在哪里或是什么,产品都能增强安全性,例如,今天运行在本地hypervisor中的工作负载明天会转移到IaaS提供者,或者今天在专用IaaS中的引擎上运行的容器将在明天转移到AWS Fargate或Azure容器实例中。
CWPP功能和提供者
重要的是要注意,并非所有面向CWPP的产品都能提供每一项好处。恰恰相反:某些系统特定于服务提供商,因此限制了可移植性。有些特定于用法-例如,针对虚拟工作负载而非容器-从而限制了一致性;其他则只关注安全控制的一部分,例如漏洞扫描,加密或配置管理。
鉴于范围广泛,因此有许多CWPP产品会根据其提供的安全性主张及其提供方式而有所不同。云供应商提供了一些工具。例如,微软的Azure安全中心旨在在多个操作系统之间提供一致的安全管理-包括网络级可见性,配置评估和威胁防护。还可以使用Amazon Inspector,它可以帮助解决漏洞和配置问题。
其他更广泛的产品来自成熟且长期存在的安全厂商,例如Palo Alto Networks的Prisma Cloud,该软件专注于分段工作负载并为容器和虚拟化工作负载提供额外的安全功能。一些CWPP更具体,只关注问题的较小子集,包括Capsule8的攻击者检测功能或Anchore的基于容器的漏洞扫描。
当然,这些只是该领域大量供应商和参与者的一个子集。但是,从安全从业者的角度来看,了解市场的根本变化以及这些变化在我们前进的过程中所暗示的含义是有益的且有价值的。