【云安全】云工作负载保护平台（CWPP）

a) 产品概述

所谓工作负载，就是承载计算的各种类型节点（物理机、虚拟机、容器、无服务器），其中虚拟机是以VMs作为云单位，容器是以应用/服务作为云单位，无服务器是以资源作为云单位。

随着DevOps开发模式盛行，通常应用每周都会有几次迭代，有时甚至一天好几次迭代，此时工作负载的粒度也变得越来越细化、生命周期也越来越短，保护这些快速变化和短期工作负载的最佳方法是在开发阶段渗入保护机制，以便在生产环节实例化时，让这些工作负载从“诞生”就受到保护。CWPP就是用于保护这些工作负载的网络安全解决方案统称，主要用于基于云的IaaS层。

b) 重要性

项目开发过程与速度的权衡和应用程序的不断改进意味着安全不再是应用程序生产的严格门槛；安全专业人员也无法像过去那样对应用程序进行控制；工作负载不断变化的性质以及“始终在线”DevOps 环境的兴起给数据和应用程序带来新的风险。

c) 产品形态

软件

d) 产品功能

CWPP主要关注于能力模型底部的五个核心工作负载保护策略：

1、加固、配置与漏洞管理（Hardening, Configuration and Vulnerability Management）：举措如移除非必要的组件（如Telnet，FTP服务）、加固镜像、加固系统、定期持续更新系统；也可以通过外部工具，评估系统配置和漏洞等。

2、基于身份的网络微隔离和可视化（Network Firewalling, Visibility and Microsegmentation）：严格的工作负载安全的基础是隔离和分化与外部资源沟通的能力。举措如管理windows和linux系统内置的防火墙；对数据中心东西流量的进行微型分割；提供可视化和监控通信流量；提供工作负载之间的网络流量加密选择来保护动态数据，并在工作负载之间提供加密隔离。

3、系统完整性保护（System Integrity Assurance）：这项功能包括两个领域：第一个是在BIOS，管理程序和虚拟机系统镜像加载前进行评估，一般会通过物理系统中硬件层面的可信任措施实现评估。第二个是在工作负载自启后，实时的监控核心系统文件完整性，包括监控windows注册表、启动目录、驱动和引导加载程序。

4、应用程序控制（白名单）（Application Control/Whitelisting）：在VM和公有云IaaS中，大多数工作负载只能运行一个应用，这在容器和微服务的工作负载里尤为适用。因此业内适用的安全保护策略是使用白名单来控制运行在工作负载中的文件权限，这样执行文件的恶意软件都会被阻止。许多CWPP解决方案会提供内置的应用控制功能，比如调用内置的OS应用控制功能，如Windows, SELinux系统的软件限制策略和应用程序控制策略（Applocker）或Linux系统的AppArmor。

5、漏洞利用预防/内存保护（Exploit Prevention/Memory Protection）：应用控制解决方案不会一直可靠，预防漏洞利用和内存保护功能需要进行相应的结合。因此解决方案要能预防这些情况的发生：比如白名单应用被攻击而产生漏洞；注入的代码能在内存中直接运行等。