-简介-
云工作保护平台(Cloud Workload Protection Platform)简称CWPP。自2016年到2019年连续四年Gartner的市场指南(Market Guide)分析报告中可以看出这四年里面的CWPP产品的定义、基本产品特性以及厂商都发生了很大的变化,同时云安全炒作曲线(Hype Cycle)也完成了从膨胀期到幻灭期的周期。在每年的云安全最酷厂商(Cool Vendor)中也不断有CWPP厂商的加入,让这个领域的厂商越来越多。
-正文-
2016年,CWPP的定义是基于主机安全的解决方案。在现代混合的数据中心架构中,主要的保护目标是服务器的工作负载。这种架构是由本地服务器、虚拟服务器以及不同公有云环境组成。CWPP与普通终端管理平台(EPP)的分野就此开始。CWPP主要解决的问题在于数据中心维度,跟EPP解决问题的PC维度是不一样的。CWPP强调了混合数据中心架构需要统一的管理、Linux系统的重点支持、杀毒软件的无效、定价灵活性以及跟云平台的对接和API与DevSecOps的结合等等。从技术角度来看,最核心的是跟云平台原生的对接,利用AWS或者Azure提供的接口来进行相关安全措施的处理。比如说通过VPC接口可以做到相关业务的微隔离,也可以通过traffic flow log来进行流量的安全分析。之前存在的混合云的接受度问题在现在基本不是问题,当下大部分企业都是按照此类方式在规划建设。如下图所示,现在对CWPP产品能力要求在近几年中也变化最小:
2016年CWPP产品能力金字塔
这个产品能力(需求)的金子塔说明了对CWPP产品能力的定义,越是靠近基座的功能越重要,越是靠近塔尖的功能越次要。对于每个功能的描述在这里就不赘述,之前笔者的文章中有专门分析过每个功能的含义。在2016年的代表厂商只有16家。
而到了2017年,除了对CWPP产品本身的理解又有了新的进步,也加入了一些外部场景来完善云安全的整个大局观。包括了工作负载外的服务和云基础架构的安全评估。CWPP产品解决了数据层面的问题;而外部的其他服务也是为了保证云工作负载的安全,包括了WAF、Firewall和IPS等。同时加入了控制层面的安全措施,保证云使用上的安全,其中包括IAM配置、网络配置以及管理员访问等。
同时提出了一个免疫架构的变化趋势。因为容器的出现,导致用户无法对线上系统进行处理,为此,需要将安全措施前移到开发环节,从而保证上线之后就是免疫的。运行时的应用控制和容器的锁定作为免疫系统的手段。相应架构上的要求就有对SDL流程的支持,与自动化CI/CD工具的结合,要求API可以灵活调用,将安全检查前移。
2017年CWPP以外的安全手段
2017年重点强调了容器安全,代表厂商增长到24家,其中专门做容器的厂商有4家,分别是:Apcera(已被爱立信收购)、Aqua Security、Layered insight、Twistlock。
2018年Gartner预测CWPP产品在2017年大致有6亿美元的市场规模,并以两位数字的增长率增长,并且强调了大部分机构都在使用至少两个的云计算服务厂商。在这种异构的云环境下,CWPP可以提供统一的安全策略管理并且迅速减少企业的知识鸿沟。提出CWPP管理的自动化,可以更好地与DevSecOps相结合。在企业自动化生成workload的时候,相关的软件或安全策略可实现自动化安装和配置。Serverless计算方式所带来的安全问题已经被提及,但CWPP厂商并不能很好地解决此类问题,这也是CWPP产品面临的挑战。
之前的CISPA现已被重新命名为CSPM,并且作为云安全的三个新兴产品(CWPP、CASB、CSPM)之一诞生了,同时加强了CSPM的内涵,比如加入了存储配置。
2018年CWPP以外的安全手段
2018年,机器学习加成CWPP能力被提出。机器学习可以加强CWPP产品能力金字塔的各个层面,比如微隔离,机器学习可以先学习和观察正常的情况,然后建立白名单,随着时间的推移不断更新和修正策略以达到不用人工介入就可设置安全策略的状态。反观在EDR领域,很多使用机器学习来进行病毒发现以及异常行为监控的产品已经出现,比如Crowdstrike和Cylance。CWPP与EDR相比,更多是在数据中心安全管理领域,而EDR更多是在终端安全监测领域。
同年代表厂商增加到37家,7家专注于容器安全的厂商被单独列出。
2019年是变化最大的一年。首先将工作负载的外延和内涵进行细粒度解释,根据抽象度的不同分为物理机、虚拟机、容器和Serverless。可以看出这几种工作负载从虚拟化水平到单位的计量再到生命周期都有很大的区别。这样来看,这才是“云工作负载”这一名称真正的意义所在,如果只是服务器安全或者云主机安全,是无法覆盖容器以及Serverless场景的。
工作负载粒度和抽象度
安全能力图也终于迎来一次大的更新。从原来的11个能力删减到8个能力,并且将最底层的“运维习惯”与“加固、配置与漏洞管理”进行了整合。删掉了“欺骗防御”能力,因为欺骗/蜜罐系统是单独产品提供。同时数据的静态加密大部分情况下都有云厂商提供,比如AWS的EBS加密和Azure的磁盘加密,因此“静态加密laas数据”这个能力也从能力金字塔中删掉了。但是加强了对威胁检测和响应的要求,相当于要学习EDR的能力。
2019年CWPP产品能力金字塔
预计在2018年CWPP产品市场收入在7亿美金左右,继续以两位数字的增长率增长,但是McAfee、赛门铁克和趋势占了大概一半的收入。CWPP产品持续增长的接受度受到了以下几个因素的影响:
1. 工作负载上云的数量持续在增长;
2. 工作负载为中心的解决方案从架构上比网络类的产品更容易设置安全策略,同时也可以根据工作负载的数量进行自动增加和减少;
3. 对于加密流量的解密比旁路的形式更容易,尤其在微服务架构中的东西流量的检测中;
4. 云原生架构、使用容器的场景以及Serverless的PaaS架构都需要更多的CWPP能力。
CWPP加入了容器服务以及编排的安全要求。Kubernetes成为容器编排的事实标准,对于K8s的安全支持变为硬性要求,包括Amazon的EKS,Azure的AKS,Google的GKE以及Red Hat的OpenShift。
Serverless的函数保护被提及出来,这是一个非常新的领域。在这个保护领域,计算环境对于客户是不可见的,包括服务器、VM甚至是容器,所以基于基础架构进行的防护基本无效。考虑Serverless的解决方案更多是从应用安全入手解决,可能出现的认证信息偷窃、OWASP的漏洞、持续性攻击与容器投毒等都是需要考虑的安全场景,而实现方式更多是从代码层面和接口方面考虑。
利用机器学习分析加强安全能力的场景具体列出了:网络隔离、应用控制、服务器EDR、反病毒等。
对于厂商的分类更加细致,有七大分类,因为有能力重叠的存在,共48个产品,45个厂商。七大分类包括:1.广泛能力,多系统支持(12家);2. 漏洞扫描、配置和合规(6家);3. 应用服务防火墙、可视化、微隔离和控制(9家);4. 内存和进程完整性及保护(4家);5. 服务器EDR、行为监测和威胁检测和响应(7家);6. 容器保护(7家);7. Serverless保护(3家)。
同时从云安全整体的报告也可以看出来CWPP市场已经进入了幻灭期,准备冲刺到成熟上升市场了。近三年的炒作曲线,以及CWPP的位置变化。
2016年云安全炒作曲线
2017年云安全炒作曲线
2018年云安全炒作曲线
同时,每年的云安全领域的最酷厂商都有一家CWPP厂商加入,也在变向助推这个市场。
-总结-
综上所述,CWPP产品以及市场越来越成熟,客户的需求越来越统一,各家的产品能力越来越集中。但是特色的功能依然作为区分点,比如EDR能力、容器安全、合规为主或是微隔离为主,都让客户根据实际情况进行选择。从终端安全到CWPP分野,大部分厂商都会将这两类产品分得很清晰。目前这个领域的两个厂商已经被收购:以云内流量可视化著称的Dome9被checkpoint收购;专注于容器安全的Layered insight被Qualys收购。CWPP全球市场容量目前在7亿美金(大约50亿人民币)的范围,这个市场规模还在以两位数的增长率不断扩大。从炒作曲线来看,非常可能迅速地从幻灭期进入爬升期,并且大家对这种产品的接受度逐渐加强,同时也是云安全建设中首先要考虑的产品之一。
