科普｜大家都在说的CWPP，到底是什么屁屁？

今天我们扯扯云安全领域超火的概念：CWPP

如果说起防火墙、IPS、WAF，大家都很熟悉，这些产品通常被用于边界防护，相当于看大门的。

那么大门里面的，该怎么保护呢？

曾经，有种主机防火墙或者主机安全的软件，装在服务器里，负责系统加固、防入侵、漏洞检测、补丁管理等等。

可是到了云时代，“工作负载”已经不仅仅是服务器，还有虚拟机、容器甚至还有基于Serverless部署的业务，部署的模式还分“公私混托”，五花八门异常复杂。

这时，传统主机防护的玩法，就有点力不从心了。

于是乎，Gartner就提出了CWPP，Cloud Workload Protection Platform，直译过来就是云工作负载保护平台。

说白了，就是用来保护云上工作负载的安全全家桶。而所谓工作负载，就是承载计算的各种类型节点（物理机、虚拟机、容器、无服务器）。

CWPP对云上的工作负载，提供多个维度、全方位的保护能力，Gartner把这种能力分成了8大类别，从上到下，重要程度逐层递增。

CWPP主要守护范围的是云计算的IaaS层，而从目前国内市场看，IaaS产品是最成熟同时应用最广泛的，“公私混托”各种模式都在成规模部署。

因为IaaS火，保护IaaS的CWPP自然就火了，成为云安全大框架下最热门的技术范畴。

可是我们反观国内的CWPP市场，真正能打的产品却不多。把CWPP干成“CW屁屁”的主要原因，有这么几个方面：

①工作负载涉及的保护层面太多，做成防护一两个层面的单体产品容易，做成面面俱到的“防护平台”就复杂多了。

②与边界防护产品“靠边站”不同，工作负载保护产品存在一定的“侵入性”（比如安装agent），如何保障防护效果又不增加额外系统开销，这很考验技术积累。

③不靠谱的主机防护软件，不仅增加服务器负担，甚至自身还存在漏洞，成为黑客攻击的目标。

靠谱的CWPP产品在哪里？

有这样一家安全企业，他们在国内最早引入CWPP理念，这就是「安全狗」

早在2015年，安全狗在创始人陈奋的带领下，就开始进行云工作负载安全方面的探索，这个产品方向，与后来Gartner在2017年提出的CWPP概念不谋而合。

五年潜心研发，云计算在国内日渐成熟，安全狗的CWPP平台也瓜熟蒂落。

五年磨一剑，安全狗的CWPP长啥样？

安全狗CWPP解决方案矩阵由4大产品组成：➊云眼➋云甲➌云隙➍云网，涵盖主机安全、容器安全、微隔离和补丁管理。

➊云眼，主攻云主机入侵检测和安全管理。采用了云（管理平台）+端（云主机agent）的方式部署。

每台云主机都会部署轻量级agent，配合云端管理平台，形成预测-防御-检测-响应闭环，解决私有云/混合云中云主机的安全监测和防护问题。

➋云甲，主攻容器安全管理。覆盖容器从创建到释放的全生命周期安全，是业内首创的容器安全解决方案。

云甲采用主机安全agent+安全容器方式部署，既能全面保护容器及容器内应用安全，又可以与主流的容器编排工具相结合。

➌云隙，主攻微隔离和云内流量可视化。提供云数据中心内部细粒度的安全管理。

云隙可以对云内东西流量进行精确画像：不同租户之间、不同物理机之间、不同虚拟机之间，并部署防护策略、控制业务流量访问。

➍云网，主攻漏洞补丁管理，对云主机系统漏洞和配置缺陷进行检测和修复。

云网支持“修补”主流的服务器操作系统（win server/linux）、数据库（商业/开源）、web容器，集网络漏洞扫描、缺陷识别、补丁部署于一体。

云眼+云甲+云隙+云网四大产品线组成的安全矩阵，几乎涵盖了Gartner CWPP概念的所有保护范畴，对云上工作负载提供一站式保护。

4大产品采用单个轻量agent即可实现功能集合，可选模块开启服务，轻量agent降低了对系统的侵入性，系统开销极小。

多个产品功能模块联动实现立体防御，并基于安全狗云端海量数据+本地端点数据，进行大数据对比分析，精准识别威胁时间处理获取未知威胁。

实际应用中，可以横跨物理机、公有云、私有云、混合云、容器的多种环境灵活部署，并针对不同的基础架构和业务变化，实现自适应安全。

在以下些“名场面”，我们经常可以看到安全狗“出没”。

CWPP的实战效果怎么样？

先看成功案例。对于toB型的产品来说，重大案例是最好的战斗力证明。目前安全狗已累计保护500万+台服务器/云主机。

2020年，安全狗成功中标中国移动主机安全集采项目（1期+2期），总计规模25万点，同时，安全狗为中国建设银行提供CWPP解决方案，进行全行（云）主机安全覆盖。

同时，在历年大型安全攻防演练中，安全狗CWPP方案是多家企业单位的防护神器。

再看权威机构证言。作为CWPP安全矩阵中的核心产品，安全狗“云眼”EDR成功入选2020 IDC报告:《IDC MarketScape: 中国终端安全检测与响应市场2020，厂商评估》

在所有厂商中，安全狗是唯一以Server EDR产品入选的，而业界其他产品，大多是作为终端防护，足见安全狗在服务器安全防护领域的深厚积累。

CWPP未来的前景如何？

正如安全狗创始人陈奋所说：

云工作负载安全就是云上安全的心脏，也是保护云上资产的最后一道防线。

踩准了技术趋势的安全狗，正在这条道路上勇往直前！

-END-