大咖说丨山石网科任亮：不懂CWPP，何以谈云安全？

CWPP到底是什么？为什么说CWPP代表着云安全技术发展的新趋势？微隔离与流量可视化为什么被视作CWPP的基础？在本期“5A级访谈”中，山石网科的资深云安全技术专家任亮，将带你纵览CWPP的发展历程，了解微隔离与流量可视化对CWPP的重要意义，让你在最短的时间内搞懂CWPP。

 

Question 1

能不能通俗易懂的讲讲CWPP到底是什么？

A:CWPP，全称是Cloud Workload Protection Platform，顾名思义，云工作负载安全防护平台，这个产品品类是Gartner提出的。事实上，云工作负载主要就是指虚机和容器，因此CWPP就是虚机和容器的安全防护产品和解决方案，由于同时涉及到主机安全和网络安全，覆盖面很大，Gartner 2020年的CWPP市场指南中就已经把CWPP的技术方向细分到了十几个。

 

Question 2

 

因为云计算的哪些特点，CWPP涌现出来，并显得那么重要？

A:云计算的特点就是跨物理地域、分布式、动态变化，因此，传统安全防护手段无法满足安全防护需要，CWPP也就应运而生。Gartner对CWPP定义就是面向多云/混合云环境，大规模分布式部署，安全防护能力对云工作负载（虚机和容器）始终跟随的产品形态。

 

Question 3

为什么在CWPP中，微隔离与流量可视化是基础，非常重要？

A:微隔离和可视化解决的是零信任理念最基本的问题，流量是什么，从哪里来，到哪里去。可视化是微隔离的前提，能够为微隔离实施保护的策略制定提供依据。由于客户在可视化过程中确实能够看到各种非法访问和威胁流量，就更能坚定客户实施微隔离项目的决心。安全圈里有一句格言，大概意思是“不是没有安全问题，只是你看不见”，足见可视化过程的重要。微隔离也不是简单实施保护配置访问控制策略就完事儿了，对于流量而言，目的端口是80的不一定是http，http里也可能会有sql注入，xss攻击。因此想要零信任，就要继续上手段，做细致的应用层安全防护。

 

Question 4

不论是微隔离还是CWPP，都有网络侧和主机侧不同的做法。网络侧的优势在哪里呢？

A:仅谈微隔离的话，网络侧和主机侧各自都有明显的优劣势。网络侧的优点是安全功能丰富，4—7层的安全防护都支持，缺点是需要针对不同的云平台设计不同的引流方法，技术门槛太高，另外就是性能问题比较严峻，当云平台自身具有引流能力时，才能规避这些问题；主机侧的优点是简单，代理软件不挑云平台，是个操作系统就能装，缺点是通常主机代理软件都是比较轻量级，不支持入侵防御/WAF等应用层防护能力。客户实际选择时只能说看场景，选择适合自己的方案。例如，有的客户平台维护和虚机业务维护是完全分离的，平台想要上微隔离，不容易说服虚机的业务维护者同意在虚机里安装代理软件，选择基于网络的微隔离方案就很合适；而有的客户平台维护和虚机业务维护是统一的，那选择基于主机代理的微隔离方案就没什么外部阻力。