企业应如何无缝确保其云工作负载?
发布时间:2022-04-29 10:45:49 所属栏目:安全 来源:互联网
导读:企业为了保护自己的云环境,可能已经采取了保护云身份,强化云安全态势,配置强大的云访问控制等措施,然而,除此之外还需要做一件事:云工作负载保护平台,即CWPP。 云工作负载保护平台会保护在企业的云上运行的工作负载,这些工作负载与构成云环境基础的基
|
企业为了保护自己的云环境,可能已经采取了保护云身份,强化云安全态势,配置强大的云访问控制等措施,然而,除此之外还需要做一件事:云工作负载保护平台,即CWPP。 云工作负载保护平台会保护在企业的云上运行的工作负载,这些工作负载与构成云环境基础的基础设施、用户身份和配置不同。 本文将研究为什么 CWPP 是任何云安全策略中的关键要素,解释 CWPP 的工作原理,确定可以使用 CWPP 保护的工作负载示例,并讨论 CWPP 上下文中自动化的重要性。 1. 什么是云工作负载保护? 云工作负载保护是保护部署在云中的工作负载的做法。换句话说,云工作负载保护可以减轻存在于云环境工作负载级别的风险,而不是基础架构或配置级别。 所涉及的工作负载可能是企业在云中托管的软件、数据或它们的组合。例如,云工作负载保护可以应用于在基于云的 VM 实例中运行的操作系统和应用程序,或者它可以保护对象存储桶内的数据。 2. 工作中的 CWPP示例 要进一步对云工作负载保护置于环境中,需要考虑它在以下领域中的应用方式。 (1) 容器 当使用容器部署云工作负载时,您必须解决特殊的安全挑战。例如,需要确保容器不能在特权模式下运行。还必须扫描容器映像以查找恶意软件。 容器的云工作负载保护可确保企业拥有保护容器化工作负载所需的特定流程,独立于企业应用于云环境的其他安全流程。 (2) Kubernetes 安全 Kubernetes 也提出了只能在工作负载级别解决的各种特殊安全挑战。例如,企业必须确保正确配置 Kubernetes RBAC 策略和安全上下文。还应该使用 Kubernetes 审计日志来监控 Kubernetes 环境中出现的潜在安全风险。 (3) 虚拟机安全 即使企业的云虚拟机服务配置正确,安全问题也可能潜伏在虚拟机中。企业使用的映像可能包含恶意软件或仅包含导致安全状况较弱的配置(例如缺少内核强化框架)。云工作负载保护会提醒管理者注意这些风险。 (4) 漏洞扫描 漏洞可能出现在云环境中的任何地方——应用程序内、操作系统内、容器映像内等等。 云工作负载保护允许企业扫描工作负载所有组件和层的漏洞。将其视为在工作负载级别进行漏洞发现和管理的一站式采购,而不管运行的工作负载是什么,或者托管它们的云是什么。 (5) 无服务器安全 无服务器功能从底层服务器环境中抽象出应用程序,从而减少了潜在的攻击面。但这些功能本身仍可能包含漏洞。它们也可以以增加风险的方式进行配置。云工作负载保护会自动发现无服务器功能中的此类问题。 (6) 应用程序安全 基于云的应用程序有多种形式,但它们都可能包含安全风险——例如恶意软件、易受攻击的软件组件以及缺乏加密等安全控制。通过扫描应用程序中的此类风险,云工作负载保护有助于确保整个云环境中的应用程序安全。 3. 选择云工作负载保护平台 在将云工作负载保护集成到云安全策略中时,应努力实施以下解决方案: 完全自动化,因为企业无法手动管理工作负载级别的安全风险。并且使企业可以部署以保护任何云上的任何工作负载。 解决方案应满足允许任何人——不仅是网络安全专家,还包括企业的任何成员——定义工作负载必须满足的安全规则。并自动扫描云工作负载,以发现与这些规则的偏差。 从而达到无论云环境如何配置或在其上运行什么,都能实现完全安全和自动化的云工作负载保护。 (编辑:江门站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐