不久前，當(dāng)安全管理員部署應(yīng)用程序時(shí)，他們可以相信有些東西會(huì)保持靜態(tài)。例如，部署到本地物理主機(jī)上的應(yīng)用程序?qū)⑹窍嗤臓顟B(tài)—相同的主機(jī)、相同的網(wǎng)絡(luò)、相同的配置、相同的技術(shù)基礎(chǔ)—它在兩周后被保留。

創(chuàng)新互聯(lián)公司長(zhǎng)期為千余家客戶提供的網(wǎng)站建設(shè)服務(wù)，團(tuán)隊(duì)從業(yè)經(jīng)驗(yàn)10年，關(guān)注不同地域、不同群體，并針對(duì)不同對(duì)象提供差異化的產(chǎn)品和服務(wù)；打造開放共贏平臺(tái)，與合作伙伴共同營(yíng)造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為伊吾企業(yè)提供專業(yè)的成都做網(wǎng)站、網(wǎng)站制作，伊吾網(wǎng)站改版等技術(shù)服務(wù)。擁有十載豐富建站經(jīng)驗(yàn)和眾多成功案例,為您定制開發(fā)。

然而，在現(xiàn)代生態(tài)系統(tǒng)中，這是例外而不是規(guī)則。一個(gè)工作負(fù)載今天可能被部署到一個(gè)VM或私有云，但是明天卻發(fā)現(xiàn)它在公共云環(huán)境中的Docker容器上運(yùn)行。

從安全角度來(lái)看，這是一個(gè)重大挑戰(zhàn)。例如，如果假設(shè)在部署工作負(fù)載的環(huán)境中通過網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)進(jìn)行持續(xù)監(jiān)視，那么當(dāng)它被轉(zhuǎn)移到?jīng)]有部署工作負(fù)載的不同環(huán)境中運(yùn)行時(shí)會(huì)發(fā)生什么情況？

多云的興起進(jìn)一步加劇了這種局面。現(xiàn)在很少有一個(gè)組織只使用一個(gè)可信的IaaS或PaaS提供商。事實(shí)上，只支持一個(gè)應(yīng)用程序可能涉及到兩個(gè)或三個(gè)（或更多）不同的提供者和環(huán)境。這增加了復(fù)雜性，并使得很難確保在正確的位置為正確的工作負(fù)載部署正確的控件。

一種新的安全系統(tǒng)正在出現(xiàn)，它有望提供幫助。通過跨多個(gè)云提供商統(tǒng)一管理、將控件與工作負(fù)載打包并確保控件設(shè)計(jì)為云原生，云工作負(fù)載保護(hù)平臺(tái)（CWPPs）是一種安全實(shí)現(xiàn)策略，有助于解決這些挑戰(zhàn)。

什么是云工作負(fù)載保護(hù)平臺(tái)？

CWPP一詞由Gartner提出，是指為工作負(fù)載的云本地保護(hù)而設(shè)計(jì)的安全策略。要理解這一點(diǎn)，首先從什么是工作負(fù)載開始是很重要的。一般來(lái)說(shuō)，工作負(fù)載指的是功能或能力的原子單位，以及運(yùn)行它所需的任何東西——即數(shù)據(jù)、網(wǎng)絡(luò)連接等。它是云功能的一個(gè)單元。

實(shí)際上，工作負(fù)載可以是任何東西。一個(gè)可能是構(gòu)成面向客戶應(yīng)用程序一部分的API，另一個(gè)可能是處理后端處理的計(jì)算組件，而另一個(gè)可能是內(nèi)部業(yè)務(wù)應(yīng)用程序的前端。工作負(fù)載可以是VM（例如，在傳統(tǒng)的IaaS或私有云中），也可以是容器化的應(yīng)用程序，即在容器引擎（例如Docker）中運(yùn)行的應(yīng)用程序及其支持的中間件。

CWPP背后的想法是提供一種機(jī)制，以一致的方式保護(hù)這些工作負(fù)載。與多種云環(huán)境（包括組織自己的私有云或混合云）配合使用的方式；并且無(wú)論周圍發(fā)生了什么，都具有相同的安全屬性和降低風(fēng)險(xiǎn)的值。

CWPP的三大好處

CWPP的含義很明顯，分為三個(gè)主要類別。

1.降低復(fù)雜度

由于CWPP將安全性針對(duì)云原生條件，因此它們?cè)谠浦刑峁┑谋Ｗo(hù)可能很難使用舊版工具來(lái)完成，而且成本更高。許多遺留工具都是圍繞受管端點(diǎn)或物理服務(wù)器設(shè)計(jì)的。它們的設(shè)計(jì)不一定會(huì)考慮虛擬化或容器-而且很少用于無(wú)服務(wù)器PaaS或充當(dāng)服務(wù)。作為基準(zhǔn)，即使在組織無(wú)法控制較低技術(shù)堆棧級(jí)別的容器或VM中運(yùn)行時(shí)，CWPP仍可以提供預(yù)期的安全性值。

2.一致性

接下來(lái)是一致性。鑒于大多數(shù)組織如何使用云，這一點(diǎn)很重要。例如，從使用角度來(lái)看，微服務(wù)架構(gòu)導(dǎo)致了更多，更小的工作量；DevOps導(dǎo)致每個(gè)單獨(dú)工作負(fù)載的生命周期縮短，因?yàn)楦鶕?jù)發(fā)布節(jié)奏將工作負(fù)載拆除并替換為較新的工作負(fù)載；多云和混合云導(dǎo)致串聯(lián)使用不同的環(huán)境。除非采取行動(dòng)防止可見度降低，否則從長(zhǎng)遠(yuǎn)來(lái)看，這些降低了可見度。無(wú)論有多少工作負(fù)載或它們位于何處，CWPP都能提供更一致的視圖。

3.便攜性

第三個(gè)含義是可移植性，這意味著無(wú)論工作負(fù)載在哪里或是什么，產(chǎn)品都能增強(qiáng)安全性，例如，今天運(yùn)行在本地hypervisor中的工作負(fù)載明天會(huì)轉(zhuǎn)移到IaaS提供者，或者今天在專用IaaS中的引擎上運(yùn)行的容器將在明天轉(zhuǎn)移到AWS Fargate或Azure容器實(shí)例中。

CWPP功能和提供者

重要的是要注意，并非所有面向CWPP的產(chǎn)品都能提供每一項(xiàng)好處。恰恰相反：某些系統(tǒng)特定于服務(wù)提供商，因此限制了可移植性。有些特定于用法-例如，針對(duì)虛擬工作負(fù)載而非容器-從而限制了一致性；其他則只關(guān)注安全控制的一部分，例如漏洞掃描，加密或配置管理。

鑒于范圍廣泛，因此有許多CWPP產(chǎn)品會(huì)根據(jù)其提供的安全性主張及其提供方式而有所不同。云供應(yīng)商提供了一些工具。例如，微軟的Azure安全中心旨在在多個(gè)操作系統(tǒng)之間提供一致的安全管理-包括網(wǎng)絡(luò)級(jí)可見性，配置評(píng)估和威脅防護(hù)。還可以使用Amazon Inspector，它可以幫助解決漏洞和配置問題。

其他更廣泛的產(chǎn)品來(lái)自成熟且長(zhǎng)期存在的安全廠商，例如Palo Alto Networks的Prisma Cloud，該軟件專注于分段工作負(fù)載并為容器和虛擬化工作負(fù)載提供額外的安全功能。一些CWPP更具體，只關(guān)注問題的較小子集，包括Capsule8的攻擊者檢測(cè)功能或Anchore的基于容器的漏洞掃描。

當(dāng)然，這些只是該領(lǐng)域大量供應(yīng)商和參與者的一個(gè)子集。但是，從安全從業(yè)者的角度來(lái)看，了解市場(chǎng)的根本變化以及這些變化在我們前進(jìn)的過程中所暗示的含義是有益的且有價(jià)值的。

本文題目：云工作負(fù)載保護(hù)平臺(tái)安全優(yōu)勢(shì)及其功能
文章路徑：http://www.chinadenli.net/article36/cgpipg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站策劃、服務(wù)器托管、網(wǎng)站收錄、商城網(wǎng)站、小程序開發(fā)、品牌網(wǎng)站制作

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)