什麼是雲端工作負載保護平台 (CWPP)?

雲端工作負載保護平台 (CWPP) 可緩解雲端和內部部署工作負載中的威脅。

學習目標

閱讀本文後,您將能夠:

  • 定義雲端工作負載保護平台 (CWPP)
  • 說明 CWPP 保護的工作負載類型
  • 列出主要 CWPP 功能

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是雲端工作負載保護平台 (CWPP)?

雲端工作負載保護平台 (CWPP) 是一種安全性工具,可偵測和移除雲端軟體內部的威脅。CWPP 就像汽車修理工,在造成進一步損壞之前識別汽車發動機內部的缺陷和故障——只是它檢查雲端服務的內部,而不是汽車。CWPP 可自動監控各種工作負載,包括實體內部部署伺服器、虛擬機器無伺服器功能

什麼是雲端工作負載?

在運算中,工作負載是使用一定數量的記憶體和運算能力的程式或應用程式。在雲端運算中,工作負載也是如此,只是由雲端提供者遠端託管。

過去,所有工作負載都在實體機器上執行。然而,在雲端運算時代,工作負載在許多不同的抽象層上執行。

「抽象層」是高層級功能與低層級功能互動的點,二者互相分離,使得與高層級功能互動的某人或某物通常不知道低層級功能。例如,大多數使用者不知道如何對電腦進行程式設計,但他們仍然可以使用電腦;這是因為所涉及的程式設計語言是透過使用圖形使用者介面和使用者友好的應用程式抽象出來的。

雲端運算中的抽象層使得更高效地使用雲端伺服器成為可能。例如,虛擬機器抽象出底層伺服器硬體。多個虛擬機器可以在一台實體伺服器上執行,使多個雲端客戶能夠同時使用該伺服器。

但這些複雜的抽象層也增加了雲端運算的複雜性,特別是在保護使用中的各種雲端工作負載方面。

類型: 服務模式: 抽離位置: 代管位置: 環境:
伺服器 自託管 實際硬體 內部部署 其自己的硬體
虛擬機器 IaaSPaaSSaaS Hypervisor 雲端或內部部署 其自己的虛擬硬體
容器 IaaS、PaaS 作業系統核心 雲端 其自己的作業系統
無伺服器功能 FaaS 取決於提供者 雲端 取決於提供者(Cloudflare 使用 Chrome V8

這些執行工作負載的不同位置在使用的資源、位置和環境方面差異很大。保護它們就像試圖同時保護辦公室、私人住宅和停車場一樣。沒有一種安全性方法適用於這全部三種情況——例如,停車場需要大門,辦公室可能需要保安,家裡則需要防盜警報器。

同樣,這些不同類型的雲端基礎結構都有略為不同的安全性需求。舉一個簡單的例子,虛擬機器的運作方式與實體機器相似,可以同時執行任意數量的應用程式。惡意應用程式可以與虛擬機器中的合法應用程式一起執行。相比之下,容器只執行一個應用程式,因此確定該應用程式是否已遭到入侵比確保沒有惡意應用程式正在執行更重要。

但是 CWPP 可以偵測並移除所有這些類型的基礎結構中的威脅,尤其是惡意軟體、漏洞和未經授權的應用程式。

CWPP 有哪些主要功能?

根據全球研究和諮詢公司 Gartner 的說法,CWPP 有以下八項功能:

  1. 強化、設定和漏洞管理:CWPP 有助於確保軟體中不存在漏洞,甚至在將其投入生產之前也是如此。
  2. 網路防火牆、可見度和微分段:CWPP 對網路進行保護和微分段。后一個詞彙表示將網路分成更小的部分,以便攻擊者無法一次入侵整個網路。
  3. 系統完整性保證:CWPP 確保雲端系統按預期工作。
  4. 應用程式控制和允許清單:CWPP 根據允許的應用程式清單允許和封鎖應用程式。
  5. 漏洞利用預防和記憶體保護:CWPP 可防止主動執行的軟體中的漏洞利用。
  6. 伺服器工作負載端點偵測和回應 (EDR)、行為監視以及威脅偵測和回應:CWPP 可回應伺服器和應用程式行為的可疑變更以及作用中的威脅。
  7. 具有漏洞遮罩功能的基於主機的入侵預防:CWPP 可防止對伺服器的外部入侵。
  8. 反惡意軟體掃描:CWPP 會偵測嵌入雲端工作負載中的惡意軟體。

CWPP 能夠在任何類型的工作負載中套用這些功能,包括實體伺服器、虛擬機器、容器和無伺服器功能。

CWPP 如何保護多雲端和混合雲端部署?

由於 CWPP 可以涵蓋一系列工作負載,因此非常適合保護分佈在多個雲端中的基礎結構。多雲端部署(將多個公用雲端相結合)和混合雲端部署(將公用雲端和私人雲端與內部部署基礎結構相結合)包含各種類型的工作負載。CWPP 提供了一個「單一管理平台」,組織可以在其中輕鬆檢視和分析這些工作負載中的雲端安全性風險。

CWPP 和雲端安全狀態管理 (CSPM) 有什麼區別?

雲端安全狀態管理 (CSPM) 是另一種類型的自動化工具,用於保護一系列雲端部署。主要區別在於:CSPM 是外部的,用於尋找雲端設定錯誤和合規性違規;CWPP 是內部的,用於在雲端執行的軟體中尋找威脅。

詳細瞭解 CSPM