Top
首页 > 正文

山石网科任亮:不懂CWPP,何以谈云安全?

发布时间:2020-06-23 17:14        来源:赛迪网        作者:王昊

近日,山石网科的微隔离可视化云安全产品——山石云·格(CloudHive)首次入选Gartner《2020 CWPP全球市场指南》的新闻,受到了云计算与网络安全行业的广泛关注,越来越多的人想要了解CWPP(云工作负载安全防护平台)这一被Gartner连年力推的云安全工具——CWPP到底是什么?为什么说CWPP代表着云安全技术发展的新趋势?微隔离与流量可视化为什么被视作CWPP的基础?

任亮

在本期“5A级访谈”中,山石网科的资深云安全技术专家任亮,将带你纵览CWPP的发展历程,了解微隔离与流量可视化对CWPP的重要意义,让你在最短的时间内搞懂CWPP。

Question 1:能不能通俗易懂的讲讲CWPP到底是什么?

A:CWPP,全称是Cloud Workload Protection Platform,顾名思义,云工作负载安全防护平台,这个产品品类是Gartner提出的。事实上,云工作负载主要就是指虚机和容器,因此CWPP就是虚机和容器的安全防护产品和解决方案,由于同时涉及到主机安全和网络安全,覆盖面很大,Gartner 2020年的CWPP市场指南中就已经把CWPP的技术方向细分到了十几个。

Question 2:因为云计算的哪些特点,CWPP涌现出来,并显得那么重要?

A:云计算的特点就是跨物理地域、分布式、动态变化,因此,传统安全防护手段无法满足安全防护需要,CWPP也就应运而生。Gartner对CWPP定义就是面向多云/混合云环境,大规模分布式部署,安全防护能力对云工作负载(虚机和容器)始终跟随的产品形态。

Question 3:为什么在CWPP中,微隔离与流量可视化是基础,非常重要?

A:微隔离和可视化解决的是零信任理念最基本的问题,流量是什么,从哪里来,到哪里去。可视化是微隔离的前提,能够为微隔离实施保护的策略制定提供依据。由于客户在可视化过程中确实能够看到各种非法访问和威胁流量,就更能坚定客户实施微隔离项目的决心。安全圈里有一句格言,大概意思是“不是没有安全问题,只是你看不见”,足见可视化过程的重要。微隔离也不是简单实施保护配置访问控制策略就完事儿了,对于流量而言,目的端口是80的不一定是http,http里也可能会有sql注入,xss攻击。因此想要零信任,就要继续上手段,做细致的应用层安全防护。

Question 4:不论是微隔离还是CWPP,都有网络侧和主机侧不同的做法。网络侧的优势在哪里呢?

A:仅谈微隔离的话,网络侧和主机侧各自都有明显的优劣势。网络侧的优点是安全功能丰富,4—7层的安全防护都支持,缺点是需要针对不同的云平台设计不同的引流方法,技术门槛太高,另外就是性能问题比较严峻,当云平台自身具有引流能力时,才能规避这些问题;主机侧的优点是简单,代理软件不挑云平台,是个操作系统就能装,缺点是通常主机代理软件都是比较轻量级,不支持入侵防御/WAF等应用层防护能力。客户实际选择时只能说看场景,选择适合自己的方案。例如,有的客户平台维护和虚机业务维护是完全分离的,平台想要上微隔离,不容易说服虚机的业务维护者同意在虚机里安装代理软件,选择基于网络的微隔离方案就很合适;而有的客户平台维护和虚机业务维护是统一的,那选择基于主机代理的微隔离方案就没什么外部阻力。

Question 5:在工作负载的保护上,山石云·格还有哪些黑科技?

A:无论是微隔离还是CWPP,只有持续监控才能让整个过程达成闭环,在持续监控过程中,不止于威胁流量,正常流量的业务质量的变化都应该得到关注,这样能够帮助管理员发现更多的安全问题。山石云·格的SPM功能就有这样的能力,在资产可视化的基础上它支持自发现、自描绘业务链条,帮助管理员快速定位业务故障和溯源;还支持对业务质量(包括计算资源的使用率、流量的丢包/时延/抖动)进行监测预警,让管理员对业务故障“未雨绸缪”。

每日必读

专题访谈

合作站点