企业为了保护自己的云环境,可能已经采取了保护云身份,强化云安全态势,配置强大的云访问控制等措施,然而,除此之外还需要做一件事:云工作负载保护平台,即CWPP。
云工作负载保护平台会保护在企业的云上运行的工作负载,这些工作负载与构成云环境基础的基础设施、用户身份和配置不同。
本文将研究为什么 CWPP 是任何云安全策略中的关键要素,解释 CWPP 的工作原理,确定可以使用 CWPP 保护的工作负载示例,并讨论 CWPP 上下文中自动化的重要性。
1. 什么是云工作负载保护?
云工作负载保护是保护部署在云中的工作负载的做法。换句话说,云工作负载保护可以减轻存在于云环境工作负载级别的风险,而不是基础架构或配置级别。
所涉及的工作负载可能是企业在云中托管的软件、数据或它们的组合。例如,云工作负载保护可以应用于在基于云的 VM 实例中运行的操作系统和应用程序,或者它可以保护对象存储桶内的数据。
2. 什么是 CWPP?
提供云工作负载保护的工具通常称为云工作负载保护平台或 CWPP。保护云工作负载很重要,因为大多数其他类型的云安全实践并未解决工作负载风险。
云安全状况管理 (CSPM) 会提醒企业管理者云基础设施配置中可能产生安全问题的因素,例如提供对敏感数据的公共访问权限的 IAM 策略。但 CSPM 不涵盖工作负载中的配置风险,例如数据在应用程序中移动时缺乏加密。
同样,企业可以跟踪云指标和日志以识别潜在的安全威胁。但这些数据主要来自云 IaaS 提供商,而不是单个应用程序,因此它几乎无法揭示特定于企业在云中部署的应用程序或数据的安全风险。
CWPP 解决方案通过确保企业可以保护实际运行在其云上的代码和数据来填补这些空白,而不仅仅是底层云环境。
值得注意的是,云工作负载保护平台可帮助企业保护跨多个云的工作负载。由于 CWPP 专注于工作负载而不是托管它的云,因此企业可以使用云工作负载保护来识别任何类型的基于云的工作负载中的安全风险,即使它跨云移动也是如此。
3. 工作中的 CWPP示例
要进一步对云工作负载保护置于环境中,需要考虑它在以下领域中的应用方式。
(1) 容器
当使用容器部署云工作负载时,您必须解决特殊的安全挑战。例如,需要确保容器不能在特权模式下运行。还必须扫描容器映像以查找恶意软件。
容器的云工作负载保护可确保企业拥有保护容器化工作负载所需的特定流程,独立于企业应用于云环境的其他安全流程。
(2) Kubernetes 安全
Kubernetes 也提出了只能在工作负载级别解决的各种特殊安全挑战。例如,企业必须确保正确配置 Kubernetes RBAC 策略和安全上下文。还应该使用 Kubernetes 审计日志来监控 Kubernetes 环境中出现的潜在安全风险。
(3) 虚拟机安全
即使企业的云虚拟机服务配置正确,安全问题也可能潜伏在虚拟机中。企业使用的映像可能包含恶意软件或仅包含导致安全状况较弱的配置(例如缺少内核强化框架)。云工作负载保护会提醒管理者注意这些风险。
(4) 漏洞扫描
漏洞可能出现在云环境中的任何地方——应用程序内、操作系统内、容器映像内等等。
云工作负载保护允许企业扫描工作负载所有组件和层的漏洞。将其视为在工作负载级别进行漏洞发现和管理的一站式采购,而不管运行的工作负载是什么,或者托管它们的云是什么。
(5) 无服务器安全
无服务器功能从底层服务器环境中抽象出应用程序,从而减少了潜在的攻击面。但这些功能本身仍可能包含漏洞。它们也可以以增加风险的方式进行配置。云工作负载保护会自动发现无服务器功能中的此类问题。
(6) 应用程序安全
基于云的应用程序有多种形式,但它们都可能包含安全风险——例如恶意软件、易受攻击的软件组件以及缺乏加密等安全控制。通过扫描应用程序中的此类风险,云工作负载保护有助于确保整个云环境中的应用程序安全。
4. 选择云工作负载保护平台
在将云工作负载保护集成到云安全策略中时,应努力实施以下解决方案:
- 完全自动化,因为企业无法手动管理工作负载级别的安全风险。并且使企业可以部署以保护任何云上的任何工作负载。
- 解决方案应满足允许任何人——不仅是网络安全专家,还包括企业的任何成员——定义工作负载必须满足的安全规则。并自动扫描云工作负载,以发现与这些规则的偏差。
从而达到无论云环境如何配置或在其上运行什么,都能实现完全安全和自动化的云工作负载保护。