近年来，CWPP（Cloud Workload Protection Platform，即云工作负载安全防护平台）成为云安全领域的关注热点。Gartner在2021年发布了《Market Guide for Cloud Workload Protection Platforms》（云工作负载保护平台（CWPP）市场指南）。报告指出美国2021年CWPP市场规模将达到16.99亿美元。目前中国市场规模要远低于这个数字，国内市场还没有彻底释放。报告还提到了以下核心观点：

1、云原生应用程序在开发过程中就需要考虑云原生安全，尤其是容器和无服务器PaaS要更早地加入CWPP理念。

2、76%的企业正在使用多个公共云平台（IaaS），但仍有本地部署的工作负载需要保护，客户业务环境处于混合、多云架构下仍是常态，使用IaaS最大的挑战是安全风险增加。

随着企业上云的步伐越来越紧密，以及多云的部署形式成为一种趋势，其安全刻不容缓，它区别于传统的网络安全，安全一旦出现风险其影响面之广，所以更加需要成体系的解决方案。

基于CWPP理念——绿盟一体化终端安全管理系统

基于云上的安全风险，Gartner提出的CWPP涵盖了工作负载整个生命周期的安全需求，涉及的控制点较多。Gartner同时将CWPP的能力做了分层，明确了核心能力和附加能力。

从上图可以看出CWPP的核心保护策略是加固和防护，包括漏洞利用防护/内存防护、应用程序控制/白名单、系统完整性保护、微隔离与流量可视化、加固配置和漏洞管理。下面以绿盟一体化终端安全管理系统为例，分析一下产品能力和CWPP契合度以及在CWPP架构中发挥的作用。

加固、配置、漏洞管理

这项能力也是CWPP最底层的核心能力，同样是安全运营中重要工作之一，但是打补丁、修漏洞一直是业界比较头疼的问题，绿盟一体化终端安全管理系统提供漏洞分析和攻击诱捕能力可以有效应对。

漏洞分析：将识别到的主机信息，补丁信息，应用信息，文件信息等进行上传管理平台后，最后将漏洞数据上传并进行主机脆弱性统计与分析。

攻击诱捕：Agent会在工作负载上关键磁盘目录进行创建文件和目录，伪装成服务，监听可能被攻击的端口，以用来捕获攻击者行为。单独攻击诱捕视角呈现诱捕情况，统计分析诱捕事件，协助用户加强漏洞的管理、配置及加固。

网络防火墙，可视性及微隔离

微隔离主要防御内网渗透，如今在内网环境下，端口访问管理工作存在安全风险，一旦一台工作负载沦陷，以它为跳板进行漏扫、爆破，横向移动将轻而易举。绿盟一体化终端安全管理系统提供的流量微隔离能力可以对流量进行精细化管理，可以有效应对东西向横移威胁。

流量微隔离：提供针对云主机的东西向流量采集，可基于微隔离策略的细颗粒度响应进行处置，其产品拥有强大的检测能力，其中包括：入侵检测、Web攻击检测、恶意文件检测、Webshell攻击检测、威胁情报、文件沙箱、异常行为等，能够快速狙击APT威胁。

系统信任保证

主要指工作负载中系统核心文件的防护，目前比较好的防护思路是对文件/目录的运行状态和完整性做监控和限制防止系统目录的文件被恶意修改或者恶意文件执行。绿盟一体化终端安全管理系统在此项要求上提供状态监控能力，对工作负载运行状态进行实时监控。

状态监控：采集行为审计日志，及相关资产指纹主要包括了进程监控与网络连接监控，资源使用率等。环境感知包含对主机的用户账户配置权限变化感知、用户密码修改感知、软件安装感知、硬件变化感知，并且用户可自定义关键路径安全审核项，提供用户可配置多个文件目录与注册表路径审核项，对关键信息进行全方位的实时监控。

应用程序控制白名单

工作负载中会有部分应用存在过高权限的情况，如数据库具备创建可执行文件的权限等，容易被攻击者利用，绿盟一体化终端安全管理系统具备应用程序控制，能够对系统启动项、进程、应用进行监测和防护。

反恶意软件

反病毒作为CWPP附加安全策略其地位也是非常重要的。绿盟一体化终端安全管理系统，在此项能力要求下集成了绿盟科技自有的杀毒能力，支持通过病毒查杀策略，可选择查杀方式、指定查杀对象以及查杀时间，其中查杀方式包括快速查杀以及全盘查杀等多种查杀方式。

客户价值

1、提升企业安全防护能力

通过完善的弱点分析能力，包括漏洞、合规、弱口令快速分析，充分感知获取客户环境的脆弱性信息；布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

配置多种检测防护策略覆盖了EDR场景，主要包含黑客程序告警、危险进程告警、可疑行为告警、挖矿程序查杀等一系列基于行为的检测，并且内置轻量病毒查杀引擎，并含有当下最热门最易攻击的病毒特征，方便快速查杀云工作负载关键位置及运行中的文件进程。

2、智能威胁建模，提高安全事件分析能力

绿盟一体化终端安全管理系统将攻击链模型、ATT&CK模型、威胁知识图融入到平台威胁分析建模，从海量数据中聚效到攻击者攻击行为，对于规则命中的威胁，统一生成终端威胁事件，支持威胁事件攻击过程、攻击链、ATTCK等信息关联分析，追溯威胁事件发生的主机、进程、文件路径、还原事件发生过程。

3、多重闭环响应，提高响应处置能力

及时响应在终端安全场景下是必不可少的能力，绿盟一体化终端安全管理系统提供最基础的响应能力，包含主机隔离、网络链路封禁、文件隔离、进程查杀等。从网络到端点，从运行到磁盘多个维度进行全面封锁，应对各类响应场景。提供统一的访问控制策略设置，基于微隔离策略，实现对主机出入栈双向的访问控制，从而对主机进行细粒度的响应处置。

同时通过绿盟安全运营管理平台的联动以及安全编排自动化响应组件联动可以将安全工程师分析、研判、处置经验固化，在事件发生时实现自动化编排与响应的能力，提降低MTTR处置响应时间。

4、降低运维难度、提升运维效率

绿盟一体化终端安全管理系统真正做到计算节点安全多维能力统一覆盖，网络安全体系下的端点统筹，工作负载安全唯一Agent、业务及技术架构统一化管理。一个Agent解决所有云工作负载安全相关难题，真正做到方便运维，提升企业整体云工作负载安全运维效率。

从目前来看，国内市场使用CWPP理念的企业越来越多，一是切实可行降低企业使用公有云、混合云带来的安全风险；二是工作负载的载体也在快速变化从物理机、虚拟机、容器到serverless，负载的生命周期越来愈短，安全逐渐左移，CWPP将与CSPM融合，变成新的产品形态：云原生应用程序保护平台（CNAPP）。

2022年5月，绿盟科技正式发布云化战略——T-ONE CLOUD（inTelligent First security，智慧安全优先），以“云运营再造新安全”为目标，旨在以云的思路重构安全运营体系，为用户提供弹性敏捷的安全闭环保障能力。未来，绿盟科技会持续投入云安全领域，为更多用户提供“用得起，看得见，抓得全，管得住”的安全云服务。

参考文献

[1] Market Guide for Cloud Workload Protection PlatformsPublished 12 July 2021 - ID G00725997

备注：Gartner并未在其研究报告中支持任何供应商、产品或服务，也并未建议科技用户只选择该等获最高评分或其它称号的供应商。Gartner的研究报告含有Gartner研究与顾问组织的意见，且该意见不应被视作事实陈述。就该研究报告而言，Gartner放弃做出所有明示或默示的保证，包括任何有关适销性或某一特定用途适用性的保证。