虽然主机安全、服务器安全、杀毒、容器安全已经是安全架构中的必备产品,但很多人对于CWPP这个词还比较陌生,简单的说,CWPP云工作负载保护平台(Cloud Workload Protection Platform )就是用来保护物理机、虚拟机、云主机、容器这类工作负载的,Gartner也对CWPP的能力做了明确的定义,在前几版的能力层次中,包含了对工作负载权限配置、系统、应用、访问权限等多个层次的防护策略,覆盖了CWPP整个生命周期。
Workload工作负载的演进经历了漫长的过程
在说工作负载安全之前,先谈谈工作负载这些年的演进,笔者在十几年前曾就职于数据中心IDC公司,负责客户工作负载的运维和托管,当时最常见的工作负载形态是虚拟空间和物理机。虚拟空间也叫虚拟主机,算是serverless的最初形态,客户不需要部署、配置或管理服务器服务,只要上传dedeCMS、phpwind、discuz等程序代码就能建立独立网站,这在当时很受中小企业和个人用户的欢迎;而在物理机上部署业务是个复杂的过程,物理机上架需要经过“设备采购-设备运输-机房上架-安装系统-配置IP-部署业务-上线运行”的繁琐过程,举个例子,在十几年前网页游戏还很火爆,当时如果客户需要提前开一组服务器,提前一个月就要做准备,中途遇到设备物流延期、机房故障等问题的话开服时间还要再延期。
在出现云主机和容器之后,让业务的部署效率大幅度提升,一台云主机的部署几分钟内就能完成,容器的加入更是让业务上下线效率大幅度提升。
图:工作负载的演进
百炼成钢,CWPP统一了工作负载的安全需求
“安全需要伴随着业务需求的变化而变化”,前面我们提到工作负载经历了漫长的演化过程,比如我们看到的一个网站,它背后的工作负载是虚拟主机、服务器、云主机还是容器?工作负载不同,这个网站所需要做的安全防护就不同;一个网站面向的客户群体不同,它的防护需求也同样不用,比如政府类网站主要需求是网页防篡改、游戏类需求是抗ddos和cc攻击、金融类的需求是数据防泄密。
需求的多样性也导致工作负载曾经出现了多种形态,包括杀毒、基线检查、HIDS/HIPS、网页防篡改、EPP等。
图:工作负载安全的演进
直到CWPP的出现,才第一次统一工作负载的安全需求,从能力上看,CWPP覆盖配置管理、资产与漏洞管理、工作负载防火墙、系统防护、应用防护、恶意代码检测、日志管理等11项能力,基本覆盖了工作负载在运行时的全部安全需求,也有部分市场需求剥离了安全防护的需求,仅作为工作负载端的数据采集探针,演化出服务器EDR这类产品。
不同于防火墙、WAF等传统安全设备,CWPP涵盖的能力范围非常广,曾一度被认为可以取代多种安全设施,将CWPP安全能力进行分类,可以分为攻击面管理、运行时防护两个维度:
攻击面管理可以持续发现漏洞、弱口令、病毒/后门、webshell等安全风险,在黑客攻击发起提前修复安全风险,缩小工作负载的被攻击面;
在业务运行时阶段通过微隔离、虚拟补丁、in-app waf、RASP、系统加固构建了流量、中间件、语言解释器、系统层面的四层防御体系,在不干扰业务的前提下,为业务提供最大程度的安全防护。
IT变革、HW、重保、合规建设等因素推动CWPP快速发展
根据IDC发布的《中国云工作负载安全市场份额,2021:云原生与安全左移驱动技术持续创新》,中国云工作负载安全市场在2021年实现了规模和增速的双爆发,市场规模达到2.8亿美元,同比增长57.9%。IDC认为“中国公有云、私有云市场的持续快速发展为云工作负载安全的应用提供了广阔的客户资源,而网络威胁的持续肆虐以及由此带来的巨大风险进一步促使云上企业提升对安全的关注及投入”,除此之外,等保、关键基础设备保护等相关政策中也对工作负载安全防护提出了明确了要求,再加上在攻防演练和重保中发挥的重要,CWPP迎来了快速发展的时机。
云原生和devsecops推动安全左移shift-left,从CWPP到CNAPP
目前CWPP有两种形态:插桩在工作负载内部、平行于K8S&VM等工作负载管理工具,其中插桩在工作负载内部的agent模式最常见,这在物理机和云主机时代几乎是一种完美的解决方案,但随着容器和serverless的大规模使用,插桩模式已经出现水土不服,相应的平行于K8S&VM等工作负载管理工具的无代理模式能更贴合新IT架构下的安全需求。
由于具备极强的适应性,CWPP也在贴合devops的需求而变化,除了在Ops环节保护工作负载安全外,在Dev开发环境检查阶段,也演进出风险组件、云配置、API发现等能力,推动“业务的安全”向“安全的业务”转变,推动devsecops的落地。但是CWPP本身能覆盖Dev开放阶段的能力有限,出现了短板,比如对API的防护、在开发环境的SAST/IAST检测等,因此Gartner提出了CNAPP原生应用保护平台,CNAPP开始在开发阶段就对业务进行完整的保护,填补了CWPP的短板,真正实现“开发-上架-运行时”的devsecops全栈式安全。
图:CNAPP架构
如上图,最新版本的CNAPP包含了CWPP、CSPM(云安全态势管理)、云原生应用扫描和中控这四个部分。我们把在CNAPP框架下的CWPP模块和CWPP做了对比,发现运维管理、网络防火墙、漏洞管理等6项能力发生左移,成为CNAPP框架下CSPM的一部分,这也验证了CWPP最初的设计,把重要但不一定要在工作负载内部完成的工作左移,提升效率的同时也降低了对工作负载自身资源的损耗。
CNAPP和CWPP 谁才是工作负载的最强守护者?
毫无疑问,CNAPP比CWPP覆盖的场景更多、对业务的保护也更加完整,但从目前阶段来说,要完成CNAPP的落地还很难,需要厂商具备云原生、CWPP、CSPM的数项安全能力,从产品成熟来说CNAPP还远不及CWPP,但CNAPP的出现给CWPP的发展规划了方向:CWPP未来需更聚焦于工作负载核心防护,而将网络分段、配置检查等非必须在工作负载内部完成的能力左移,以进一步提升效率、降低资源占用,同时CWPP应该具备足够的开放性和兼容性,在未来更好的接入CNAPP框架下的安全中台。
(文章来自奇安信,如有违权请联系删除!)
|