CWPP
CWPP,Cloud Workload Protection Platform,云工作负载保护平台
云工作负载主要就是指虚拟机和容器
Gartner的CWPP能力金子塔模型
Gartner的CWPP能力金子塔模型从最底层(最基础)到最顶层依次为
-
加固、配置与漏洞管理
- 加固:对系统、容器镜像加固,关闭非必要功能、端口和服务,及时补丁
- 配置:服务器配置优化
- 漏洞管理:针对操作系统和服务的漏洞管理
-
基于身份的网络微隔离和可视化
- 前提是识别资产,微隔离是在资产识别基础上手动或自动进行流量的隔离(东西向流量隔离),通常使用内置的防火墙
-
系统完整性保护
- 保护系统文件完整性
-
应用控制/白名单
- 进行白名单控制
-
漏洞利用预防/内存保护
-
EDR服务器工作负载行为检测、威胁检测与响应
-
带漏洞屏障的HIPS
-
防病毒/防恶意扫描
技术原理
相比于终端侧的EDR产品,CWPP使用非常轻量级的agent代理,这是由于容器本身轻量级等特性决定的即使是安全设备也得是轻量级的。
那么这个agent应该运行在哪个位置呢?可能是调查的不充分,目前一些博客和文档没有说明具体agent要在哪里执行,不过实际操作起来应该比较好判断,购买产品之后就有说明书了。
这里猜测一下,分两种情况。如果检测保护对象是虚拟机,比如检测虚拟机日志,那么这个agent应该是运行在虚拟机内部的,因为虚拟机和主机中间还有一层hypervisor,语义鸿沟比较大。如果检测保护对象是容器(轻量级,并且可能随时停起等),agent应该是运行在宿主机上了,因为容器共享宿主机内核,容器内的文件最终也就是宿主机上某个目录下的文件。
深信服家的cwpp图形界面做的还挺好看
