https://www.jianshu.com/p/7000035755e5
簡介
雲工作保護平台(Cloud Workload Protection Platform)簡稱CWPP。自2016年到2019年連續四年Gartner的市場指南(Market Guide)分析報告中可以看出這四年里面的CWPP產品的定義、基本產品特性以及廠商都發生了很大的變化,同時雲安全炒作曲線(Hype Cycle)也完成了從膨脹期到幻滅期的周期。在每年的雲安全最酷廠商(Cool Vendor)中也不斷有CWPP廠商的加入,讓這個領域的廠商越來越多。
正文
2016年,CWPP的定義是基於主機安全的解決方案。在現代混合的數據中心架構中,主要的保護目標是服務器的工作負載。這種架構是由本地服務器、虛擬服務器以及不同公有雲環境組成。CWPP與普通終端管理平台(EPP)的分野就此開始。CWPP主要解決的問題在於數據中心維度,跟EPP解決問題的PC維度是不一樣的。CWPP強調了混合數據中心架構需要統一的管理、Linux系統的重點支持、殺毒軟件的無效、定價靈活性以及跟雲平台的對接和API與DevSecOps的結合等等。從技術角度來看,最核心的是跟雲平台原生的對接,利用AWS或者Azure提供的接口來進行相關安全措施的處理。比如說通過VPC接口可以做到相關業務的微隔離,也可以通過traffic flow log來進行流量的安全分析。之前存在的混合雲的接受度問題在現在基本不是問題,當下大部分企業都是按照此類方式在規划建設。如下圖所示,現在對CWPP產品能力要求在近幾年中也變化最小:
這個產品能力(需求)的金子塔說明了對CWPP產品能力的定義,越是靠近基座的功能越重要,越是靠近塔尖的功能越次要。對於每個功能的描述在這里就不贅述,之前筆者的文章中有專門分析過每個功能的含義。在2016年的代表廠商只有16家。
而到了2017年,除了對CWPP產品本身的理解又有了新的進步,也加入了一些外部場景來完善雲安全的整個大局觀。包括了工作負載外的服務和雲基礎架構的安全評估。CWPP產品解決了數據層面的問題;而外部的其他服務也是為了保證雲工作負載的安全,包括了WAF、Firewall和IPS等。同時加入了控制層面的安全措施,保證雲使用上的安全,其中包括IAM配置、網絡配置以及管理員訪問等。
同時提出了一個免疫架構的變化趨勢。因為容器的出現,導致用戶無法對線上系統進行處理,為此,需要將安全措施前移到開發環節,從而保證上線之后就是免疫的。運行時的應用控制和容器的鎖定作為免疫系統的手段。相應架構上的要求就有對SDL流程的支持,與自動化CI/CD工具的結合,要求API可以靈活調用,將安全檢查前移。
2017年重點強調了容器安全,代表廠商增長到24家,其中專門做容器的廠商有4家,分別是:Apcera(已被愛立信收購)、Aqua Security、Layered insight、Twistlock。
2018年Gartner預測CWPP產品在2017年大致有6億美元的市場規模,並以兩位數字的增長率增長,並且強調了大部分機構都在使用至少兩個的雲計算服務廠商。在這種異構的雲環境下,CWPP可以提供統一的安全策略管理並且迅速減少企業的知識鴻溝。提出CWPP管理的自動化,可以更好地與DevSecOps相結合。在企業自動化生成workload的時候,相關的軟件或安全策略可實現自動化安裝和配置。Serverless計算方式所帶來的安全問題已經被提及,但CWPP廠商並不能很好地解決此類問題,這也是CWPP產品面臨的挑戰。
之前的CISPA現已被重新命名為CSPM,並且作為雲安全的三個新興產品(CWPP、CASB、CSPM)之一誕生了,同時加強了CSPM的內涵,比如加入了存儲配置。
2018年,機器學習加成CWPP能力被提出。機器學習可以加強CWPP產品能力金字塔的各個層面,比如微隔離,機器學習可以先學習和觀察正常的情況,然后建立白名單,隨着時間的推移不斷更新和修正策略以達到不用人工介入就可設置安全策略的狀態。反觀在EDR領域,很多使用機器學習來進行病毒發現以及異常行為監控的產品已經出現,比如Crowdstrike和Cylance。CWPP與EDR相比,更多是在數據中心安全管理領域,而EDR更多是在終端安全監測領域。
同年代表廠商增加到37家,7家專注於容器安全的廠商被單獨列出。
2019年是變化最大的一年。首先將工作負載的外延和內涵進行細粒度解釋,根據抽象度的不同分為物理機、虛擬機、容器和Serverless。可以看出這幾種工作負載從虛擬化水平到單位的計量再到生命周期都有很大的區別。這樣來看,這才是“雲工作負載”這一名稱真正的意義所在,如果只是服務器安全或者雲主機安全,是無法覆蓋容器以及Serverless場景的。
安全能力圖也終於迎來一次大的更新。從原來的11個能力刪減到8個能力,並且將最底層的“運維習慣”與“加固、配置與漏洞管理”進行了整合。刪掉了“欺騙防御”能力,因為欺騙/蜜罐系統是單獨產品提供。同時數據的靜態加密大部分情況下都有雲廠商提供,比如AWS的EBS加密和Azure的磁盤加密,因此“靜態加密laas數據”這個能力也從能力金字塔中刪掉了。但是加強了對威脅檢測和響應的要求,相當於要學習EDR的能力。
預計在2018年CWPP產品市場收入在7億美金左右,繼續以兩位數字的增長率增長,但是McAfee、賽門鐵克和趨勢占了大概一半的收入。CWPP產品持續增長的接受度受到了以下幾個因素的影響:
1. 工作負載上雲的數量持續在增長;
2. 工作負載為中心的解決方案從架構上比網絡類的產品更容易設置安全策略,同時也可以根據工作負載的數量進行自動增加和減少;
3. 對於加密流量的解密比旁路的形式更容易,尤其在微服務架構中的東西流量的檢測中;
4. 雲原生架構、使用容器的場景以及Serverless的PaaS架構都需要更多的CWPP能力。
CWPP加入了容器服務以及編排的安全要求。Kubernetes成為容器編排的事實標准,對於K8s的安全支持變為硬性要求,包括Amazon的EKS,Azure的AKS,Google的GKE以及Red Hat的OpenShift。
Serverless的函數保護被提及出來,這是一個非常新的領域。在這個保護領域,計算環境對於客戶是不可見的,包括服務器、VM甚至是容器,所以基於基礎架構進行的防護基本無效。考慮Serverless的解決方案更多是從應用安全入手解決,可能出現的認證信息偷竊、OWASP的漏洞、持續性攻擊與容器投毒等都是需要考慮的安全場景,而實現方式更多是從代碼層面和接口方面考慮。
利用機器學習分析加強安全能力的場景具體列出了:網絡隔離、應用控制、服務器EDR、反病毒等。
對於廠商的分類更加細致,有七大分類,因為有能力重疊的存在,共48個產品,45個廠商。七大分類包括:1.廣泛能力,多系統支持(12家);2. 漏洞掃描、配置和合規(6家);3. 應用服務防火牆、可視化、微隔離和控制(9家);4. 內存和進程完整性及保護(4家);5.服務器EDR、行為監測和威脅檢測和響應(7家);6. 容器保護(7家);7. Serverless保護(3家)。
同時從雲安全整體的報告也可以看出來CWPP市場已經進入了幻滅期,准備沖刺到成熟上升市場了。近三年的炒作曲線,以及CWPP的位置變化。
同時,每年的雲安全領域的最酷廠商都有一家CWPP廠商加入,也在變向助推這個市場。作為Gartner 全球雲安全市場指南常客,青藤雲安全已經連續三年進入CWPP。青藤雲工作負載保護平台(CWPP)是基於Agent底層技術的主機解決方案,能夠很好滿足現代混合數據中心架構中服務器工作負載的保護要求。可以幫助測評機構全面了解雲上資產、協助檢查配置漏洞管理,同時讓流量清晰可見;也能夠讓監管單位對雲資產、測評過程、雲運營商等清晰可見;還能夠讓用戶對所有雲端資產、合規狀況一目了然,同時可以協助用戶對雲主機進行實時監控,了解其安全狀態。
總結
綜上所述,CWPP產品以及市場越來越成熟,客戶的需求越來越統一,各家的產品能力越來越集中。但是特色的功能依然作為區分點,比如EDR能力、容器安全、合規為主或是微隔離為主,都讓客戶根據實際情況進行選擇。從終端安全到CWPP分野,大部分廠商都會將這兩類產品分得很清晰。目前這個領域的兩個廠商已經被收購:以雲內流量可視化著稱的Dome9被checkpoint收購;專注於容器安全的Layered insight被Qualys收購。CWPP全球市場容量目前在7億美金(大約50億人民幣)的范圍,這個市場規模還在以兩位數的增長率不斷擴大。從炒作曲線來看,非常可能迅速地從幻滅期進入爬升期,並且大家對這種產品的接受度逐漸加強,同時也是雲安全建設中首先要考慮的產品之一。
作者:青藤雲安全資訊
鏈接:https://www.jianshu.com/p/7000035755e5
來源:簡書
著作權歸作者所有。商業轉載請聯系作者獲得授權,非商業轉載請注明出處。