雲端工作負載保護平台 (CWPP) 可緩解雲端和內部部署工作負載中的威脅。
閱讀本文後,您將能夠:
相關內容
訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!
複製文章連結
雲端工作負載保護平台 (CWPP) 是一種安全性工具,可偵測和移除雲端軟體內部的威脅。CWPP 就像汽車修理工,在造成進一步損壞之前識別汽車發動機內部的缺陷和故障——只是它檢查雲端服務的內部,而不是汽車。CWPP 可自動監控各種工作負載,包括實體內部部署伺服器、虛擬機器和無伺服器功能。
在運算中,工作負載是使用一定數量的記憶體和運算能力的程式或應用程式。在雲端運算中,工作負載也是如此,只是由雲端提供者遠端託管。
過去,所有工作負載都在實體機器上執行。然而,在雲端運算時代,工作負載在許多不同的抽象層上執行。
「抽象層」是高層級功能與低層級功能互動的點,二者互相分離,使得與高層級功能互動的某人或某物通常不知道低層級功能。例如,大多數使用者不知道如何對電腦進行程式設計,但他們仍然可以使用電腦;這是因為所涉及的程式設計語言是透過使用圖形使用者介面和使用者友好的應用程式抽象出來的。
雲端運算中的抽象層使得更高效地使用雲端伺服器成為可能。例如,虛擬機器抽象出底層伺服器硬體。多個虛擬機器可以在一台實體伺服器上執行,使多個雲端客戶能夠同時使用該伺服器。
但這些複雜的抽象層也增加了雲端運算的複雜性,特別是在保護使用中的各種雲端工作負載方面。
類型: | 服務模式: | 抽離位置: | 代管位置: | 環境: |
---|---|---|---|---|
伺服器 | 自託管 | 實際硬體 | 內部部署 | 其自己的硬體 |
虛擬機器 | IaaS、PaaS、SaaS | Hypervisor | 雲端或內部部署 | 其自己的虛擬硬體 |
容器 | IaaS、PaaS | 作業系統核心 | 雲端 | 其自己的作業系統 |
無伺服器功能 | FaaS | 取決於提供者 | 雲端 | 取決於提供者(Cloudflare 使用 Chrome V8) |
這些執行工作負載的不同位置在使用的資源、位置和環境方面差異很大。保護它們就像試圖同時保護辦公室、私人住宅和停車場一樣。沒有一種安全性方法適用於這全部三種情況——例如,停車場需要大門,辦公室可能需要保安,家裡則需要防盜警報器。
同樣,這些不同類型的雲端基礎結構都有略為不同的安全性需求。舉一個簡單的例子,虛擬機器的運作方式與實體機器相似,可以同時執行任意數量的應用程式。惡意應用程式可以與虛擬機器中的合法應用程式一起執行。相比之下,容器只執行一個應用程式,因此確定該應用程式是否已遭到入侵比確保沒有惡意應用程式正在執行更重要。
但是 CWPP 可以偵測並移除所有這些類型的基礎結構中的威脅,尤其是惡意軟體、漏洞和未經授權的應用程式。
根據全球研究和諮詢公司 Gartner 的說法,CWPP 有以下八項功能:
CWPP 能夠在任何類型的工作負載中套用這些功能,包括實體伺服器、虛擬機器、容器和無伺服器功能。
由於 CWPP 可以涵蓋一系列工作負載,因此非常適合保護分佈在多個雲端中的基礎結構。多雲端部署(將多個公用雲端相結合)和混合雲端部署(將公用雲端和私人雲端與內部部署基礎結構相結合)包含各種類型的工作負載。CWPP 提供了一個「單一管理平台」,組織可以在其中輕鬆檢視和分析這些工作負載中的雲端安全性風險。
雲端安全狀態管理 (CSPM) 是另一種類型的自動化工具,用於保護一系列雲端部署。主要區別在於:CSPM 是外部的,用於尋找雲端設定錯誤和合規性違規;CWPP 是內部的,用於在雲端執行的軟體中尋找威脅。