什么是云工作负载保护？

云工作负载保护是确保跨不同云环境移动的工作负载安全的过程。整个工作负载必须正常运行，基于云的应用程序才能正常工作，而不会引入任何安全风险。因此，应用服务的云工作负载安全和工作负载保护与桌面计算机上的应用安全有着根本的不同。

网络犯罪分子正在增加勒索软件攻击和针对企业的数量。随着云计算基础设施的激增，漏洞也在增加。依赖于预防性端点保护或限制对端点设备的访问的安全策略缺少云中正在发生的事情。为了保护自己免受网络攻击，使用私有云和公共云的企业需要专注于保护自己免受工作负载级别的伤害，而不仅仅是端点。

为什么云工作负载保护很重要？

工作负载由支持应用程序及其交互的所有进程和资源组成。在云中，工作负载包括应用程序、由应用程序生成或输入到应用程序中的数据，以及支持用户与应用程序之间连接的网络资源。如果工作负载的任何部分受到损害，基于云的应用程序将无法正常运行。

工作负载安全在混合数据中心架构中尤其复杂，该架构采用从物理、本地机器到多个公共云基础设施即服务 (IaaS) 环境到基于容器的应用程序架构的所有内容。云工作负载安全特别复杂，因为随着工作负载在多个供应商和主机之间传递，保护工作负载的责任必须分担。

使用 CWPP 的云工作负载保护

Gartner 将云工作负载保护平台 (CWPP) 定义为“主要用于保护公共云基础设施即服务环境中的服务器工作负载”的技术解决方案。CWPP 允许多个公共云提供商和客户确保工作负载在通过其域时保持安全。

使用 CWPP 保护工作负载的主要方法有两种：微分段和裸机管理程序。

• 微分段：确保工作负载受到保护的一种方法是实施 称为微分段的网络安全技术。通过微分段，安全架构师将数据中心划分为不同的安全段，直至单个工作负载级别，然后为每个段定义安全控制。网络虚拟化技术取代了物理防火墙，并允许微分段来定义灵活的安全策略，以隔离和保护各个工作负载。虽然端点保护旨在防止威胁进入环境，但微分段可防止恶意软件在环境中从服务器迁移到服务器。
• 裸机管理程序：裸机管理程序可以提供额外的工作负载保护。管理程序是一种虚拟化软件，它通过将计算机的软件与硬件分离来支持虚拟机的创建和管理。裸机管理程序直接安装在物理机的硬件上，位于硬件和操作系统之间。因为 管理程序 创建的虚拟机相互隔离，所以如果一个虚拟机出现问题或受到攻击，问题就会与该服务器隔离，这意味着其他虚拟机上的工作负载不会受到影响。

一些 CWPP 解决方案支持启用虚拟机管理程序的安全层，这些安全层专为保护云工作负载而设计。

工作负载保护与应用程序安全有何不同？

应用程序安全性是指将应用程序本地部署在桌面上，一个用户访问应用程序的每个实例。桌面应用程序中唯一的安全漏洞是应用程序代码中的漏洞——环境的其余部分可以忽略不计。从历史上看，IT 组织可以通过保护桌面并防止威胁到达它来确保应用程序的安全性。

基于云的应用程序需要不同形式的应用程序安全性。用户和应用程序之间的抽象为漏洞创造了更多机会，特别是如果组织不通过使用公共云来控制部分环境。由于基于云的应用程序在工作负载的所有部分都无法正常运行的情况下无法正常工作，因此企业必须保护和监控工作负载的每个部分，而不仅仅是应用程序。

工作负载保护的好处

基于云的应用程序的挑战在于，工作负载可能会在几个不同的环境中移动，所有这些环境都由不同的供应商和技术拥有和保护。CWPP 可以跨这些环境提供工作负载保护。通过 CWPP 实施工作负载保护有很多好处：

• 工作负载行为监控：监控工作负载行为是云工作负载保护的重要组成部分。CWPP 通过工作负载监控提供工作负载安全的两个重要方面：检测和响应。通过监控工作负载行为，CWPP 可以在任何地方检测到入侵并发出警报。
• 配置工作负载的可见性和能力：查看单个工作负载中发生的情况并能够配置这些工作负载以管理漏洞是工作负载保护的一个重要方面。
• 综合日志管理 和监控：当工作负载的每个部分都有与之关联的不同安全技术时，监控所有部分可能会很耗时。CWPP 提供了一个单一窗格，显示每个环境中工作负载的每个部分正在发生什么。
• 系统强化和漏洞管理：CWPP 可能能够通过识别可能造成安全风险的多余应用程序、权限、程序、帐户、功能、代码等来帮助您消除潜在的攻击媒介。
• 内存保护：内存保护，仅包含在少数 CWPP 中，是一种新兴的安全控制，随着黑客开发新技术来利用内存中的弱点并轻松绕过传统的安全方法，它变得越来越重要。
• 最新的威胁情报：一些 CWPP 在其客户群中共享 威胁情报 ，为新威胁提供预警系统。

安全形势在不断发展，对于将云作为其计算基础设施一部分的组织来说，传统的安全系统已经不够用了。企业需要规划跨多个云环境的工作负载保护。云工作负载保护平台可以提供对多个环境的可见性，同时从一个仪表板整合和处理安全警报。