摘要: 近日,Gartner发布了2017年11大顶级安全技术《Gartner Identifies the Top Technologies for Security in 2017》,排名第一的是Cloud Workload Protection Platform...
近日,Gartner发布了2017年11大顶级安全技术《Gartner Identifies the Top Technologies for Security in 2017》,排名第一的是Cloud Workload Protection Platforms云工作负载保护平台CWPP,作为一个新的安全品类,CWPP凭借什么摘得Gartner顶级安全技术榜首?在本文中笔者将与您一起解读:
Gartner对于CWPP的定义:
Cloud Workload Protection Platforms
Modern data centers support workloads thatrun in physical machines, virtual machines (VMs), containers, private cloudinfrastructure and almost always include some workloads running in one or morepublic cloud infrastructure as a service (IaaS) providers. Hybrid cloudworkload protection platforms (CWPP) provide information security leaders withan integrated way to protect these workloads using a single management consoleand a single way to express security policy, regardless of where the workloadruns.
CWPP云工作负载保护平台
现代数据中心支持运行在物理设备、虚拟机(VM)、容器以及私有云基础架构中的各种工作负载,并且几乎总是涉及一些在一个或多个公有云基础设施即服务(IaaS)提供商中运行的工作负载。云工作负载保护平台(CWPP)市场定义为基于主机的解决方案,主要满足现代混合数据中心架构中,服务器工作负载的保护要求。它为信息安全领导者提供了一种集成的方式,通过使用单个管理控制台和单一方式表达安全策略来保护这些工作负载,而不用考虑工作负载运行的位置。
CWPP在实际场景中应用与实践
Cloud WorkloadProtection Platforms CWPP,从字面上翻译是云工作负载保护平台,从字面上翻译过于拗口,可以理解成为基于代理(Agent)的底层技术方案,和传统部署在网络边界上的安全产品不一样,CWPP部署在操作系统层,因此可以横跨物理机、公有云、私有云、混合云等多种数据中心环境,部署方式更加灵活、防护层面更加丰富。
CWPP的能力分为基础支撑、核心能力、扩展能力三大类。 如下图CWPP能力层次图:
下面我们结合椒图科技旗下的CWPP产品【云锁】,在实际使用场景中,解读CWPP各项指标。云锁采用服务端agent+远程控制台的部署模式,agent支持云、物理、混合环境部署,能有效安全加固服务器、抵御黑客攻击和恶意代码。
Core Capabilities 核心能力:
Congurationand vulnerability management 配置和漏洞管理
CWPP产品需要具备两个层面的能力:1,配置,即服务器优化,通过对操作系统进行合理配置,提升操作系统的安全性和抗攻击能力。
2,漏洞管理,分为操作系统漏洞管理和应用漏洞管理。目前网络攻击主要是通过web服务器或者web应用漏洞发起,因此CWPP产品要能提供标准化、同时支持制定自定义的web应用漏洞防护策略,云锁的实现方式是在web应用(如IIS、apache、nginx、tomcat等)中插入过滤插件,通过匹配安全规则来防御黑客攻击。
CWPP产品需要识别并可修复操作系统自身漏洞
Networksegmentation, isolation and traffic visibility 网络隔离与流可视
这项指标类似于gartner11项顶尖安全技术中的Microsegmentation微隔离,要求CWPP产品首先能图形化管理用户的主机业务资产,并且可以跨物理、虚拟架构、网络定于基于角色的访问策略(微隔离);对于主机之间的访问关系,可以图形化的展示和控制(流可视化)。
上图为CWPP产品云锁的边界管理功能,可以图形化的展示用户的主机资产,上图的方框即为用户自定义的微隔离,微隔离可以跨物理、虚拟、网段建立基于角色的访问规则。主机之间的箭头连接线即表示相互访问关系(流可视化),点击连接线后还可以发现或者控制主机之间的访问关系,如下图:
Systemintegrity measurement, attestation and monitoring 系统完整性检测、认证和监测
CWPP产品可以保护系统文件或者指定目录、文件不被恶意修改,提供监控模式和防护模式。
Application control应用防护
CWPP产品需要能识别到主机上运行的应用,并对不同的应用提供相应的防护策略,如云锁对web应用提供waf防护,对于sshd、remotedesktop提供防暴力破解防护等。
Extended Capabilities 扩展能力:
Endpoint detection and response for servers 行为监测与响应
CWPP需要支持主机端进程与脚本的异常行文监测与响应,以云锁为例,是通过内核探针、RASP(应用运行实时防护)探针去监测主机端的异常行为,主要是为了防御安全规则外的新型、未知攻击。
云锁的RASP探针和部署在web中间件的waf探针串行,RASP探针会对应用系统的流量、上下文、行为进行持续监控,所以即使有未知的恶意流量穿过了waf探针的检测,在流量落地执行时,RASP仍会对其的行为进行检测或拦截。这种新型的安全技术可以有效的检测与防御未知的黑客攻击,其防护SQL注入、struts2漏洞攻击、反序列化、任意文件读写的能力比传统的waf方式更强、误报率更低。
Host intrusionprevention systems (HIPSs) and vulnerability shielding HIPS和脆弱性防护
CWPP产品需要具备HIPS的功能,要求能准确识别和阻断网络攻击,在前面核心能力中提到的对web应用防护、RASP防护等流量检测技术已经包含在其中,就不再赘述。
Anti-malware scanning 反恶意软件扫描
CWPP产品要求具备防端口扫描功能,防止黑客通过端口扫描工具获取服务器的敏感信息
Capabilities that augment/verify foundational operational controls 增强及验证基础运维能力:
Multifactor authentication for administrators and basic privileged account management 多因素验证管理员及基础的特权账户管理
这里理解为,CWPP产品要求不能单纯依靠服务器账号、密码来验证管理员,而需要引入账号密码外的第二套验证机制。比如云锁的登陆防护功能,可以限制登陆服务的用户名、IP范围、登陆时间、登陆服务器使用的PC名称,如果不满足限制条件,即使拿到服务器的管理员账号密码也无法登陆服务器。
Log management and monitoring日志管理和监测
要求CWPP产品能提供完整的日志,同时当安全事件发生后,CWPP产品需要关联相关日志最终形成事件IOC,帮助用户回溯攻击过程,快速定位风险点。
结束语
在Gartner2017年11大顶级安全技术中,有多项涉及云/虚拟化安全,这标志着传统的安全硬件时代即将结束,新形态的安全方案要能同时兼容物理、虚拟化环境,CWPP是首个在云环境下定义的完整方案,让用户认识到在主机层的安全防护不仅仅是杀毒,而是扩展到对操作系统及应用的立体防护,适应了行业的发展方向和用户需求。
Gartner2017年11大顶级安全技术:
01. Cloud Workload Protection Platforms云工作负载保护平台CWPP
02. Remote Browser远程浏览器
03. Deception欺骗技术
04. Endpoint Detection and Response 终端检测与相应EDR
05. Network Traffic Analysis网络流量分析NTA
06. Managed Detection and Response可管理检测与响应MDR
07. Microsegmentation微隔离
08. Software-Defined Perimeters软件定义边界SDP
09. Cloud Access Security Brokers云访问安全代理CASB
10. OSS Security Scanningand Software Composition Analysis for DevSecOps面向DevSecOps的运营支撑系统(OSS)安全扫描与软件成分分析
11. Container Security容器安全