什麼是雲端工作負載保護?
雲端工作負載保護是一項流程,旨在確保工作負載能在不同的雲端環境之間安全移動。整個工作負載必須正常運作,好讓雲端式應用程式能正常執行,且不會造成任何安全性風險。正因如此,無論雲端工作負載安全性或適用於應用程式服務的工作負載保護,皆與桌面平台機器上的應用程式安全性截然不同。
越來越多的網路罪犯開始策畫勒索軟體攻擊,並以企業做為攻擊目標。隨著雲端運算基礎架構不斷激增,弱點也層出不窮。而仰賴預防性端點保護措施或限制端點裝置存取權限的安全性策略,皆難以跟上雲端發展的腳步。採用私有雲和公有雲的企業若要抵禦網路攻擊,就應著重防範工作負載層級的傷害,而非單純聚焦於端點層級。
VMware 工作負載安全性概觀
為現代化資料中心提供進階工作負載保護
為什麼雲端工作負載保護如此重要?
舉凡支援應用程式並與之互動的所有流程和資源,皆屬工作負載的範疇。雲端中的工作負載,會包含應用程式、其所產生或輸入其中的資料,以及負責支援使用者和應用程式連線的網路資源。如果工作負載中的任何部分遭到破壞,雲端式應用程式將無法正常運作。
混合式資料中心架構的工作負載安全性是一項複雜無比的作業,原因在於當中涵蓋眾多項目,從實體地端機器、多個公有雲基礎架構即服務 (IaaS) 環境,到容器式應用程式架構,應有盡有。雲端工作負載安全性則更是極其複雜,畢竟,隨著工作負載通過多個廠商和主機,其保護責任也需由各方共同承擔。
使用雲端工作負載保護平台,保護雲端工作負載
根據 Gartner 公司的定義:雲端工作負載保護平台 (CWPP) 是一項技術解決方案,「主要用來保護公有雲基礎架構即服務環境中的伺服器工作負載」。雲端工作負載保護平台可讓多個公有雲供應商和客戶,確保通過自身網域的工作負載能安全無虞。
雲端工作負載保護平台會透過兩種方式保護工作負載:微分段和裸機虛擬化管理程序。
微分段:確保工作負載受到保護的其中一個方式,就是實作名為「微分段」的網路安全性技術。有了微分段,安全性架構設計師就能將資料中心劃分為不同的安全性分段,最多可細分至個別工作負載層級,然後著手定義每個分段安全性控管措施。網路虛擬化技術可用來取代實體防火牆,並讓微分段定義彈性的安全性原則,藉此隔離和保護個別工作負載。端點保護的用意在於防範威脅入侵環境,相較之下,微分段則能預防惡意軟體在環境中的不同伺服器之間流竄。
裸機虛擬化管理程序:裸機虛擬化管理程序可提供另一層的工作負載保護。虛擬化管理程序是一種虛擬化軟體,可將電腦的軟硬體劃分開來,以支援虛擬機的建立和管理。裸機虛擬化管理程序會直接安裝在實體機器的硬體上,並位於硬體和作業系統之間。由於虛擬化管理程序會建立相互隔離的虛擬機,如果其中一個虛擬機發生問題或遭受攻擊,問題僅限發生在該伺服器內,也就是其他虛擬機上的工作負載都不會受到影響。
有些雲端工作負載保護平台解決方案,可支援啟用虛擬化管理程序的安全性層級,能專門用來保護雲端工作負載。
工作負載保護和應用程式安全性有何不同?
應用程式安全性是指將應用程式部署在桌面平台本機上,並讓每個使用者存取應用程式的個別執行實例。桌面平台上的應用程式只會存在一種安全性漏洞,也就是位於應用程式程式碼內的弱點,而除此之外的其他環境都可予以忽略。過去,IT 部門可透過保護桌面平台和防範桌面平台遭受威脅等方式,確保應用程式安全無虞。
雲端式應用程式則需採取不同類型的應用程式安全性做法,原因在於,使用者和應用程式之間的抽象化作業有機會衍生更多弱點,如果 IT 部門並未使用公有雲控管部分環境,情況更是雪上加霜。如果工作負載中有任何不能順利運作的部分,雲端式應用程式將無法正常執行;有鑑於此,企業必須保護和監控工作負載中的每個部分,而非單純聚焦於應用程式本身。
工作負載保護的優勢
雲端式應用程式所面臨的挑戰,在於工作負載可能會在不同環境之間移動,而這些環境皆隸屬並受到不同的廠商和技術保護。雲端工作負載保護平台可提供跨越多個環境的工作負載保護機制。只要透過雲端工作負載保護平台實作工作負載保護,即可享有眾多優勢:
工作負載行為監控:工作負載行為監控為雲端工作負載保護的重要作業之一。雲端工作負載保護平台能透過工作負載監控,推動工作負載安全性的兩大重要層面:偵測與回應。雲端工作負載保護平台可藉由監控工作負載行為,偵測發生在任何地點的入侵事件,並發出警示。
工作負載設定及其能見度:掌握個別工作負載中的情況,以及透過設定工作負載來管理弱點,為工作負載保護中相當重要的層面。
整合式日誌記錄管理和監控:如果工作負載中的每個部分皆採用不同安全性技術,監控所有部分勢必會耗用大量時間。雲端工作負載保護平台能提供單一介面,讓每個環境中的每個工作負載情況一覽無遺。
系統強化和弱點管理:雲端工作負載保護平台可識別多餘的應用程式、權限、程式、帳戶、功能、程式碼,以及可能造成安全性風險的其他項目,協助您消弭潛在的攻擊媒介。
記憶體保護:記憶體保護為新興的安全性控管措施,僅限少數雲端工作負載保護平台提供,旨在反制駭客開發新的技巧來攻擊記憶體內的弱點,以及輕鬆略過傳統安全性方法等行為。
最新威脅情報:部分雲端工作負載保護平台會共用旗下客群的威脅情報,以提供預警系統,繼而防範新的威脅。
隨著安全性態勢不斷進化,大型安全性系統已無法為使用雲端建構部分運算基礎架構的組織提供保障。正因如此,企業應著手規劃跨越多個雲端環境的工作負載保護機制。雲端工作負載保護平台能提供涵蓋多個環境的能見度,同時透過單一儀錶板整合安全性警示,並據此採取行動。
