随着越来越多企业将包含敏感数据的工作负载放上云端，快速维护云端工作负载的安全成为安全和风险(S&R)专家的重中之重。然而，安全不仅只保护工作负载，还必须支持开发运维，满足自动化的需求。

Cloud Workload Security（云工作负载安全，简称CWS）方案能帮助安全和风险（简称S&R）专家保障云工作负载安全，同时支持开发运维和自动化。Forrester预测，随着云的成熟，如今尚未成熟且分散的CWS市场会显著提升能力、实现标准化。

本文将从3个方面阐述CWS方案的必要性和市场指导建议，并与《一篇文章读懂企业如何升级到云安全体系》作为姊妹篇，共同为企业云安全保驾护航。

一、云工作负载安全的实现无法依赖传统安全厂商和云平台

尽管传统安全厂商和云平台也提供了部分安全服务，但由于如下原因，他们无法实行云工作负载安全的实现工作：

• S&R专家无法更新IaaS工作负载中的本地安全方案，由于本地和云基础架构有所不同，本地安全解决方案在云平台上并不可行。
• S&R专家无法利用IaaS供应商管理平台进行安全管理，IaaS供应商平台一般不提供最基本的网络安全管控、合规审计、访问控制等功能，也难以完成打补丁和加固等常见的安全任务。
• S&R专家无法从IaaS供应商那里寻求多种云的安全支持，因为单独的IaaS供应商不支持跨平台安全，并且成本和复杂程度很高，所以很难为用户行为建模、或为每个云建立基线行为规范，如此，发现网络攻击的可能性也大大降低了。
• S&R专家只能依赖IaaS供应商提供全部安全保障。后者通常提供：

1）管理程序和主机根访问控制；
2）边界网络安全；
3）DDos保护；
4）存储安全。

但不提供：

1）IDS/IPS；
2）漏洞扫描；
3）配置管理；
4）杀毒和终端保护；
5）补丁和加固；
6）安全监测和日志分析。

而且从扩展性、能力、时间和成本等方面考虑，企业内部也很难独立建立CWS架构。

二、CWS方案如何应对云上的安全挑战

CWS方案一般融合了这些能力：1）提供单独的虚拟管理平台；2）提供单独的策略管理接口；3）提供标准审计服务。CWS还会提供很多IaaS安全管控措施（见图1），详细如下：

• IaaS工作负载中的管理员访问管理。CWS方案能够对访问账户和权限提供工作负载层面上的管理。无论工作负载在哪里运行，都能让用户利用现有IAM存储对工作负载的访问进行强认证。
• 基于文件活跃性的反恶意软件保护。CWS方案可以监控日志中的可疑行为；追踪用户行为；部署传统反恶意软件终端agent；在虚拟机上部署agent监测文件事件，检测可疑行为。
• 持续监控管理配置。CWS方案保证在创建体系和服务时，不会将信任证植入配置管理工具中；通过将云服务载入CWS方案来检查平台，自动学习安全配置以及工作负载上服务的结构和特点；管理员可以为工作负载预置系统或自定义配置；检测工作负载的配置。
• 利用密码学校验和检查文件完整性。CWS agent使用密码扫描重要的工作负载文件，以免产生突发变化。文件完整性监控一般还包括补丁监控。
• 基于主机的防火墙和软件定义的网络化。CWS方案为Linux和Windows系统中的IaaS和PaaS工作负载提供基于主机的防火墙，为本地防火墙增加重要的功能，如集中化策略管理、策略配置试探程序、访问管理等。
• 进出站API合并。CWS方案可以调用其他SA, IAM, IaaS工作负载管理、虚拟化系统及其管理接口的API；为入站合并和CWS策略管理公开自己的API。
• 集成开发运维配置管理系统。CWS方案在IaaS工作负载的建立和配置过程中，直接集成了这些开发运维工具来管理安全配置参数，从而使安全成为工作负载的固有部分。
• 监测网络流量的IPS和配置变化。CWS方案检测入侵行为的方式是：监测进出工作负载的网络流量；检测工作负载上的任意程序变化和配置变化；监测分析工作负载的活动日志。
• 日志检查。CWS方案有自己的日志分析引擎，并能集成现有客户的SIM系统或安全分析系统。CWS方案会详细检查IaaS和PaaS工作负载的日志，以确定可疑事件。当事件被定义为有风险时，集成现有的SA方案:1）本地基于主机的防火墙日志；2）AWS的SNS网络服务。

CWS高级架构

三、CWS方案选取建议

S&R专家需要CWS来提供全面的云安全。然而，许多CWS厂商刚刚起步，或者推出的方案比较新。如果要评估CWS方案，建议：

• 为云扩展而设计。管理云工作负载配置和安全不是要放过漏洞、避免大规模安全配置错误。要求厂商为你提供个性化指导意见：如果你部署了覆盖1000个工作负载的方案，会发生什么？
• 在任何环境下都能工作，必须确保本地、私有云、SaaS、PaaS和IaaS环境下工作负载的安全。提到云安全时，避免厂商锁定是S&R专家部署CWS方案的众多原因之一。CWS至少该覆盖AWS、Azure、IBM SoftLayer、Rackspace和VMware管理程序。
• 作为服务交付。CWS策略服务器的本地维护成本较高，不仅包括固定的许可证费用，更重要的是还要承担昂贵的维修人员的费用。Forrester预计，将CWS作为服务来部署将会减少30%-50%的云安全相关的劳动力成本。
• 在单一方案中提供广泛而集中的管控措施。在云安全领域中，CWS方案的功能应该尽可能广泛，至少包括：1）文件、配置的管理和完整性监控；2）网络安全；3）打补丁；4）入侵检测；5）日志文件分析；6）虚拟化管理程序安全；7）认证集成开发运维工具如Chef\Puppet等