雲端工作負載保護平台 (CWPP) 的定義
雲端工作負載保護平台是一套全方位網路安全性解決方案,可針對組織中連線到實體伺服器、無伺服器功能、虛擬機器和容器的雲端環境提供一系列保護。
隨著環境增加,潛在的安全性風險也增加。為了減輕這些風險並快速停止作用中的威脅,公司需要能保護及監視許多環境的解決方案。雲端工作負載保護 (CWP) 解決方案是透過監視及管理雲端工作負載來提供持續安全性的解決方案。
CWPP 會持續且自動偵測並解決上述任何基礎結構內的威脅、弱點和錯誤,支援與雲端環境互動的工作負載。
雲端工作負載的定義
工作負載是組織內執行的應用程式和程式,需要電腦電源和記憶體。
雲端工作負載也相同,只是工作負載託管在雲端。這些雲端原生工作負載屬於不斷調整、支援更多活動 (例如微服務) 且可供越來越多的使用者使用的環境。
缺少全面 CWP 解決方案的組織將難以維護控制、強制執行最佳做法及尋找並修正可能導致嚴重威脅的弱點和問題。
這就是 CWPP 能發揮作用的地方。
CWP 如何運作
CWPP 會偵測雲端環境中部署的任何工作負載,並自動執行評量、監視網路、偵測問題,以及根據組織原則來套用安全性標準。
由於許多組織為雲端式應用程式納入持續整合和持續部署 (CI/CD) 管線,因此 CWPP 也可以跟上這些持續變更,在發行之前將相同的標準套用於應用程式。
CWPP 的功能
- 弱點管理. CWPP 會評估在雲端環境中執行的應用程式和軟體,以找出任何潛在的安全性問題,例如發佈這些工作負載之前的設定錯誤。
- 網路區隔。CWPP 可區隔您的網路,協助減輕管理多個環境安全性的挑戰。這會使攻擊者更難以透過單一進入點存取整個網路,並讓您的團隊了解威脅出現速度較快的地方。
- 不變性。CWPP 可支援固定基礎結構,在部署之後無法變更伺服器,避免惡意元件進入您的環境。任何超出核准行為範圍的行為都會自動引發問題,才能在對環境造成任何損害前加以解決。
- 完整性保護。雲端工作負載保護平台會持續運作,以確保一切在雲端環境中正確執行,讓安全性小組安心專注在更困難的工作上。
- 記憶體保護。因為 CWPP 會持續運作,所以每當應用程式運作時,CWP 就會識別出現在應用程式中的弱點。
- 加入允許清單。任何組織常見的風險是安裝及使用未經授權的軟體。這不只讓追蹤及強制執行安全性最佳作法變得更加困難,也提供更多可能進入您網路的閘道,而這些閘道可能難以被注意。使用 CWPP,您可以使用自動強制執行的清單來降低這些風險,以允許和封鎖雲端基礎結構內的應用程式。
- 入侵預防。CWP 會持續監視您的網路,以尋找任何可疑活動或惡意軟體。一旦偵測到任何異常或違反原則的情況,您的 CWPP 就會採取行動以避免發生任何問題。
- 端點偵測及回應。由於多個使用者在數個環境中工作,因此 CWPP 在監視連線至網路的裝置以偵測威脅和可疑行為及快速補救問題方面扮演重要的角色。
- 反惡意程式碼軟體掃描。自動掃描會監視整個組織的雲端工作負載,能為安全性小組分擔許多壓力。CWPP 會偵測工作負載中的惡意程式碼排除問題,以防任何惡意程式碼進入您的基礎結構。
CWPP 的主要優點
組織使用各種基礎結構類型擴充及現代化其雲端環境,雲端工作負載保護平台能提供組織所需的保護。
CWPP 在合併組織的安全性資源方面扮演了重要的角色:
- 舊版基礎結構和不在雲端的應用程式。
- 多個雲端和混合式環境與廠商。
- 經常發佈及修訂程式碼的開發人員。
- 執行應用程式的廣大員工網路。
並提供數個優點,包括:
- 以單一平台提供多雲端保護,監控並降低整個組織的風險。
- 以單一安全性解決方案為所有環境增加可見度,可針對您的雲端工作負載評估弱點、強制執行安全性原則、管理流量,以及區隔網路。
- 可擴縮性,可協助管理針對逐漸增多的應用程式的保護。
- 靈活性,持續跟上開發週期,讓開發人員設定管線,並採用適用於工作負載的安全性最佳作法,減少需要手動監視的數量。
- 採用統一的平台,為您的雲端基礎結構節省成本。此外,隨著許多廠商以使用量計費,維護費用較少,而廣泛的安全性措施可防止可能導致罰款、收入損失以及高額外負荷成本的昂貴問題。
- 適用於貴組織安全性原則的合規性 。CWPP 是專為符合您的需求和產業資料法規所設計。可自動掃描弱點,並遵循為貴組織雲端工作負載設定規則,更輕鬆地防止潛在威脅和違規。
- 為安全性小組提高效率,讓他們依據 CWPP 可自動化的工作排定工作優先順序、更快速地設定目標並補救風險,以及調整整個組織的安全標準。
如何實作 CWPP
- 設定即時監控和警示。使用即時報告和警示來了解您的環境,並協助安全性小組追蹤及補救可能的威脅。
- 與您的開發管線整合。將 CI/CD 週期與弱點評估、威脅監視及政策強制執行解決方案連結,協助保護其安全。
- 設定自動化活動。自動化掃描、監視及修復,讓解決方案可以開始保護您的網路、識別問題與錯誤設定,以及快速解決可能的威脅。
- 建立意見反應迴圈。檢閱分析、記錄、報告和其他相關資料,以確保您的解決方案正確執行,並識別可能需要改善安全性的潛在區域。
- 持續提升安全性意識和最佳做法。若要維護雲端工作負載的安全性,使用者必須持續留意潛在的有害行為,並遵守已制定的原則。
對許多人而言,CWPP 是大型雲端原生應用程式防護平台 (CNAPP) 的一部分。
CNAPP 將 CWPP 的工作負載保護工具與雲端安全性態勢管理 (CSPM) 解決方案結合在一起,後者專注於與雲端應用程式關聯的帳戶。
此外,您也可以將 CWPP 與安全性資訊與事件管理 (SIEM) 解決方案整合,或在雲端式平台的情況下,與雲端基礎結構權利管理 (CIEM) 解決方案整合。這些工具特別用於管理使用者權限,以識別權限違規、未經授權的使用者和外泄,對於維護每個端點的多雲端工作負載保護至關重要。
最後,貴組織可能會納入雲端存取安全性代理程式 (CASB),這是雲端使用者與雲端服務提供者之間的安全性原則強制執行點,提供多個適用於雲端應用程式的安全性工具。CASB 與 CWPP 一起運作以降低風險,並針對雲端中和許多連線到雲端的應用程式和裝置強制執行政策。
CNAPP 可讓這些解決方案共同作業,有助於維護貴組織的安全性,其中包括工作負載、開發管線、使用者帳戶,以及每個環境中的資料。
CWPP 最佳做法
若要這樣做,請考慮:
- 將您的威脅回應自動化。自動化讓安全性小組更容易在大型網路上檢查及補救潛在威脅。現在,AI 支援的工具可協助收集資料、偵測威脅,並最小化誤判為真、調查問題,並更快速地回應問題。
- 實作安全性。在實作安全性平台時,必須牢記治理規則。使用治理規則來通知自動化補救的標準,這將支援更井井有條、更有效率的票證系統,以檢閱及修正問題。
- 提供持續的安全性教育。即使使用強大的技術保護您的環境,您依然能進一步降低風險及提升安全性教育意識。讓您的員工隨時了解最佳做法並持續訓練,讓貴組織的每一個人了解他們在維護公司安全方面所扮演的角色。
- 提升意識。即使有適當的技術,您的小組也應將風險降低和威脅監視視為優先。讓小組持續留意最新的威脅、產業合規性標準,以及您實施的任何新通訊協定,以提升智慧安全行為。當使用者從任意數目的裝置存取雲端時,遵循端點安全性程序非常重要,這樣您的安全性小組就可以輕鬆管理及監視整個網路的存取控制。
- 實作零信任模型。即使使用最強固的網路安全性平台,威脅也隨時有可能成為問題。這就是為什麼在伺服器、虛擬機器、裝置和應用程式之間強制執行零信任很重要的原因。要求使用者驗證、授權和權限可防止工作負載遭到入侵。
當您為公司搜尋正確的 CWPP 時,請考慮網路大小,意即有多少伺服器、容器、資料庫、虛擬機器,以及計畫涵蓋的其他基礎結構。
適用於雲端的 Microsoft Defender 是一套全方位的 CNAPP,包含 CWPP、CSPM 和其他安全性解決方案,以保護多雲端和混合式環境。降低風險、更快速地識別及回應威脅,並統一應用程式、開發管線和裝置的安全性管理。
深入了解 Microsoft 安全性
常見問題集
-
CWPP 和 CSPM 的差異在所保護的雲端部分。CWPP 可以保護在部署的任何雲端環境中執行的工作負載。CSPM 提供類似的評量和自動化安全性程序,但適用於雲端基礎結構本身。
-
CWPP 可視為 CNAPP 的一部分。CNAPP 結合其他 CWP 解決方案的元素,其中包括 CWPP 工作負載保護和 CSPM 基礎結構保護,以及 CIEM 身分識別管理。
-
風險偵測
CWPP 會根據您的安全性原則執行弱點評估,以發現潛在的合規性問題、惡意程式碼,以及可能會引進威脅的未經授權的工作負載變更。執行階段保護
取得 CI/CD 管線安全性的可見度,並自動尋找並修復錯誤,讓您的開發團隊將焦點放在更困難的工作上。網路區隔
透過監視行為及管理應用程式控制項,對跨雲端環境和使用者裝置的網路套用統一的方法。這有助於防止威脅並強制執行安全性要求。 -
您可以使用雲端工作負載保護平台中提供的安全性解決方案來保護雲端工作負載。CWPP 包含弱點掃描、威脅偵測和防護、存取控制,以及針對跨各種雲端環境執行的工作負載的合規性強制執行。這包括實體伺服器、虛擬機器、容器和無伺服器功能。
關注 Microsoft 安全性