什么是云工作负载保护?

云工作负载保护是确保跨不同云环境移动的工作负载安全的过程。整个工作负载必须正常运行,才能确保云端应用正常运行,而不会带来任何安全风险。因此,适用于应用服务的云工作负载安全性和工作负载保护与台式机上的应用安全性有着根本的不同。

网络犯罪分子不断增加勒索软件攻击的数量,并以企业为目标。随着云计算基础架构的激增,漏洞也随之增加。依赖预防性端点保护或限制对端点设备访问的安全战略忽略了云中发生的情况。为了防御网络攻击,使用私有云或公有云的企业需要致力于在工作负载级别实施保护,而不是只在端点中实施保护。

VMware 工作负载安全性概述

为现代数据中心提供高级工作负载保护

为什么云工作负载保护很重要?

工作负载由所有为应用以及与应用的交互提供支持的流程和资源组成。在云中,工作负载包括应用、应用生成或输入到应用的数据,以及支持用户和应用之间连接的网络资源。如果工作负载的任何部分受到损害,云端应用将无法正常运行。

在混合数据中心体系架构中,工作负载安全性尤其复杂,这些体系架构采用诸多内容,从物理计算机、本地部署计算机到多个公有云基础架构即服务 (IaaS) 环境,再到基于容器的应用体系架构。云工作负载安全性特别复杂,因为当工作负载在多个供应商和主机之间传递时,必须分担保护工作负载的责任。

使用 CWPP 保护云工作负载

Gartner 将云工作负载保护平台 (CWPP) 定义为“主要用于保护公有云基础架构即服务环境中的服务器工作负载”的技术解决方案。CWPP 允许多个公有云提供商和客户确保工作负载在传递至其领域时保持安全。

使用 CWPP 保护工作负载有两种主要方法:微分段和裸机 Hypervisor。

微分段:确保工作负载受到保护的一种方法是实施一项称为微分段的网络安全性技术。借助微分段,安全架构师将数据中心划分为不同的安全分段,直至单个工作负载级别,然后为每个分段定义安全控制措施。网络虚拟化技术取代了物理防火墙,并允许微分段定义灵活的安全策略,以隔离和保护各个工作负载。端点保护旨在防止威胁进入环境,而微分段可防止恶意软件在环境中的服务器之间迁移。

裸机 Hypervisor:裸机 Hypervisor 可为工作负载提供额外的保护。Hypervisor 是一种虚拟化软件,通过将计算机的软件与硬件隔离来支持虚拟机的创建和管理。裸机 Hypervisor 直接安装在物理计算机的硬件上,位于硬件和操作系统之间。由于 Hypervisor 会创建彼此隔离的虚拟机,因此,如果一台虚拟机出现问题或受到攻击,则问题将隔离到该服务器,这意味着其他虚拟机上的工作负载不受影响。

一些 CWPP 解决方案支持启用了 Hypervisor 的安全层,这些安全层专为保护云工作负载而设计。

工作负载保护与应用安全性有何不同?

应用安全性是指在桌面上本地部署应用,每个应用实例由一位用户访问。桌面上的应用中唯一的安全漏洞是存在于应用代码中的漏洞 - 可以忽略环境的其余部分。以往,IT 部门可通过保护桌面并防止威胁入侵桌面来确保应用的安全。

云端应用需要不同形式的应用安全性。用户和应用之间的抽象化为漏洞创造了更多机会,尤其是在企业无法通过使用公有云来控制部分环境的情况下。如果不能保证工作负载的所有部分都正常运行,云端应用就无法正常运行,因此企业必须保护和监控工作负载的每个部分,而不仅仅是应用。

工作负载保护的好处

云端应用面临的挑战是,一个工作负载可能会在多个不同的环境中移动,而这些环境由不同的供应商和技术拥有并提供保护。CWPP 可以跨这些环境提供工作负载保护。通过 CWPP 实施工作负载保护有许多好处:

工作负载行为监控:监控工作负载行为是云工作负载保护的重要组成部分。CWPP 通过工作负载监控提供工作负载安全性的两个重要方面:检测和响应。通过监控工作负载行为,CWPP 可以在任何地方检测到正在发生的入侵并发出警示。

能够查看并配置工作负载:了解各个工作负载中发生的情况,并能够配置这些工作负载以管理漏洞,这是工作负载保护的一个重要方面。

整合了日志管理和监控:当工作负载的每个部分都具有与之关联的不同安全技术时,监控所有这些部分可能比较耗时。CWPP 提供了单一窗口,用于显示每个环境中工作负载各部分的情况。

系统强化和漏洞管理:CWPP 可通过识别可能带来安全风险的多余应用、权限、程序、帐户、功能、代码等来帮助您消除潜在的攻击途径。

内存保护:内存保护(仅包含在少数 CWPP 中)是一种新兴的安全控制措施,随着黑客开发新技术来利用内存中的弱点并轻松绕过传统安全方法,这种保护的重要性日益凸显。

最新威胁情报:一些 CWPP 会在其客户群中共享威胁情报,从而为新威胁提供预警系统。

安全形势在不断发展,对于将云作为计算基础架构一部分的企业而言,传统的安全系统已不再能够满足要求。企业需要规划跨多个云环境的工作负载保护。云工作负载保护平台可提供对多个环境的可见性,同时从一个主控面板整合安全警报并采取相应行动。

相关解决方案和产品

VMware Carbon Black Cloud Workload

通过专为现代数据中心构建的工作负载保护功能,减小攻击面并保护关键资产。