自2015年起，“云安全”屡登业界热门话题榜首。全球知名分析机构Gartner和Forrester分别提出了两个全新概念：云工作负载保护平台（Cloud Workload Protection Platform，简称CWPP）和云工作负载安全（Cloud Workload Security，简称CWS），旨在帮助安全风险专家保障云工作负载安全，满足保护现代混合数据中心架构服务器的要求。

《一篇文章读懂企业如何升级到云安全体系》和《自动化势在必行：为什么云工作负载安全成为热点》两篇系列文章中已经详细介绍CWPP和CWS。本研究简要回顾CWPP和CWS的架构和安全管控措施，并为广大用户推荐一些保护云工作负载的可靠厂商。

随着越来越多的企业将包含敏感数据的工作负载放上云端，维护云安全已经成安全专家的重中之重。从本质上来说，云端服务器工作负载有不同的安全保护需求，在公有云环境中更是如此。在这种情况下，CWPP和CWS方案凭借不断完善的能力，有效回应了以下网络安全问题，已然成为市场新宠，相信未来它们会成为业界公认的安全方案标准。

1、传统安全的人力投入巨大，应对日新月异的web威胁等攻击却收效甚微。用户和厂商不禁自问，究竟什么方案能以轻量级的方式保证云安全？

2、手动加固和配置IaaS工作负载安全不仅昂贵，而且通常缺失补丁、网络防火墙和用户目录配置等关键特征，无法满足安全需求。安全配置自动化势在必行。

3、用户应对层出不穷的网络攻击时，通常是按下葫芦浮起瓢，光挡是挡不住的。随着0day、未知威胁、APT等高级攻击手段与日俱增，主动式的智能安全防护成为安全界未来的研究方向。

还有一些IT趋势也成为催生新方案的新助力，如威胁环境不断改变、边界安全难以保障、内部风险屡见不鲜，安全方案要求实现网络流量可视化和事件隔离、适应多样化的IT业务、提高部署速度、满足合规性等。传统的终端或服务器应付这些变化困难重重，安全厂商必须提供专门的解决方案，应对混合云服务负载保护的要求。

二、CWPP和CWS共性

虽然CWPP和CWS的概念出自两个不同的研究机构，令人感到惊奇的是，经过笔者分析，二者具备诸多共性：

1、全面的漏洞和配置管理。

2、实时监控核心系统文件完整性。

3、安全集成能力，可引入其他的保护功能如DDoS、WAF等。

4、推荐应用控制（白名单）作为服务器工作负载保护的主要控制措施。

5、软件定义边界，为本地防火墙增加集中化策略管理、审计等重要功能。

6、管理访问账户和权限的工作负载，对不同职责管理员的实行严格访问控制。

7、审查日志、行为和事件，并将日志集成到安全分析系统中，确定可疑事件。

8、支持物理、虚拟、云上安全状态的可视化，并使用统一策略管理框架和控制台。

9、全面支持API化，通过API让控制台或工作负载自动配置安全策略，持续监控管理配置。

10、网络流量可视化，微分割进出工作负载和数据中心的流量，并检测工作负载的活动日志。

根据Forrester对全球604位业务/技术决策人的采访报告，60%的受访人认为制定全面的IT基础架构云策略至关重要。在合理使用云的过程中，49%受访者认可要提高安全或合规能力，42%受访者支持按需部署的能力和延展性，38%对象希望通过购买服务减少开支。

三、厂商能力

虽然一些企业内部的安全团队能够帮助企业解决某些云上挑战，但无论从延伸性还是从能力和成本方面来看，商业化的CWPP和CWS方案都比企业内部的举措要省力、省时、省钱。国内外代表厂商主要有：

CloudPassage

CloudPassage Halo支持私有云、公有IaaS和混合云环境，提供安全可视化和安全情报、访问管控、合规性报告、漏洞管理、入侵检测、基本的日志监控IDS功能以及安全管理访问多层内部验证，覆盖范围非常广泛。

特点：按需部署，自动化，协同工具，延展性

Dome9

Dome9 SecOps是基于SaaS的可扩展架构，包含广泛的安全和合规性管控，配有大数据驱动的安全分析和策略引擎，可实现策略可视化、动态访问租赁、合规审计和文件完整性监测。该方案还可结合IaaS内置安全框架（如AWS安全组件），提供防火管控和威胁可视化。

特点：策略自动化引擎，快速交付，敏捷性和有效性

Illumio

Illumio的自适应安全平台利用自然语言策略，不依赖任何基础网络，能够持续计算且实时执行准确的自适应安全策略，可以1）为每一个云负载和数据中心负载计算并配置准确的安全策略；2）实现应用流量、违反策略、攻击警告实时可视化；3）创建合规的加密方法；4）集成DevOps的同时实现自动保护。

特点：自适应安全、情景感知、可视化、自然语言策略、工作负载/应用分割

Symantec

Symantec数据中心安全服务利用内置防火墙、FIM、漏洞处理HIPS、应用程序管控和应用行为控制，提供网络分割。该方案能够防护本地、 AWS和 OpenStack 环境中的恶意软件，保护主机 IPS/IDS 、文件完整性监测和网络 IPS，加固和检测应用工作负载。

特点：安全强化自动响应、反恶意软件

Trend Micro

Trend Micro提供网络分割服务选项、文件和系统完整性监控、漏洞处理HIDS/HIPS，使用数据报深度检测、日志分析、反恶意软件扫描。Deep Security利用基于网络和基于文件的安全，抵御漏洞利用、恶意软件和未经获准的系统更改。

特点：防火墙、文件完整性监测、日志审查、反恶意软件

Tripwire

Tripwire提供agent和无agent两种方案，覆盖本地、私有云、公有云工作负载安全，包含配置评估、文件和系统完整性监控、漏洞管理、资产盘点、日志管理以及最近增添的行为和威胁监控、检测和反应等EDR功能。

特点：文件/系统完整性监控、EDR功能

vArmour

vArmour分布式安全系统（DSS）既提供基础安全功能，又有可延展的安全能力。微分割每一个工作负载阻止恶意的行为或事件。DSS可以直接内置到网络分割流量和Tap模型中，满足工作负载流量可视化要求、检测确认可疑行为、保护多云环境。

特点：可拓展、可视化、操作性强

青藤云安全

国内第一家基于自适应安全理念的厂商，其安全架构集预防、检测、响应和预测功能于一体，有效联动内部、边界和外部三个agents，实现程序、机器、业务级别实时监控。该厂商方案通过三步走实现可视化的安全策略：1）自动清点企业资产，发现企业内外风险，降低95%攻击面；2）根据业务模块灵活配置安全功能，满足定制化需求；3）快速响应攻击或入侵行为，通过蜜罐等锚点、UEBA模式匹配、服务器访问关系生成异常行为警告并处理。快速安装agent接入安全功能，自动化配置安全策略，无需值守。

特点：自适应安全、安全联动、一站式安全服务、快速安装部署

四、市场建议

当前仅保护终端台式机或笔记本的解决方案难以为继，而虚拟机的广泛使用要求服务器工作负载配置专门的应用程序，因此企业必须利用各种安全策略来保护服务器工作负载。企业可根据自身需求评估并选取最适用的方案，保护多样化的云生态。企业最终采用的CWPP和CWS方案应该：

1、支持云扩展。利用即插即用的扩展应用满足需求或者通过API接入外部安全功能，充分发挥方案架构的延展性

2、最好作为服务交付。Forrester预计，将CWS作为服务来部署将会减少30%-50%的云安全相关的劳动力成本。

3、情报共享。厂商要提供全面的威胁、社区情报，告知企业安全运营官最新的攻击趋势，甚至直接提供保护方案，更好地防御威胁。

4、适用于任何环境。如今用户需要确保本地、私有云、SaaS、PaaS和IaaS环境下工作负载的安全。CWPP/CWS方案至少要覆盖AWS、Azure、Rackspace和VMware管理程序。

5、作为单一方案但能提供广泛而集中的管控措施。在云安全领域中，CWPP/CWS方案的功能应该尽可能广泛，最少包括：1）文件、配置的管理和完整性监控；2）网络安全；3）打补丁；4）入侵检测；5）日志文件分析；6）虚拟化管理程序安全；7）认证集成开发运维工具如Chef\Puppet等。