現(xiàn)代數(shù)據(jù)中心支持運行在物理設(shè)備、虛擬機（VM）、容器以及私有云基礎(chǔ)架構(gòu)中的各種工作負載，并且?guī)缀蹩偸巧婕耙恍┰谝粋€或多個公有云基礎(chǔ)設(shè)施即服務(wù)（IaaS）提供商中運行的工作負載。云工作負載保護平臺（CWPP）市場定義為基于主機的解決方案，主要滿足現(xiàn)代混合數(shù)據(jù)中心架構(gòu)中，服務(wù)器工作負載的保護要求。它為信息安全領(lǐng)導者提供了一種集成的方式，通過使用單個管理控制臺和單一方式表達安全策略來保護這些工作負載，而不用考慮工作負載運行的位置。

可以理解成為基于代理（Agent）的底層技術(shù)方案，和傳統(tǒng)部署在網(wǎng)絡(luò)邊界上的安全產(chǎn)品不一樣，CWPP部署在操作系統(tǒng)層，因此可以橫跨物理機、公有云、私有云、混合云等多種數(shù)據(jù)中心環(huán)境，部署方式更加靈活、防護層面更加豐富。采用服務(wù)端agent+遠程控制臺的部署模式，agent支持云、物理、混合環(huán)境部署，能有效安全加固服務(wù)器、抵御黑客攻擊和惡意代碼。

Core Capabilities核心能力:

Congurationand vulnerabilitymanagement配置和漏洞管理

1，配置，即服務(wù)器優(yōu)化，通過對操作系統(tǒng)進行合理配置，提升操作系統(tǒng)的安全性和抗攻擊能力。

2、漏洞管理，分為操作系統(tǒng)漏洞管理和應(yīng)用漏洞管理。目前網(wǎng)絡(luò)攻擊主要是通過web服務(wù)器或者web應(yīng)用漏洞發(fā)起，因此CWPP產(chǎn)品要能提供標準化、同時支持制定自定義的web應(yīng)用漏洞防護策略。

Networksegmentation, isolation and traffic visibility 網(wǎng)絡(luò)隔離與流可視

要求CWPP產(chǎn)品首先能圖形化管理用戶的主機業(yè)務(wù)資產(chǎn)，并且可以跨物理、虛擬架構(gòu)、網(wǎng)絡(luò)定于基于角色的訪問策略（微隔離）；對于主機之間的訪問關(guān)系，可以圖形化的展示和控制（流可視化）。

Systemintegrity measurement， attestation and monitoring系統(tǒng)完整性檢測、認證和監(jiān)測

可以保護系統(tǒng)文件或者指定目錄、文件不被惡意修改，提供監(jiān)控模式和防護模式。

Applicationcontrol應(yīng)用防護

CWPP產(chǎn)品需要能識別到主機上運行的應(yīng)用，并對不同的應(yīng)用提供相應(yīng)的防護策略，如云鎖對web應(yīng)用提供waf防護，對于sshd、remotedesktop提供防暴力破解防護等。

Capabilities that augment/verify foundational operational controls增強及驗證基礎(chǔ)運維能力：

CWPP產(chǎn)品要求不能單純依靠服務(wù)器賬號、密碼來驗證管理員，而需要引入賬號密碼外的第二套驗證機制。比如云鎖的登陸防護功能，可以限制登陸服務(wù)的用戶名、IP范圍、登陸時間、登陸服務(wù)器使用的PC名稱，如果不滿足限制條件，即使拿到服務(wù)器的管理員賬號密碼也無法登陸服務(wù)器。

Log management and monitoring日志管理和監(jiān)測

要求CWPP產(chǎn)品能提供完整的日志，同時當安全事件發(fā)生后，CWPP產(chǎn)品需要關(guān)聯(lián)相關(guān)日志最終形成事件IOC，幫助用戶回溯攻擊過程，快速定位風險點。

學習文檔：

https://www.weiyangx.com/254216.html

https://www.csdn.net/article/a/2016-09-29/15841129

總結(jié)

以上是生活随笔為你收集整理的CWPP（云工作负载保护平台）的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。