企業(yè)應(yīng)如何無縫保護(hù)其云工作負(fù)載？

作者：云聯(lián)壹云 2022-04-14 07:19:04

安全

云安全

云計算 本文將研究為什么 CWPP 是任何云安全策略中的關(guān)鍵要素，解釋 CWPP 的工作原理，確定可以使用 CWPP 保護(hù)的工作負(fù)載示例，并討論 CWPP 上下文中自動化的重要性。

成都創(chuàng)新互聯(lián)是一家集網(wǎng)站建設(shè),橋東企業(yè)網(wǎng)站建設(shè),橋東品牌網(wǎng)站建設(shè),網(wǎng)站定制,橋東網(wǎng)站建設(shè)報價,網(wǎng)絡(luò)營銷,網(wǎng)絡(luò)優(yōu)化,橋東網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)，幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強(qiáng)企業(yè)競爭力?？沙浞譂M足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時我們時刻保持專業(yè)、時尚、前沿，時刻以成就客戶成長自我，堅持不斷學(xué)習(xí)、思考、沉淀、凈化自己，讓我們?yōu)楦嗟钠髽I(yè)打造出實用型網(wǎng)站。

企業(yè)為了保護(hù)自己的云環(huán)境，可能已經(jīng)采取了保護(hù)云身份，強(qiáng)化云安全態(tài)勢，配置強(qiáng)大的云訪問控制等措施，然而，除此之外還需要做一件事：云工作負(fù)載保護(hù)平臺，即CWPP。

云工作負(fù)載保護(hù)平臺會保護(hù)在企業(yè)的云上運(yùn)行的工作負(fù)載，這些工作負(fù)載與構(gòu)成云環(huán)境基礎(chǔ)的基礎(chǔ)設(shè)施、用戶身份和配置不同。

本文將研究為什么 CWPP 是任何云安全策略中的關(guān)鍵要素，解釋 CWPP 的工作原理，確定可以使用 CWPP 保護(hù)的工作負(fù)載示例，并討論 CWPP 上下文中自動化的重要性。

1. 什么是云工作負(fù)載保護(hù)？

云工作負(fù)載保護(hù)是保護(hù)部署在云中的工作負(fù)載的做法。換句話說，云工作負(fù)載保護(hù)可以減輕存在于云環(huán)境工作負(fù)載級別的風(fēng)險，而不是基礎(chǔ)架構(gòu)或配置級別。

所涉及的工作負(fù)載可能是企業(yè)在云中托管的軟件、數(shù)據(jù)或它們的組合。例如，云工作負(fù)載保護(hù)可以應(yīng)用于在基于云的 VM 實例中運(yùn)行的操作系統(tǒng)和應(yīng)用程序，或者它可以保護(hù)對象存儲桶內(nèi)的數(shù)據(jù)。

2. 什么是 CWPP？

提供云工作負(fù)載保護(hù)的工具通常稱為云工作負(fù)載保護(hù)平臺或 CWPP。保護(hù)云工作負(fù)載很重要，因為大多數(shù)其他類型的云安全實踐并未解決工作負(fù)載風(fēng)險。

云安全狀況管理 (CSPM) 會提醒企業(yè)管理者云基礎(chǔ)設(shè)施配置中可能產(chǎn)生安全問題的因素，例如提供對敏感數(shù)據(jù)的公共訪問權(quán)限的 IAM 策略。但 CSPM 不涵蓋工作負(fù)載中的配置風(fēng)險，例如數(shù)據(jù)在應(yīng)用程序中移動時缺乏加密。

同樣，企業(yè)可以跟蹤云指標(biāo)和日志以識別潛在的安全威脅。但這些數(shù)據(jù)主要來自云 IaaS 提供商，而不是單個應(yīng)用程序，因此它幾乎無法揭示特定于企業(yè)在云中部署的應(yīng)用程序或數(shù)據(jù)的安全風(fēng)險。

CWPP 解決方案通過確保企業(yè)可以保護(hù)實際運(yùn)行在其云上的代碼和數(shù)據(jù)來填補(bǔ)這些空白，而不僅僅是底層云環(huán)境。

值得注意的是，云工作負(fù)載保護(hù)平臺可幫助企業(yè)保護(hù)跨多個云的工作負(fù)載。由于 CWPP 專注于工作負(fù)載而不是托管它的云，因此企業(yè)可以使用云工作負(fù)載保護(hù)來識別任何類型的基于云的工作負(fù)載中的安全風(fēng)險，即使它跨云移動也是如此。

3. 工作中的 CWPP示例

要進(jìn)一步對云工作負(fù)載保護(hù)置于環(huán)境中，需要考慮它在以下領(lǐng)域中的應(yīng)用方式。

(1) 容器

當(dāng)使用容器部署云工作負(fù)載時，您必須解決特殊的安全挑戰(zhàn)。例如，需要確保容器不能在特權(quán)模式下運(yùn)行。還必須掃描容器映像以查找惡意軟件。

容器的云工作負(fù)載保護(hù)可確保企業(yè)擁有保護(hù)容器化工作負(fù)載所需的特定流程，獨立于企業(yè)應(yīng)用于云環(huán)境的其他安全流程。

(2) Kubernetes 安全

Kubernetes 也提出了只能在工作負(fù)載級別解決的各種特殊安全挑戰(zhàn)。例如，企業(yè)必須確保正確配置 Kubernetes RBAC 策略和安全上下文。還應(yīng)該使用 Kubernetes 審計日志來監(jiān)控 Kubernetes 環(huán)境中出現(xiàn)的潛在安全風(fēng)險。

(3) 虛擬機(jī)安全

即使企業(yè)的云虛擬機(jī)服務(wù)配置正確，安全問題也可能潛伏在虛擬機(jī)中。企業(yè)使用的映像可能包含惡意軟件或僅包含導(dǎo)致安全狀況較弱的配置(例如缺少內(nèi)核強(qiáng)化框架)。云工作負(fù)載保護(hù)會提醒管理者注意這些風(fēng)險。

(4) 漏洞掃描

漏洞可能出現(xiàn)在云環(huán)境中的任何地方——應(yīng)用程序內(nèi)、操作系統(tǒng)內(nèi)、容器映像內(nèi)等等。

云工作負(fù)載保護(hù)允許企業(yè)掃描工作負(fù)載所有組件和層的漏洞。將其視為在工作負(fù)載級別進(jìn)行漏洞發(fā)現(xiàn)和管理的一站式采購，而不管運(yùn)行的工作負(fù)載是什么，或者托管它們的云是什么。

(5) 無服務(wù)器安全

無服務(wù)器功能從底層服務(wù)器環(huán)境中抽象出應(yīng)用程序，從而減少了潛在的攻擊面。但這些功能本身仍可能包含漏洞。它們也可以以增加風(fēng)險的方式進(jìn)行配置。云工作負(fù)載保護(hù)會自動發(fā)現(xiàn)無服務(wù)器功能中的此類問題。

(6) 應(yīng)用程序安全

基于云的應(yīng)用程序有多種形式，但它們都可能包含安全風(fēng)險——例如惡意軟件、易受攻擊的軟件組件以及缺乏加密等安全控制。通過掃描應(yīng)用程序中的此類風(fēng)險，云工作負(fù)載保護(hù)有助于確保整個云環(huán)境中的應(yīng)用程序安全。

4. 選擇云工作負(fù)載保護(hù)平臺

在將云工作負(fù)載保護(hù)集成到云安全策略中時，應(yīng)努力實施以下解決方案：

• 完全自動化，因為企業(yè)無法手動管理工作負(fù)載級別的安全風(fēng)險。并且使企業(yè)可以部署以保護(hù)任何云上的任何工作負(fù)載。
• 解決方案應(yīng)滿足允許任何人——不僅是網(wǎng)絡(luò)安全專家，還包括企業(yè)的任何成員——定義工作負(fù)載必須滿足的安全規(guī)則。并自動掃描云工作負(fù)載，以發(fā)現(xiàn)與這些規(guī)則的偏差。

從而達(dá)到無論云環(huán)境如何配置或在其上運(yùn)行什么，都能實現(xiàn)完全安全和自動化的云工作負(fù)載保護(hù)。

網(wǎng)頁名稱：企業(yè)應(yīng)如何無縫保護(hù)其云工作負(fù)載？
本文來源：http://m.fisionsoft.com.cn/article/cdjcccg.html