Gartner2021CWPP市场指南解读

（注：非原文直译，已加入作者个人观点）

• 76%的企业正在使用多个公共云平台（IaaS），但仍有本地部署的工作负载需要保护，客户业务环境处于混合、多云架构下仍是常态，使用IaaS最大的挑战是安全风险增加。

  
  

• 云原生应用程序在开发过程中就需要考虑云原生安全，尤其是容器和无服务器PaaS要更早的加入CWPP策略。

  
  

• 云工作负载保护平台（CWPP）市场“左移”，与云安全配置管理（CSPM）部分需求重叠，以满足云原生应用程序整个生命周期的防护需求。

  
  

• CWPP应支持无代理（agentless）的部署方式，以应对agent代理程序无法运行的场景，并且无代理的方式因为部署简单对客户更有吸引力。

  
  

• 使用端点保护平台（EPP）产品去保护服务器工作负载的客户，数据和应用程序正在面临风险，EPP产品不足以应对服务器工作负载的保护要求。

这里两个概念笔者认为需要关注：

• 什么是工作负载
• 什么是云原生

1. 工作负载（workload）

简单来说只要是业务的载体（运行平台）都可以叫工作负载，包括物理服务器、虚拟机、容器和无服务器（serverless）。

报告指出工作负载的粒度、生命周期和创建方式都正在发现变化，Linux容器被广泛采用、无服务器函数平台即服务（PaaS）也越来越多的，这些工作负载都应该采用CWPP保护策略。

2. 云原生/云原生应用（cloud-native/cloud-native application）

云原生的概念在业界一直存在争论，云原生计算基金会（CNCF）对云原生描述是：云原生的代表技术包括容器、服务网格、微服务、不可变基础设施和声明式编程API。作者认为云原生/云原生应用是一种开发风格或者IT架构设计思路，核心目标是让业务变得弹性可扩展，目前也有12-factor这种方法论来判断是否符合云原生。

云原生给业务带来了便利，但从安全性来说，云原生相比传统IT架构隔离性差，并且传统安全手段难以外挂，因此在云原生的开发过程中，必须包含嵌入式的保护措施来保证业务的安全，包含镜像、组件、运行环境和运行时安全等。

CWPP可以保护服务器工作负载免受攻击，无论工作负载的位置或粒度如何，CWPP为安全管理员提供了对所有服务器工作负载一致的可见性和可控性。CWPP应该从扫描开发环境的漏洞和风险开始，在业务运行时，CWPP还可以保护工作负载免受攻击，常用的手段包括：系统完整性保护、应用程序控制、行为监控、主机IPS、反恶意软件等。

Dev是事前阶段（开发阶段），通过对漏洞&安全风险、弱口令、错误配置、恶意软件（病毒、Webshell）的检测，提前发现工作负载的安全风险并修复，缩小攻击面。

Ops是事中阶段（运营阶段），假设攻击已经发生，通过主机ips做入侵检测、防御与溯源，通过应用权限控制限制漏洞被进一步利用，通过工作负载隔离防止单个工作负载被拿下后的横向渗透（东西向移动）。

CWPP涵盖了工作负载整个生命周期的安全需求，涉及的控制点很多，因此Gartner也将CWPP的能力做了分层，明确了主要能力和次要能力。

从能力分层图上可以看出CWPP的核心保护策略是「防护」，包括漏洞利用防护/内存防护、应用程序控制/白名单、系统完整性保护、微隔离与流可视化、加固配置和漏洞管理。我们以本次入选市场指南的CWPP产品「奇安信云锁服务器安全管理系统」为例，分析这几项核心能力在CWPP架构中发挥的作用：

• 漏洞利用防护/内存保护

在CWPP能力分层图的基础工作环节中，已经强调“加固、配置和漏洞管理”，因此对已知漏洞NDay的修复应该在前期已经完成，这里的漏洞利用防护主要指未知漏洞0Day的防护。

0Day漏洞大概可以分为两类：系统漏洞、应用漏洞。对于服务器工作负载而言，「系统漏洞」危害大、难以防御，但相对而言系统漏洞被利用的难度也比较大，尤其是在本地部署的环境中，端口一般不对外开放。目前对系统0Day漏洞直接防御比较难，一般是监控和拦截漏洞利用后的行为，如监控利用漏洞反弹shell、监控利用漏洞提权等。

因为Web应用需要开放端口被外部访问，因此「应用漏洞」的被利用的概率要大的多。目前对抗应用漏洞的思路是应用运行时自我保护技术（RASP），其原理是在Web应用内部（一般是语言解释器中）插入检测引擎，通过hook函数的方式，监控流量转变成工作负载本地命令执行、文件操作、网络IO的操作，可以有效发现和阻断0Day漏洞的利用。

内存防护是内存运行时自我保护技术，因为在工作负载上执行的数据都需要经过内存进行储，所以通过对内存行为的监控可以识别无文件攻击（powershell、vbs等）、内存型Webshell等基于文件监测无法识别的新型攻击手段，目前阶段方案自身的兼容性和颗粒度是比较大的挑战。

• 应用程序控制/白名单

工作负载中的部分应用存在过高权限，比如Web中间件具备创建Webshell的权限、数据库具备创建可执行文件的权限，容易被攻击者利用，而“非白即黑”的白名单策略不能阻止这类攻击，因为粒度太粗，不能阻止原本应该可信的白应用被黑利用。

从云锁的解决思路来看，一种是通过内核层实现对应用权限的控制，剥离过高权限，适合强防护需求；第二种是通过应用行为清点，机器学习应用的正常行为：命令执行、文件操作、网络链接，并形成行为基线，在行为基线外的操作都可以判定为攻击，适合监控的需求。

• 系统完整性保护

主要指工作负载中系统核心文件的防护，目前比较好的防护思路是对文件/目录的权限做限制，包括：读取、写入、删除、执行、创建、重命名和链接，以防止系统目录的文件被恶意修改或者恶意文件执行，这项能力不仅可以用来保护系统文件，也可以用来保护特定的网页或其他文件。

• 微隔离与流可视化

微隔离主要防御内网渗透（东西向移动），基于传统防火墙只能实现南北向的隔离，即服务器端口对外访问限制，但是在内网环境下，端口访问管理工作却十分糟糕，加上内网存在大量的未修复Nday漏洞、弱口令和同置口令，一旦一台工作负载沦陷，以它为跳板进行漏扫、爆破，横向移动将轻而易举，这个问题在容器环境下尤为严重，因为容器天生隔离性就较差。

因此微隔离的核心能力是“限制访问源”，首先限制工作负载的指定端口只能被特定的ip或者ip段访问，其次限制工作负载的对外服务进程只能访问特定的ip或域名，从而实现进出网双向控制。

流可视化很好理解，就是将工作负载之间的访问关系可视化呈现，一般是在工作负载之间划线，通过线的不同颜色可以快速发现失陷的工作负载，但是流可视化有个天然的缺陷：当工作负载到达一定数量后，关系呈现会非常混乱，反而不便于管理，因此在这项能力中微隔离的重要性要更大。

• 加固、配置和漏洞管理

这就是“资配漏补”的概念，也是现在安全运营的重要工作，报告指出这项能力应该“左移”与云安全配置管理（CSPM）配合，将防护工作提前，这项能力也是CWPP最底层的核心能力。但是打补丁、修漏洞一直是业界比较头疼的问题，因为漏洞修复的过程可能会导致应用重启、工作负载重启、蓝屏等问题使业务中断，同时可能引发供应链攻击，因此现在内网环境中大量Nday漏洞未被修复是常态，工作负载还需要CWPP的其他上层能力才能被完整保护。

报告也指出并不是所有的工作负载都需要完整的CWPP能力，比如恶意软件检测可以左移到工作负载之外执行。

概括来说目前使用CWPP的企业越来越多，可以降低企业使用公有云、混合云带来的安全风险；工作负载的载体也在快速变化，从物理机、虚拟机、容器到serverless，负载的生命周期越来愈短，CWPP的部署形态也要随之变化，尤其是在容器和serverless的业务架构下，CWPP将左移与CSPM融合，变成新的产品形态：云原生应用程序保护平台（CNAPP）。

从中国市场的实际情况来看，容器化的业务架构正在增加，但是serverless仍是极少数，因此以agent形态部署的CWPP仍将是近两年中国市场的主流。