不久前，當安全管理員部署應用程序時，他們可以相信有些東西會保持靜態(tài)。例如，部署到本地物理主機上的應用程序?qū)⑹窍嗤臓顟B(tài)—;相同的主機、相同的網(wǎng)絡、相同的配置、相同的技術基礎—;它在兩周后被保留。

然而，在現(xiàn)代生態(tài)系統(tǒng)中，這是例外而不是規(guī)則。一個工作負載今天可能被部署到一個VM或私有云，但是明天卻發(fā)現(xiàn)它在公共云環(huán)境中的Docker容器上運行。

從安全角度來看，這是一個重大挑戰(zhàn)。例如，如果假設在部署工作負載的環(huán)境中通過網(wǎng)絡入侵檢測系統(tǒng)進行持續(xù)監(jiān)視，那么當它被轉(zhuǎn)移到?jīng)]有部署工作負載的不同環(huán)境中運行時會發(fā)生什么情況？

多云的興起進一步加劇了這種局面?，F(xiàn)在很少有一個組織只使用一個可信的IaaS或PaaS提供商。事實上，只支持一個應用程序可能涉及到兩個或三個（或更多）不同的提供者和環(huán)境。這增加了復雜性，并使得很難確保在正確的位置為正確的工作負載部署正確的控件。

一種新的安全系統(tǒng)正在出現(xiàn)，它有望提供幫助。通過跨多個云提供商統(tǒng)一管理、將控件與工作負載打包并確?？丶O計為云原生，云工作負載保護平臺（CWPPs）是一種安全實現(xiàn)策略，有助于解決這些挑戰(zhàn)。

什么是云工作負載保護平臺？

CWPP一詞由Gartner提出，是指為工作負載的云本地保護而設計的安全策略。要理解這一點，首先從什么是工作負載開始是很重要的。一般來說，工作負載指的是功能或能力的原子單位，以及運行它所需的任何東西—;—;即數(shù)據(jù)、網(wǎng)絡連接等。它是云功能的一個單元。

實際上，工作負載可以是任何東西。一個可能是構(gòu)成面向客戶應用程序一部分的API，另一個可能是處理后端處理的計算組件，而另一個可能是內(nèi)部業(yè)務應用程序的前端。工作負載可以是VM（例如，在傳統(tǒng)的IaaS或私有云中），也可以是容器化的應用程序，即在容器引擎（例如Docker）中運行的應用程序及其支持的中間件。

CWPP背后的想法是提供一種機制，以一致的方式保護這些工作負載。與多種云環(huán)境（包括組織自己的私有云或混合云）配合使用的方式；并且無論周圍發(fā)生了什么，都具有相同的安全屬性和降低風險的值。

CWPP的三大好處

CWPP的含義很明顯，分為三個主要類別。

1.降低復雜度

由于CWPP將安全性針對云原生條件，因此它們在云中提供的保護可能很難使用舊版工具來完成，而且成本更高。許多遺留工具都是圍繞受管端點或物理服務器設計的。它們的設計不一定會考慮虛擬化或容器-而且很少用于無服務器PaaS或充當服務。作為基準，即使在組織無法控制較低技術堆棧級別的容器或VM中運行時，CWPP仍可以提供預期的安全性值。

2.一致性

接下來是一致性。鑒于大多數(shù)組織如何使用云，這一點很重要。例如，從使用角度來看，微服務架構(gòu)導致了更多，更小的工作量；DevOps導致每個單獨工作負載的生命周期縮短，因為根據(jù)發(fā)布節(jié)奏將工作負載拆除并替換為較新的工作負載；多云和混合云導致串聯(lián)使用不同的環(huán)境。除非采取行動防止可見度降低，否則從長遠來看，這些降低了可見度。無論有多少工作負載或它們位于何處，CWPP都能提供更一致的視圖。

3.便攜性

第三個含義是可移植性，這意味著無論工作負載在哪里或是什么，產(chǎn)品都能增強安全性，例如，今天運行在本地hypervisor中的工作負載明天會轉(zhuǎn)移到IaaS提供者，或者今天在專用IaaS中的引擎上運行的容器將在明天轉(zhuǎn)移到AWS Fargate或Azure容器實例中。

CWPP功能和提供者

重要的是要注意，并非所有面向CWPP的產(chǎn)品都能提供每一項好處。恰恰相反：某些系統(tǒng)特定于服務提供商，因此限制了可移植性。有些特定于用法-例如，針對虛擬工作負載而非容器-從而限制了一致性；其他則只關注安全控制的一部分，例如漏洞掃描，加密或配置管理。

鑒于范圍廣泛，因此有許多CWPP產(chǎn)品會根據(jù)其提供的安全性主張及其提供方式而有所不同。云供應商提供了一些工具。例如，微軟的Azure安全中心旨在在多個操作系統(tǒng)之間提供一致的安全管理-包括網(wǎng)絡級可見性，配置評估和威脅防護。還可以使用Amazon Inspector，它可以幫助解決漏洞和配置問題。

其他更廣泛的產(chǎn)品來自成熟且長期存在的安全廠商，例如Palo Alto Networks的Prisma Cloud，該軟件專注于分段工作負載并為容器和虛擬化工作負載提供額外的安全功能。一些CWPP更具體，只關注問題的較小子集，包括Capsule8的攻擊者檢測功能或Anchore的基于容器的漏洞掃描。

當然，這些只是該領域大量供應商和參與者的一個子集。但是，從安全從業(yè)者的角度來看，了解市場的根本變化以及這些變化在我們前進的過程中所暗示的含義是有益的且有價值的。