越来越多的人想要了解CWPP(云工作负载安全防护平台)这一被Gartner连年力推的云安全工具——CWPP到底是什么?为什么说CWPP代表着云安全技术发展的新趋势?微隔离与流量可视化为什么被视作CWPP的基础?

在本期“5A级访谈”中,山石网科的资深云安全技术专家任亮,将带你纵览CWPP的发展历程,了解微隔离与流量可视化对CWPP的重要意义,让你在最短的时间内搞懂CWPP。

Question 1

能不能通俗易懂的讲讲CWPP到底是什么?
A:CWPP,全称是Cloud Workload Protection Platform,顾名思义,云工作负载安全防护平台,这个产品品类是Gartner提出的。事实上,云工作负载主要就是指虚机和容器,因此CWPP就是虚机和容器的安全防护产品和解决方案,由于同时涉及到主机安全和网络安全,覆盖面很大,Gartner 2020年的CWPP市场指南中就已经把CWPP的技术方向细分到了十几个。

Question 2

因为云计算的哪些特点,CWPP涌现出来,并显得那么重要?
A:
云计算的特点就是跨物理地域、分布式、动态变化,因此,传统安全防护手段无法满足安全防护需要,CWPP也就应运而生。Gartner对CWPP定义就是面向多云/混合云环境,大规模分布式部署,安全防护能力对云工作负载(虚机和容器)始终跟随的产品形态。

Question 3

为什么在CWPP中,微隔离与流量可视化是基础,非常重要?
A:微隔离和可视化解决的是零信任理念最基本的问题,流量是什么,从哪里来,到哪里去。可视化是微隔离的前提,能够为微隔离实施保护的策略制定提供依据。由于客户在可视化过程中确实能够看到各种非法访问和威胁流量,就更能坚定客户实施微隔离项目的决心。安全圈里有一句格言,大概意思是“不是没有安全问题,只是你看不见”,足见可视化过程的重要。微隔离也不是简单实施保护配置访问控制策略就完事儿了,对于流量而言,目的端口是80的不一定是http,http里也可能会有sql注入,xss***。因此想要零信任,就要继续上手段,做细致的应用层安全防护。

Question 4

不论是微隔离还是CWPP,都有网络侧和主机侧不同的做法。网络侧的优势在哪里呢?
A:仅谈微隔离的话,网络侧和主机侧各自都有明显的优劣势。网络侧的优点是安全功能丰富,4—7层的安全防护都支持,缺点是需要针对不同的云平台设计不同的引流方法,技术门槛太高,另外就是性能问题比较严峻,当云平台自身具有引流能力时,才能规避这些问题;主机侧的优点是简单,代理软件不挑云平台,是个操作系统就能装,缺点是通常主机代理软件都是比较轻量级,不支持***防御/WAF等应用层防护能力。客户实际选择时只能说看场景,选择适合自己的方案。例如,有的客户平台维护和虚机业务维护是完全分离的,平台想要上微隔离,不容易说服虚机的业务维护者同意在虚机里安装代理软件,选择基于网络的微隔离方案就很合适;而有的客户平台维护和虚机业务维护是统一的,那选择基于主机代理的微隔离方案就没什么外部阻力。