導(dǎo)讀不久前，當(dāng)安全管理員部署應(yīng)用程序時(shí)，他們可以相信有些東西會保持靜態(tài)例如，部署到本地物理主機(jī)上的應(yīng)用程序?qū)⑹窍嗤臓顟B(tài)—相同的主機(jī)、相同的網(wǎng)絡(luò)、相同的配置、相....

不久前，當(dāng)安全管理員部署應(yīng)用程序時(shí)，他們可以相信有些東西會保持靜態(tài)例如，部署到本地物理主機(jī)上的應(yīng)用程序?qū)⑹窍嗤臓顟B(tài)—相同的主機(jī)、相同的網(wǎng)絡(luò)、相同的配置、相同的技術(shù)基礎(chǔ)—它在兩周后被保留，我來為大家講解一下關(guān)于云工作負(fù)載安全是什么意思?跟著小編一起來看一看吧!

云工作負(fù)載安全是什么意思

不久前，當(dāng)安全管理員部署應(yīng)用程序時(shí)，他們可以相信有些東西會保持靜態(tài)。例如，部署到本地物理主機(jī)上的應(yīng)用程序?qū)⑹窍嗤臓顟B(tài)—相同的主機(jī)、相同的網(wǎng)絡(luò)、相同的配置、相同的技術(shù)基礎(chǔ)—它在兩周后被保留。

然而，在現(xiàn)代生態(tài)系統(tǒng)中，這是例外而不是規(guī)則。一個(gè)工作負(fù)載今天可能被部署到一個(gè)VM或私有云，但是明天卻發(fā)現(xiàn)它在公共云環(huán)境中的Docker容器上運(yùn)行。

從安全角度來看，這是一個(gè)重大挑戰(zhàn)。例如，如果假設(shè)在部署工作負(fù)載的環(huán)境中通過網(wǎng)絡(luò)入侵檢測系統(tǒng)進(jìn)行持續(xù)監(jiān)視，那么當(dāng)它被轉(zhuǎn)移到?jīng)]有部署工作負(fù)載的不同環(huán)境中運(yùn)行時(shí)會發(fā)生什么情況？

多云的興起進(jìn)一步加劇了這種局面。現(xiàn)在很少有一個(gè)組織只使用一個(gè)可信的IaaS或PaaS提供商。事實(shí)上，只支持一個(gè)應(yīng)用程序可能涉及到兩個(gè)或三個(gè)（或更多）不同的提供者和環(huán)境。這增加了復(fù)雜性，并使得很難確保在正確的位置為正確的工作負(fù)載部署正確的控件。

一種新的安全系統(tǒng)正在出現(xiàn)，它有望提供幫助。通過跨多個(gè)云提供商統(tǒng)一管理、將控件與工作負(fù)載打包并確保控件設(shè)計(jì)為云原生，云工作負(fù)載保護(hù)平臺（CWPPs）是一種安全實(shí)現(xiàn)策略，有助于解決這些挑戰(zhàn)。

什么是云工作負(fù)載保護(hù)平臺？

CWPP一詞由Gartner提出，是指為工作負(fù)載的云本地保護(hù)而設(shè)計(jì)的安全策略。要理解這一點(diǎn)，首先從什么是工作負(fù)載開始是很重要的。一般來說，工作負(fù)載指的是功能或能力的原子單位，以及運(yùn)行它所需的任何東西——即數(shù)據(jù)、網(wǎng)絡(luò)連接等。它是云功能的一個(gè)單元。

實(shí)際上，工作負(fù)載可以是任何東西。一個(gè)可能是構(gòu)成面向客戶應(yīng)用程序一部分的API，另一個(gè)可能是處理后端處理的計(jì)算組件，而另一個(gè)可能是內(nèi)部業(yè)務(wù)應(yīng)用程序的前端。工作負(fù)載可以是VM（例如，在傳統(tǒng)的IaaS或私有云中），也可以是容器化的應(yīng)用程序，即在容器引擎（例如Docker）中運(yùn)行的應(yīng)用程序及其支持的中間件。

CWPP背后的想法是提供一種機(jī)制，以一致的方式保護(hù)這些工作負(fù)載。與多種云環(huán)境（包括組織自己的私有云或混合云）配合使用的方式；并且無論周圍發(fā)生了什么，都具有相同的安全屬性和降低風(fēng)險(xiǎn)的值。

CWPP的三大好處

CWPP的含義很明顯，分為三個(gè)主要類別。

1.降低復(fù)雜度

由于CWPP將安全性針對云原生條件，因此它們在云中提供的保護(hù)可能很難使用舊版工具來完成，而且成本更高。許多遺留工具都是圍繞受管端點(diǎn)或物理服務(wù)器設(shè)計(jì)的。它們的設(shè)計(jì)不一定會考慮虛擬化或容器-而且很少用于無服務(wù)器PaaS或充當(dāng)服務(wù)。作為基準(zhǔn)，即使在組織無法控制較低技術(shù)堆棧級別的容器或VM中運(yùn)行時(shí)，CWPP仍可以提供預(yù)期的安全性值。

2.一致性

接下來是一致性。鑒于大多數(shù)組織如何使用云，這一點(diǎn)很重要。例如，從使用角度來看，微服務(wù)架構(gòu)導(dǎo)致了更多，更小的工作量；DevOps導(dǎo)致每個(gè)單獨(dú)工作負(fù)載的生命周期縮短，因?yàn)楦鶕?jù)發(fā)布節(jié)奏將工作負(fù)載拆除并替換為較新的工作負(fù)載；多云和混合云導(dǎo)致串聯(lián)使用不同的環(huán)境。除非采取行動(dòng)防止可見度降低，否則從長遠(yuǎn)來看，這些降低了可見度。無論有多少工作負(fù)載或它們位于何處，CWPP都能提供更一致的視圖。

3.便攜性

第三個(gè)含義是可移植性，這意味著無論工作負(fù)載在哪里或是什么，產(chǎn)品都能增強(qiáng)安全性，例如，今天運(yùn)行在本地hypervisor中的工作負(fù)載明天會轉(zhuǎn)移到IaaS提供者，或者今天在專用IaaS中的引擎上運(yùn)行的容器將在明天轉(zhuǎn)移到AWS Fargate或Azure容器實(shí)例中。

CWPP功能和提供者

重要的是要注意，并非所有面向CWPP的產(chǎn)品都能提供每一項(xiàng)好處。恰恰相反：某些系統(tǒng)特定于服務(wù)提供商，因此限制了可移植性。有些特定于用法-例如，針對虛擬工作負(fù)載而非容器-從而限制了一致性；其他則只關(guān)注安全控制的一部分，例如漏洞掃描，加密或配置管理。

鑒于范圍廣泛，因此有許多CWPP產(chǎn)品會根據(jù)其提供的安全性主張及其提供方式而有所不同。云供應(yīng)商提供了一些工具。例如，微軟的Azure安全中心旨在在多個(gè)操作系統(tǒng)之間提供一致的安全管理-包括網(wǎng)絡(luò)級可見性，配置評估和威脅防護(hù)。還可以使用Amazon Inspector，它可以幫助解決漏洞和配置問題。

其他更廣泛的產(chǎn)品來自成熟且長期存在的安全廠商，例如Palo Alto Networks的Prisma Cloud，該軟件專注于分段工作負(fù)載并為容器和虛擬化工作負(fù)載提供額外的安全功能。一些CWPP更具體，只關(guān)注問題的較小子集，包括Capsule8的攻擊者檢測功能或Anchore的基于容器的漏洞掃描。

當(dāng)然，這些只是該領(lǐng)域大量供應(yīng)商和參與者的一個(gè)子集。但是，從安全從業(yè)者的角度來看，了解市場的根本變化以及這些變化在我們前進(jìn)的過程中所暗示的含義是有益的且有價(jià)值的。

本文源自TechWeb.com.cn