企業為了保護自己的云環境，可能已經采取了保護云身份，強化云安全態勢，配置強大的云訪問控制等措施，然而，除此之外還需要做一件事：云工作負載保護平臺，即CWPP。

云工作負載保護平臺會保護在企業的云上運行的工作負載，這些工作負載與構成云環境基礎的基礎設施、用戶身份和配置不同。

本文將研究為什么 CWPP 是任何云安全策略中的關鍵要素，解釋 CWPP 的工作原理，確定可以使用 CWPP 保護的工作負載示例，并討論 CWPP 上下文中自動化的重要性。

1. 什么是云工作負載保護？

云工作負載保護是保護部署在云中的工作負載的做法。換句話說，云工作負載保護可以減輕存在于云環境工作負載級別的風險，而不是基礎架構或配置級別。

所涉及的工作負載可能是企業在云中托管的軟件、數據或它們的組合。例如，云工作負載保護可以應用于在基于云的 VM 實例中運行的操作系統和應用程序，或者它可以保護對象存儲桶內的數據。

2. 什么是 CWPP？

提供云工作負載保護的工具通常稱為云工作負載保護平臺或 CWPP。保護云工作負載很重要，因為大多數其他類型的云安全實踐并未解決工作負載風險。

云安全狀況管理 (CSPM) 會提醒企業管理者云基礎設施配置中可能產生安全問題的因素，例如提供對敏感數據的公共訪問權限的 IAM 策略。但 CSPM 不涵蓋工作負載中的配置風險，例如數據在應用程序中移動時缺乏加密。

同樣，企業可以跟蹤云指標和日志以識別潛在的安全威脅。但這些數據主要來自云 IaaS 提供商，而不是單個應用程序，因此它幾乎無法揭示特定于企業在云中部署的應用程序或數據的安全風險。

CWPP 解決方案通過確保企業可以保護實際運行在其云上的代碼和數據來填補這些空白，而不僅僅是底層云環境。

值得注意的是，云工作負載保護平臺可幫助企業保護跨多個云的工作負載。由于 CWPP 專注于工作負載而不是托管它的云，因此企業可以使用云工作負載保護來識別任何類型的基于云的工作負載中的安全風險，即使它跨云移動也是如此。

3. 工作中的 CWPP示例

要進一步對云工作負載保護置于環境中，需要考慮它在以下領域中的應用方式。

(1) 容器

當使用容器部署云工作負載時，您必須解決特殊的安全挑戰。例如，需要確保容器不能在特權模式下運行。還必須掃描容器映像以查找惡意軟件。

容器的云工作負載保護可確保企業擁有保護容器化工作負載所需的特定流程，獨立于企業應用于云環境的其他安全流程。

(2) Kubernetes 安全

Kubernetes 也提出了只能在工作負載級別解決的各種特殊安全挑戰。例如，企業必須確保正確配置 Kubernetes RBAC 策略和安全上下文。還應該使用 Kubernetes 審計日志來監控 Kubernetes 環境中出現的潛在安全風險。

(3) 虛擬機安全

即使企業的云虛擬機服務配置正確，安全問題也可能潛伏在虛擬機中。企業使用的映像可能包含惡意軟件或僅包含導致安全狀況較弱的配置(例如缺少內核強化框架)。云工作負載保護會提醒管理者注意這些風險。

(4) 漏洞掃描

漏洞可能出現在云環境中的任何地方——應用程序內、操作系統內、容器映像內等等。

云工作負載保護允許企業掃描工作負載所有組件和層的漏洞。將其視為在工作負載級別進行漏洞發現和管理的一站式采購，而不管運行的工作負載是什么，或者托管它們的云是什么。

(5) 無服務器安全

無服務器功能從底層服務器環境中抽象出應用程序，從而減少了潛在的攻擊面。但這些功能本身仍可能包含漏洞。它們也可以以增加風險的方式進行配置。云工作負載保護會自動發現無服務器功能中的此類問題。

(6) 應用程序安全

基于云的應用程序有多種形式，但它們都可能包含安全風險——例如惡意軟件、易受攻擊的軟件組件以及缺乏加密等安全控制。通過掃描應用程序中的此類風險，云工作負載保護有助于確保整個云環境中的應用程序安全。

4. 選擇云工作負載保護平臺

在將云工作負載保護集成到云安全策略中時，應努力實施以下解決方案：

• 完全自動化，因為企業無法手動管理工作負載級別的安全風險。并且使企業可以部署以保護任何云上的任何工作負載。
• 解決方案應滿足允許任何人——不僅是網絡安全專家，還包括企業的任何成員——定義工作負載必須滿足的安全規則。并自動掃描云工作負載，以發現與這些規則的偏差。

從而達到無論云環境如何配置或在其上運行什么，都能實現完全安全和自動化的云工作負載保護。