为了保护自己的云环境,企业可能采取了保护云身份、加强云安全态势、配置强云访问控制等措施。但是,还需要做一件事:云工作负载保护平台,即CWPP。云工作负载保护平台保护在企业云上运行的工作负载,这些工作负载不同于构成云环境基础的基础设施、用户身份和配置。本文探讨了为什么CWPP是任何云安全策略中的关键要素,解释了CWPP的工作原理,确定了可以使用CWPP保护的工作负载示例,并讨论了自动化在CWPP上下文中的重要性。1.什么是云工作负载保护?云工作负载保护是保护部署在云中的工作负载的做法。换句话说,云工作负载保护减轻了存在于云环境工作负载级别而非基础设施或配置级别的风险。所涉及的工作负载可以是软件、数据或由企业托管在云中的它们的组合。例如,云工作负载保护可以应用于在基于云的VM实例中运行的操作系统和应用程序,或者它可以保护对象存储桶内的数据。2.什么是CWPP?提供云工作负载保护的工具通常称为云工作负载保护平台或CWPP。保护云工作负载很重要,因为大多数其他类型的云安全实践都没有解决工作负载风险。云安全态势管理(CSPM)提醒业务经理注意云基础架构配置中可能引起安全问题的因素,例如提供对敏感数据的公共访问权限的IAM策略。但CSPM不涵盖工作负载中的配置风险,例如数据在应用程序中移动时缺乏加密。同样,企业可以跟踪云指标和日志以识别潜在的安全威胁。但这些数据主要来自云IaaS提供商,而不是单个应用程序,因此它几乎无法揭示企业在云中部署的应用程序或数据所特有的安全风险。CWPP解决方案通过确保企业能够保护实际在其云上运行的代码和数据而不仅仅是底层云环境来填补这些空白。值得注意的是,云工作负载保护平台可帮助企业保护跨多个云的工作负载。因为CWPP关注工作负载而不是托管它的云,所以企业可以使用CloudWorkloadProtection来识别任何类型的基于云的工作负载中的安全风险,即使它跨云移动也是如此。3.工作中的CWPP示例为了进一步将云工作负载保护具体化,请考虑它在以下领域的应用方式。(1)容器在使用容器部署云工作负载时,您必须应对特殊的安全挑战。例如,您需要确保容器不能以特权模式运行。还必须对容器镜像进行恶意软件扫描。容器的云工作负载保护确保企业拥有保护容器化工作负载所需的特定流程,独立于企业应用于云环境的其他安全流程。(2)Kubernetes安全性Kubernetes也提出了各种只能在工作负载级别解决的特殊安全挑战。例如,企业必须确保正确配置KubernetesRBAC策略和安全上下文。您还应该使用Kubernetes审计日志来监控Kubernetes环境中的潜在安全风险。(3)虚拟机安全即使企业的云虚拟机服务配置得当,安全问题也可能潜伏在虚拟机中。企业使用的图像可能包含恶意软件或仅包含导致安全状况较弱的配置(例如缺少内核强化框架)。云工作负载保护提醒管理人员注意这些风险。(4)漏洞扫描漏洞可以出现在云环境的任何地方——应用内、操作系统内、容器镜像内等等。云工作负载保护允许组织扫描工作负载的所有组件和层以查找漏洞。将其视为在工作负载级别发现和管理漏洞的一站式商店,无论正在运行什么工作负载,或者托管它们的云是什么。(5)Serverless安全Serverless功能将应用程序从底层服务器环境中抽象出来,从而减少潜在的攻击面。但这些功能本身可能仍然存在漏洞。它们还可以以增加风险的方式进行配置。云工作负载保护会自动发现无服务器功能中的此类问题。(6)应用安全基于云的应用有多种形式,但它们都可能包含安全风险——例如恶意软件、易受攻击的软件组件以及缺乏加密等安全控制。通过扫描应用程序是否存在此类风险,CloudWorkloadProtection有助于确保跨云环境的应用程序安全。4.选择云工作负载保护平台在将云工作负载保护集成到您的云安全策略中时,您应该努力实施以下解决方案:完全自动化,因为企业无法手动管理工作负载级别的安全风险。并使企业能够部署以保护任何云上的任何工作负载。该解决方案应该允许任何人——不仅仅是网络安全专家,而是企业的任何成员——来定义工作负载必须满足的安全规则。并自动扫描云工作负载以查找与这些规则的偏差。结果是完全安全和自动化的云工作负载保护,无论云环境如何配置或运行什么。
