現代數據中心支持運行在物理設備、虛擬機(VM)、容器以及私有雲基礎架構中的各種工作負載,並且幾乎總是涉及一些在一個或多個公有雲基礎設施即服務(IaaS)提供商中運行的工作負載。雲工作負載保護平台(CWPP)市場定義為基於主機的解決方案,主要滿足現代混合數據中心架構中,服務器工作負載的保護要求。它為信息安全領導者提供了一種集成的方式,通過使用單個管理控制台和單一方式表達安全策略來保護這些工作負載,而不用考慮工作負載運行的位置。
可以理解成為基於代理(Agent)的底層技術方案,和傳統部署在網絡邊界上的安全產品不一樣,CWPP部署在操作系統層,因此可以橫跨物理機、公有雲、私有雲、混合雲等多種數據中心環境,部署方式更加靈活、防護層面更加豐富。采用服務端agent+遠程控制台的部署模式,agent支持雲、物理、混合環境部署,能有效安全加固服務器、抵御黑客攻擊和惡意代碼。
Core Capabilities 核心能力:
Congurationand vulnerability management 配置和漏洞管理
1,配置,即服務器優化,通過對操作系統進行合理配置,提升操作系統的安全性和抗攻擊能力。
2、漏洞管理,分為操作系統漏洞管理和應用漏洞管理。目前網絡攻擊主要是通過web服務器或者web應用漏洞發起,因此CWPP產品要能提供標准化、同時支持制定自定義的web應用漏洞防護策略。
Networksegmentation, isolation and traffic visibility 網絡隔離與流可視
要求CWPP產品首先能圖形化管理用戶的主機業務資產,並且可以跨物理、虛擬架構、網絡定於基於角色的訪問策略(微隔離);對於主機之間的訪問關系,可以圖形化的展示和控制(流可視化)。
Systemintegrity measurement, attestation and monitoring 系統完整性檢測、認證和監測
可以保護系統文件或者指定目錄、文件不被惡意修改,提供監控模式和防護模式。
Application control應用防護
CWPP產品需要能識別到主機上運行的應用,並對不同的應用提供相應的防護策略,如雲鎖對web應用提供waf防護,對於sshd、remotedesktop提供防暴力破解防護等。
Capabilities that augment/verify foundational operational controls 增強及驗證基礎運維能力:
CWPP產品要求不能單純依靠服務器賬號、密碼來驗證管理員,而需要引入賬號密碼外的第二套驗證機制。比如雲鎖的登陸防護功能,可以限制登陸服務的用戶名、IP范圍、登陸時間、登陸服務器使用的PC名稱,如果不滿足限制條件,即使拿到服務器的管理員賬號密碼也無法登陸服務器。
Log management and monitoring日志管理和監測
要求CWPP產品能提供完整的日志,同時當安全事件發生后,CWPP產品需要關聯相關日志最終形成事件IOC,幫助用戶回溯攻擊過程,快速定位風險點。
學習文檔:
https://www.weiyangx.com/254216.html
https://www.csdn.net/article/a/2016-09-29/15841129