共计 1747 个字符,预计需要花费 5 分钟才能阅读完成。
企业为了爱护本人的云环境,可能曾经采取了爱护云身份,强化云平安态势,配置弱小的云访问控制等措施,然而,除此之外还须要做一件事:云工作负载爱护平台,即 CWPP。
云工作负载爱护平台会爱护在企业的云上运行的工作负载,这些工作负载与形成云环境根底的基础设施、用户身份和配置不同。
本文将钻研为什么 CWPP 是任何云安全策略中的要害因素,解释 CWPP 的工作原理,确定能够应用 CWPP 爱护的工作负载示例,并探讨 CWPP 上下文中自动化的重要性。
1、什么是云工作负载爱护?
云工作负载爱护是爱护部署在云中的工作负载的做法。换句话说,云工作负载爱护能够加重存在于云环境工作负载级别的危险,而不是基础架构或配置级别。
所波及的工作负载可能是企业在云中托管的软件、数据或它们的组合。例如,云工作负载爱护能够利用于在基于云的 VM 实例中运行的操作系统和应用程序,或者它能够爱护对象存储桶内的数据。
2、什么是 CWPP?
提供云工作负载爱护的工具通常称为云工作负载爱护平台或 CWPP。爱护云工作负载很重要,因为大多数其余类型的云平安实际并未解决工作负载危险。
云平安情况治理 (CSPM) 会揭示企业管理者云基础设施配置中可能产生平安问题的因素,例如提供对敏感数据的公共拜访权限的 IAM 策略。但 CSPM 不涵盖工作负载中的配置危险,例如数据在应用程序中挪动时不足加密。
同样,企业能够跟踪云指标和日志以辨认潜在的平安威逼。但这些数据次要来自云 IaaS 提供商,而不是单个应用程序,因而它简直无奈揭示特定于企业在云中部署的应用程序或数据的平安危险。
CWPP 解决方案通过确保企业能够爱护理论运行在其云上的代码和数据来填补这些空白,而不仅仅是底层云环境。
值得注意的是,云工作负载爱护平台可帮忙企业爱护跨多个云的工作负载。因为 CWPP 专一于工作负载而不是托管它的云,因而企业能够应用云工作负载爱护来辨认任何类型的基于云的工作负载中的平安危险,即便它跨云挪动也是如此。
3、工作中的 CWPP 示例
要进一步对云工作负载爱护置于环境中,须要思考它在以下畛域中的利用形式。
1)容器
当应用容器部署云工作负载时,您必须解决非凡的平安挑战。例如,须要确保容器不能在特权模式下运行。还必须扫描容器映像以查找恶意软件。
容器的云工作负载爱护可确保企业领有爱护容器化工作负载所需的特定流程,独立于企业应用于云环境的其余平安流程。
2)Kubernetes 平安
Kubernetes 也提出了只能在工作负载级别解决的各种非凡平安挑战。例如,企业必须确保正确配置 Kubernetes RBAC 策略和平安上下文。还应该应用 Kubernetes 审计日志来监控 Kubernetes 环境中呈现的潜在平安危险。
3)虚拟机平安
即便企业的云虚拟机服务配置正确,平安问题也可能埋伏在虚拟机中。企业应用的映像可能蕴含恶意软件或仅蕴含导致平安情况较弱的配置(例如短少内核强化框架)。云工作负载爱护会揭示管理者留神这些危险。
4)破绽扫描
破绽可能呈现在云环境中的任何中央——应用程序内、操作系统内、容器映像内等等。
云工作负载爱护容许企业扫描工作负载所有组件和层的破绽。将其视为在工作负载级别进行破绽发现和治理的一站式洽购,而不论运行的工作负载是什么,或者托管它们的云是什么。
5)无服务器平安
无服务器性能从底层服务器环境中形象出应用程序,从而缩小了潜在的攻击面。但这些性能自身仍可能蕴含破绽。它们也能够以减少危险的形式进行配置。云工作负载爱护会主动发现无服务器性能中的此类问题。
6)应用程序平安
基于云的应用程序有多种形式,但它们都可能蕴含平安危险——例如恶意软件、易受攻击的软件组件以及不足加密等安全控制。通过扫描应用程序中的此类危险,云工作负载爱护有助于确保整个云环境中的应用程序平安。
4)抉择云工作负载爱护平台
在将云工作负载爱护集成到云安全策略中时,应致力施行以下解决方案:
齐全自动化,因为企业无奈手动管理工作负载级别的平安危险。并且使企业能够部署以爱护任何云上的任何工作负载。
解决方案应满足容许任何人——不仅是网络安全专家,还包含企业的任何成员——定义工作负载必须满足的平安规定。并主动扫描云工作负载,以发现与这些规定的偏差。
从而达到无论云环境如何配置或在其上运行什么,都能实现齐全平安和自动化的云工作负载爱护。