【重磅来袭】你不可不知的云服务工作负载安全厂商
作者:星期一, 五月 30, 20160

自2015年起,“云安全”屡登业界热门话题榜首。全球知名分析机构Gartner和Forrester分别提出了两个全新概念:云工作负载保护平台(Cloud Workload Protection Platform,简称CWPP)和云工作负载安全(Cloud Workload Security,简称CWS),旨在帮助安全风险专家保障云工作负载安全,满足保护现代混合数据中心架构服务器的要求。

2457331_123055015354_2_副本

《一篇文章读懂企业如何升级到云安全体系》和《自动化势在必行:为什么云工作负载安全成为热点》两篇系列文章中已经详细介绍CWPP和CWS。本研究简要回顾CWPP和CWS的架构和安全管控措施,并为广大用户推荐一些保护云工作负载的可靠厂商。

随着越来越多的企业将包含敏感数据的工作负载放上云端,维护云安全已经成安全专家的重中之重。从本质上来说,云端服务器工作负载有不同的安全保护需求,在公有云环境中更是如此。在这种情况下,CWPP和CWS方案凭借不断完善的能力,有效回应了以下网络安全问题,已然成为市场新宠,相信未来它们会成为业界公认的安全方案标准。

1、传统安全的人力投入巨大,应对日新月异的web威胁等攻击却收效甚微。用户和厂商不禁自问,究竟什么方案能以轻量级的方式保证云安全?

2、手动加固和配置IaaS工作负载安全不仅昂贵,而且通常缺失补丁、网络防火墙和用户目录配置等关键特征,无法满足安全需求。安全配置自动化势在必行。

3、用户应对层出不穷的网络攻击时,通常是按下葫芦浮起瓢,光挡是挡不住的。随着0day、未知威胁、APT等高级攻击手段与日俱增,主动式的智能安全防护成为安全界未来的研究方向。

还有一些IT趋势也成为催生新方案的新助力,如威胁环境不断改变、边界安全难以保障、内部风险屡见不鲜,安全方案要求实现网络流量可视化和事件隔离、适应多样化的IT业务、提高部署速度、满足合规性等。传统的终端或服务器应付这些变化困难重重,安全厂商必须提供专门的解决方案,应对混合云服务负载保护的要求。

二、CWPP和CWS共性

虽然CWPP和CWS的概念出自两个不同的研究机构,令人感到惊奇的是,经过笔者分析,二者具备诸多共性:

1、全面的漏洞和配置管理。

2、实时监控核心系统文件完整性。

3、安全集成能力,可引入其他的保护功能如DDoS、WAF等。

4、推荐应用控制(白名单)作为服务器工作负载保护的主要控制措施。

5、软件定义边界,为本地防火墙增加集中化策略管理、审计等重要功能。

6、管理访问账户和权限的工作负载,对不同职责管理员的实行严格访问控制。

7、审查日志、行为和事件,并将日志集成到安全分析系统中,确定可疑事件。

8、支持物理、虚拟、云上安全状态的可视化,并使用统一策略管理框架和控制台。

9、全面支持API化,通过API让控制台或工作负载自动配置安全策略,持续监控管理配置。

10、网络流量可视化,微分割进出工作负载和数据中心的流量,并检测工作负载的活动日志。

根据Forrester对全球604位业务/技术决策人的采访报告,60%的受访人认为制定全面的IT基础架构云策略至关重要。在合理使用云的过程中,49%受访者认可要提高安全或合规能力,42%受访者支持按需部署的能力和延展性,38%对象希望通过购买服务减少开支

三、厂商能力

虽然一些企业内部的安全团队能够帮助企业解决某些云上挑战,但无论从延伸性还是从能力和成本方面来看,商业化的CWPP和CWS方案都比企业内部的举措要省力、省时、省钱。国内外代表厂商主要有:

CloudPassage

CloudPassage Halo支持私有云、公有IaaS和混合云环境,提供安全可视化和安全情报、访问管控、合规性报告、漏洞管理、入侵检测、基本的日志监控IDS功能以及安全管理访问多层内部验证,覆盖范围非常广泛。

特点:按需部署,自动化,协同工具,延展性

Dome9

Dome9 SecOps是基于SaaS的可扩展架构,包含广泛的安全和合规性管控,配有大数据驱动的安全分析和策略引擎,可实现策略可视化、动态访问租赁、合规审计和文件完整性监测。该方案还可结合IaaS内置安全框架(如AWS安全组件),提供防火管控和威胁可视化。

特点:策略自动化引擎,快速交付,敏捷性和有效性

Illumio

Illumio的自适应安全平台利用自然语言策略,不依赖任何基础网络,能够持续计算且实时执行准确的自适应安全策略,可以1)为每一个云负载和数据中心负载计算并配置准确的安全策略;2)实现应用流量、违反策略、攻击警告实时可视化;3)创建合规的加密方法;4)集成DevOps的同时实现自动保护。

特点:自适应安全、情景感知、可视化、自然语言策略、工作负载/应用分割

Symantec

Symantec数据中心安全服务利用内置防火墙、FIM、漏洞处理HIPS、应用程序管控和应用行为控制,提供网络分割。该方案能够防护本地、 AWS和 OpenStack 环境中的恶意软件,保护主机 IPS/IDS 、文件完整性监测和网络 IPS,加固和检测应用工作负载。

特点:安全强化自动响应、反恶意软件

Trend Micro

Trend Micro提供网络分割服务选项、文件和系统完整性监控、漏洞处理HIDS/HIPS,使用数据报深度检测、日志分析、反恶意软件扫描。Deep Security利用基于网络和基于文件的安全,抵御漏洞利用、恶意软件和未经获准的系统更改。

特点:防火墙、文件完整性监测、日志审查、反恶意软件

Tripwire

Tripwire提供agent和无agent两种方案,覆盖本地、私有云、公有云工作负载安全,包含配置评估、文件和系统完整性监控、漏洞管理、资产盘点、日志管理以及最近增添的行为和威胁监控、检测和反应等EDR功能。

特点:文件/系统完整性监控、EDR功能

vArmour

vArmour分布式安全系统(DSS)既提供基础安全功能,又有可延展的安全能力。微分割每一个工作负载阻止恶意的行为或事件。DSS可以直接内置到网络分割流量和Tap模型中,满足工作负载流量可视化要求、检测确认可疑行为、保护多云环境。

特点:可拓展、可视化、操作性强

青藤云安全

国内第一家基于自适应安全理念的厂商,其安全架构集预防、检测、响应和预测功能于一体,有效联动内部、边界和外部三个agents,实现程序、机器、业务级别实时监控。该厂商方案通过三步走实现可视化的安全策略:1)自动清点企业资产,发现企业内外风险,降低95%攻击面;2)根据业务模块灵活配置安全功能,满足定制化需求;3)快速响应攻击或入侵行为,通过蜜罐等锚点、UEBA模式匹配、服务器访问关系生成异常行为警告并处理。快速安装agent接入安全功能,自动化配置安全策略,无需值守。

特点:自适应安全、安全联动、一站式安全服务、快速安装部署

四、市场建议

当前仅保护终端台式机或笔记本的解决方案难以为继,而虚拟机的广泛使用要求服务器工作负载配置专门的应用程序,因此企业必须利用各种安全策略来保护服务器工作负载。企业可根据自身需求评估并选取最适用的方案,保护多样化的云生态。企业最终采用的CWPP和CWS方案应该:

1、支持云扩展。利用即插即用的扩展应用满足需求或者通过API接入外部安全功能,充分发挥方案架构的延展性

2、最好作为服务交付。Forrester预计,将CWS作为服务来部署将会减少30%-50%的云安全相关的劳动力成本。

3、情报共享。厂商要提供全面的威胁、社区情报,告知企业安全运营官最新的攻击趋势,甚至直接提供保护方案,更好地防御威胁。

4、适用于任何环境。如今用户需要确保本地、私有云、SaaS、PaaS和IaaS环境下工作负载的安全。CWPP/CWS方案至少要覆盖AWS、Azure、Rackspace和VMware管理程序。

5、作为单一方案但能提供广泛而集中的管控措施。在云安全领域中,CWPP/CWS方案的功能应该尽可能广泛,最少包括:1)文件、配置的管理和完整性监控;2)网络安全;3)打补丁;4)入侵检测;5)日志文件分析;6)虚拟化管理程序安全;7)认证集成开发运维工具如Chef\Puppet等。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章