云工作負載保護是確保跨不同云環境移動的工作負載安全的過程。整個工作負載必須正常運行，基于云的應用程序才能正常工作，而不會引入任何安全風險。因此，應用服務的云工作負載安全和工作負載保護與桌面計算機上的應用安全有著根本的不同。

網絡犯罪分子正在增加勒索軟件攻擊和針對企業的數量。隨著云計算基礎設施的激增，漏洞也在增加。依賴于預防性端點保護或限制對端點設備的訪問的安全策略缺少云中正在發生的事情。為了保護自己免受網絡攻擊，使用私有云和公共云的企業需要專注于保護自己免受工作負載級別的傷害，而不僅僅是端點。

為什么云工作負載保護很重要？

工作負載由支持應用程序及其交互的所有進程和資源組成。在云中，工作負載包括應用程序、由應用程序生成或輸入到應用程序中的數據，以及支持用戶與應用程序之間連接的網絡資源。如果工作負載的任何部分受到損害，基于云的應用程序將無法正常運行。

工作負載安全在混合數據中心架構中尤其復雜，該架構采用從物理、本地機器到多個公共云基礎設施即服務 (IaaS) 環境到基于容器的應用程序架構的所有內容。云工作負載安全特別復雜，因為隨著工作負載在多個供應商和主機之間傳遞，保護工作負載的責任必須分擔。

使用 CWPP 的云工作負載保護

Gartner 將云工作負載保護平臺 (CWPP) 定義為“主要用于保護公共云基礎設施即服務環境中的服務器工作負載”的技術解決方案。CWPP 允許多個公共云提供商和客戶確保工作負載在通過其域時保持安全。

使用 CWPP 保護工作負載的主要方法有兩種：微分段和裸機管理程序。

• 微分段：確保工作負載受到保護的一種方法是實施 稱為微分段的網絡安全技術。通過微分段，安全架構師將數據中心劃分為不同的安全段，直至單個工作負載級別，然后為每個段定義安全控制。網絡虛擬化技術取代了物理防火墻，并允許微分段來定義靈活的安全策略，以隔離和保護各個工作負載。雖然端點保護旨在防止威脅進入環境，但微分段可防止惡意軟件在環境中從服務器遷移到服務器。
• 裸機管理程序：裸機管理程序可以提供額外的工作負載保護。管理程序是一種虛擬化軟件，它通過將計算機的軟件與硬件分離來支持虛擬機的創建和管理。裸機管理程序直接安裝在物理機的硬件上，位于硬件和操作系統之間。因為 管理程序 創建的虛擬機相互隔離，所以如果一個虛擬機出現問題或受到攻擊，問題就會與該服務器隔離，這意味著其他虛擬機上的工作負載不會受到影響。

一些 CWPP 解決方案支持啟用虛擬機管理程序的安全層，這些安全層專為保護云工作負載而設計。

工作負載保護與應用程序安全有何不同？

應用程序安全性是指將應用程序本地部署在桌面上，一個用戶訪問應用程序的每個實例。桌面應用程序中唯一的安全漏洞是應用程序代碼中的漏洞——環境的其余部分可以忽略不計。從歷史上看，IT 組織可以通過保護桌面并防止威脅到達它來確保應用程序的安全性。

基于云的應用程序需要不同形式的應用程序安全性。用戶和應用程序之間的抽象為漏洞創造了更多機會，特別是如果組織不通過使用公共云來控制部分環境。由于基于云的應用程序在工作負載的所有部分都無法正常運行的情況下無法正常工作，因此企業必須保護和監控工作負載的每個部分，而不僅僅是應用程序。

工作負載保護的好處

基于云的應用程序的挑戰在于，工作負載可能會在幾個不同的環境中移動，所有這些環境都由不同的供應商和技術擁有和保護。CWPP 可以跨這些環境提供工作負載保護。通過 CWPP 實施工作負載保護有很多好處：

• 工作負載行為監控：監控工作負載行為是云工作負載保護的重要組成部分。CWPP 通過工作負載監控提供工作負載安全的兩個重要方面：檢測和響應。通過監控工作負載行為，CWPP 可以在任何地方檢測到入侵并發出警報。
• 配置工作負載的可見性和能力：查看單個工作負載中發生的情況并能夠配置這些工作負載以管理漏洞是工作負載保護的一個重要方面。
• 綜合日志管理 和監控：當工作負載的每個部分都有與之關聯的不同安全技術時，監控所有部分可能會很耗時。CWPP 提供了一個單一窗格，顯示每個環境中工作負載的每個部分正在發生什么。
• 系統強化和漏洞管理：CWPP 可能能夠通過識別可能造成安全風險的多余應用程序、權限、程序、帳戶、功能、代碼等來幫助您消除潛在的攻擊媒介。
• 內存保護：內存保護，僅包含在少數 CWPP 中，是一種新興的安全控制，隨著黑客開發新技術來利用內存中的弱點并輕松繞過傳統的安全方法，它變得越來越重要。
• 最新的威脅情報：一些 CWPP 在其客戶群中共享 威脅情報 ，為新威脅提供預警系統。

安全形勢在不斷發展，對于將云作為其計算基礎設施一部分的組織來說，傳統的安全系統已經不夠用了。企業需要規劃跨多個云環境的工作負載保護。云工作負載保護平臺可以提供對多個環境的可見性，同時從一個儀表板整合和處理安全警報。