现代数据中心支持运行在物理设备、虚拟机(VM)、容器以及私有云基础架构中的各种工作负载,并且几乎总是涉及一些在一个或多个公有云基础设施即服务(IaaS)提供商中运行的工作负载。云工作负载保护平台(CWPP)市场定义为基于主机的解决方案,主要满足现代混合数据中心架构中,服务器工作负载的保护要求。它为信息安全领导者提供了一种集成的方式,通过使用单个管理控制台和单一方式表达安全策略来保护这些工作负载,而不用考虑工作负载运行的位置。
可以理解成为基于代理(Agent)的底层技术方案,和传统部署在网络边界上的安全产品不一样,CWPP部署在操作系统层,因此可以横跨物理机、公有云、私有云、混合云等多种数据中心环境,部署方式更加灵活、防护层面更加丰富。采用服务端agent+远程控制台的部署模式,agent支持云、物理、混合环境部署,能有效安全加固服务器、抵御黑客攻击和恶意代码。
Core Capabilities 核心能力:
Congurationand vulnerability management 配置和漏洞管理
1,配置,即服务器优化,通过对操作系统进行合理配置,提升操作系统的安全性和抗攻击能力。
2、漏洞管理,分为操作系统漏洞管理和应用漏洞管理。目前网络攻击主要是通过web服务器或者web应用漏洞发起,因此CWPP产品要能提供标准化、同时支持制定自定义的web应用漏洞防护策略。
Networksegmentation, isolation and traffic visibility 网络隔离与流可视
要求CWPP产品首先能图形化管理用户的主机业务资产,并且可以跨物理、虚拟架构、网络定于基于角色的访问策略(微隔离);对于主机之间的访问关系,可以图形化的展示和控制(流可视化)。
Systemintegrity measurement, attestation and monitoring 系统完整性检测、认证和监测
可以保护系统文件或者指定目录、文件不被恶意修改,提供监控模式和防护模式。
Application control应用防护
CWPP产品需要能识别到主机上运行的应用,并对不同的应用提供相应的防护策略,如云锁对web应用提供waf防护,对于sshd、remotedesktop提供防暴力破解防护等。
Capabilities that augment/verify foundational operational controls 增强及验证基础运维能力:
CWPP产品要求不能单纯依靠服务器账号、密码来验证管理员,而需要引入账号密码外的第二套验证机制。比如云锁的登陆防护功能,可以限制登陆服务的用户名、IP范围、登陆时间、登陆服务器使用的PC名称,如果不满足限制条件,即使拿到服务器的管理员账号密码也无法登陆服务器。
Log management and monitoring日志管理和监测
要求CWPP产品能提供完整的日志,同时当安全事件发生后,CWPP产品需要关联相关日志最终形成事件IOC,帮助用户回溯攻击过程,快速定位风险点。
学习文档:
https://www.weiyangx.com/254216.html
https://www.csdn.net/article/a/2016-09-29/15841129