云工作负载保护是确保跨不同云环境移动的工作负载安全的过程。整个工作负载必须正常运行，才能确保云端应用正常运行，而不会带来任何安全风险。因此，适用于应用服务的云工作负载安全性和工作负载保护与台式机上的应用安全性有着根本的不同。

网络犯罪分子不断增加勒索软件攻击的数量，并以企业为目标。随着云计算基础架构的激增，漏洞也随之增加。依赖预防性端点保护或限制对端点设备访问的安全战略忽略了云中发生的情况。为了防御网络攻击，使用私有云或公有云的企业需要致力于在工作负载级别实施保护，而不是只在端点中实施保护。

工作负载由所有为应用以及与应用的交互提供支持的流程和资源组成。在云中，工作负载包括应用、应用生成或输入到应用的数据，以及支持用户和应用之间连接的网络资源。如果工作负载的任何部分受到损害，云端应用将无法正常运行。

在混合数据中心体系架构中，工作负载安全性尤其复杂，这些体系架构采用诸多内容，从物理计算机、本地部署计算机到多个公有云基础架构即服务 (IaaS) 环境，再到基于容器的应用体系架构。云工作负载安全性特别复杂，因为当工作负载在多个供应商和主机之间传递时，必须分担保护工作负载的责任。

Gartner 将云工作负载保护平台 (CWPP) 定义为“主要用于保护公有云基础架构即服务环境中的服务器工作负载”的技术解决方案。CWPP 允许多个公有云提供商和客户确保工作负载在传递至其领域时保持安全。

使用 CWPP 保护工作负载有两种主要方法：微分段和裸机 Hypervisor。

微分段：确保工作负载受到保护的一种方法是实施一项称为微分段的网络安全性技术。借助微分段，安全架构师将数据中心划分为不同的安全分段，直至单个工作负载级别，然后为每个分段定义安全控制措施。网络虚拟化技术取代了物理防火墙，并允许微分段定义灵活的安全策略，以隔离和保护各个工作负载。端点保护旨在防止威胁进入环境，而微分段可防止恶意软件在环境中的服务器之间迁移。

裸机 Hypervisor：裸机 Hypervisor 可为工作负载提供额外的保护。Hypervisor 是一种虚拟化软件，通过将计算机的软件与硬件隔离来支持虚拟机的创建和管理。裸机 Hypervisor 直接安装在物理计算机的硬件上，位于硬件和操作系统之间。由于 Hypervisor 会创建彼此隔离的虚拟机，因此，如果一台虚拟机出现问题或受到攻击，则问题将隔离到该服务器，这意味着其他虚拟机上的工作负载不受影响。

一些 CWPP 解决方案支持启用了 Hypervisor 的安全层，这些安全层专为保护云工作负载而设计。