云安全CWPP技术详解

深信服认证

{{ttag.title}}
本帖最后由 深信服认证 于 2022-12-9 17:56 编辑

第一章 什么是CWPP

1.1 CWPP定义
CWPP全称为云工作保护平台(Cloud Workload Protection Platform),是被Gartner连年力推的一款云安全工具。云工作负载主要就是指虚拟机和容器,因此CWPP也可以被理解为是虚拟机和容器的安全防护产品和解决方案。在这个解决方案中,由于同时涉及到了主机安全和网络安全,所覆盖的范围是非常大的,所以Gartner 2020年的CWPP市场指南中就已经把CWPP的技术方向细分到了十几个。基于不同的技术方向,逐步出现了不同形态和功能的产品。

1.2 CWPP产生背景
近些年来,随着云计算市场的发展,越来越多的企业都开始选择业务上云,而且同一个企业会可能会采用不同的云技术和云厂商,多云结合已经成为了一个企业中长期存在的场景,公有云私有云的混合方式已发展为主流趋势。云产业越来越成熟,传统的服务器市场慢慢很多都在迁移到云上,很多用户都开始使用容器、微服务这些技术。随之而来的云安全问题也便越来越多,云安全市场需求也越来越大。

云计算的特点就是跨物理地域、分布式、动态变化,因此,传统安全防护手段无法满足安全防护需要,CWPP也就应运而生。Gartner对CWPP定义就是面向多云/混合云环境,大规模分布式部署,安全防护能力对云工作负载(虚机和容器)始终跟随的产品形态。

要解决云安全问题,在技术角度上讲,最佳的方式就是就是与云平台进行云原生的对接,比如利用一些云服务提供商提供的接口来进行安全开发处理。比如通过接口实现VPC隔离,或者基于流量镜像进行安全分析。但是实际上云服务提供商众多,接口也各不相同,所具备的安全能力也不尽相同,没有统一的标准去做这些安全。基于这一现状,出现了以agent形式的CWPP安全方案。

第二章CWPP能力

Gartner定义的产品能力的金子塔说明了对CWPP产品能力的定义,如【图- Gartner CWPP能力金字塔模型】所示,越是靠近基座的功能越重要,越是靠近塔尖的功能越次要,针对CWPP的产品能力需求,我们下文进行逐一的说明。

【图- Gartner CWPP能力金字塔模型】

CWPP对云上的工作负载,提供多个维度、全方位的保护能力,Gartner把这种能力分成了8个大类别,从上到下,重要程度逐层递增。核心工作负载保护策略,是CWPP中最基础、最重要的功能。在CWPP能力模型的底部,是最基本的运维能力,因为如果想要实现工作负载的安全,那良好的运维习惯一定是必需的。这些运维习惯包括了限制任意代码、管理员的特权管理、变更管理以及日志管理。在安全运维习惯的基础之上CWPP重点关注底部五层的核心工作负载保护策略。

加固、配置与漏洞管理(Hardening, Configuration and Vulnerability Management):加固是针对系统、镜像等的加固,通过关闭非必要功能、端口和服务,及时进行系统补丁更新维护。配置即为服务器的配置优化,是针对操作系统层和应用层进行配置,保障系统以及应用的安全合理性,以提升安全能力以及防攻击的功能,避免因为错配和漏配导致产生安全问题。漏洞管理是针对操作系统漏洞和应用程序漏洞的管理,在网络安全事件中,基于漏洞的攻击数量一直居高不下,而最常见的最严重的漏洞就是系统漏洞和WEB应用漏洞。因为WEB应用一般对外提供,所以必须暴露与互联网之中,因此安全要求极为重要。基于上述的能力要求,CWPP需要支持针对系统的加固,以及配置的基线检查和漏洞防护的功能。漏洞管理,分为操作系统漏洞管理和应用漏洞管理。目前网络攻击主要是通过web服务器或者web应用漏洞发起,因此CWPP产品要能提供标准化、同时支持制定自定义的web应用漏洞防护策略。

基于身份的网络微隔离和可视化(Network Firewalling, Visibility and Microsegmentation):在这一能力要求中,包括了两个部分内容,分别是微隔离和可视化。想要实现微隔离和可视化的前提,就是要先识别资产,只有在资产被识别后才可以针对资产进行管理,这里所说的资产可以是主机、虚拟机、容器等工作负载,所以图形化管理用户的主机业务资产是CWPP的必要条件。微隔离,就是在资产识别基础之上手动或者自动的进行流量的隔离,这里的隔离主要是东西向流量的隔离,微隔离的基本实现方式是通过agent控制本地的安全程序,如管理windows和linux系统内置的防火墙,来进行流量分割管理。并且这里的流量分割管理是可以跨物理、虚拟架构、网络基于角色的访问策略。可视化要求能够提供可视化和监控通信流量,即能知道工作负载间的通信情况。

系统完整性保护(System Integrity Assurance):完整性保护的最终目标是保护系统文件或者指定目录、文件不被恶意修改,并且提供监控模式和防护模式。这一功能,要包括两个方面,首先在BIOS层面,管理程序和虚拟镜像以及容器镜像等,在正式使用或者加载之前,要进行安全的评估,这一评估过程一般无法通过软件功能进行直接实现,一般会通过物理系统中硬件层面的可信任措施实现评估。其次就是在工作负载正式启动后,在使用过程中,实时的监控核心系统文件完整性,包括监控windows注册表、启动目录、驱动和引导加载程序。

应用程序控制(白名单)(Application Control/Whitelisting):这一功能需要CWPP产品能够识别工作负载中运行的应用,并且根据具体的应用实际情况,提供相应的防护策略。举一个简单的例子,在windows系统中使用的远程桌面RDP应用和在linux 操作系统的的SSHD服务。CWPP需要识别相关进程,并且能够通过策略控制对该进程的访问,访问控制可以基于多维度,如时间、源地址等,同时也可以针对这些应用提供方暴力破解的防护等。实际上,在当前的云工作负载场景中,绝大多数都只是运行一个应用,这在容器和微服务的工作负载里尤为适用。实现应用控制一般会使用白名单来控制文件的权限,只允许特定权限的白名单文件的运行和使用,使用这种方式可也有效的组织恶意文件和软件。许多CWPP解决方案会提供内置的应用控制功能,比如调用内置的OS应用控制功能,如Windows, SELinux系统的软件限制策略和应用程序控制策略(Applocker)或Linux系统的AppArmor。

漏洞利用预防/内存保护(Exploit Prevention/Memory Protection):漏洞加固在第一层的“加固、配置和漏洞管理”阶段已经针对NDAY漏洞进行了修复的要求。因此在这里的漏洞利用防护主要指未知漏洞0Day的防护。0Day漏洞大概可以分为两类:系统漏洞、应用漏洞。对于一个工作负载而言,系统漏洞危害是非常大的,但是系统一般不会直接对外暴露所以利用难度也会较大,尤其是在内网的本地环境部署。应用漏洞中的WEB漏洞是最常见、最易被攻击和利用的漏洞。因为Web应用需要开放端口被外部访问,因此应用漏洞的被利用的概率要大的多。目前对抗应用漏洞的思路是应用运行时自我保护技术(RASP)。RASP是从应用内部对关键函数操作的数据进行分析,即使原始请求经过加密和混淆,但是它在应用内传播到最终的底层函数时将会以明文方式被RASP截获,因此相比WAF能减少大量的误报和漏报问题。基于此特性,RASP还能为安全人员和开发人员提供更为详尽的攻击链路,包括攻击原始 Payload、代码调用堆栈等信息,方便他们进行漏洞定位、复现以及修复。这样可以有效发现和阻断0Day漏洞的利用。内存防护是内存运行时自我保护技术,因为在工作负载上执行的数据都需要经过内存进行储,所以通过对内存行为的监控可以识别无文件攻击(powershell、vbs等)、内存型Webshell等基于文件监测无法识别的新型攻击手段。

第三章 CWPP与EDR异同

3.1CWPP与EDR相同点
CWPP与EDR(Endpoint Detection & Response,终端检测和响应)两个安全产品,在功能上有很多重叠的部分,比如两款产品均具备资产识别、漏洞与补丁管理和基线检查的功能。

3.2CWPP与EDR差异点
在正式了解两个产品的区别之前,需要先了解两个概念,那就是主机和终端。主机是一个统称,主机是连接到网络的计算机或其他设备,服务器是提供服务的软件或硬件设备,日常所说的服务器一般是指提供服务的主机,所以说主机覆盖了服务器,同样的提供服务的虚拟机也同样是主机的范畴。而终端与主机并非是一类概念,终端指桌面电脑、笔记本、个人设备等用于访问网络、数据和应用的设备。CWPP产品的防护对象,主要是主机类。而EDR产品的防护对象,更多是在终端类。这是两款产品在安全防护对象上的差别。

终端安全发展到了CWPP是因为工作负载变成了虚拟机、容器和无服务器阶段,在这种混合数据中心架构下,需要这对这些工作负载进行一个统一的管理,统一的可见性和控制力,且agent必须足够轻量级不能影响负载的稳定状态。CWPP使用了非常轻量级的agent,而EDR产品的agent程序相对来说过大,并不适用如容器和无服务器类的这些应用。

CWPP的功能可以概括为通过资产管理、系统加固、配置和漏洞管理,减少系统本身的攻击面,重点在于从自身角度出发,避免的安全问题发生,更多在于事前阶段。而EDR这些层面的能力并非是重点部分,EDR更侧重于病毒的检测、隔离、闭环,针对病毒问题进行处理,是在事中与事后阶段。

综合汇总两款产品的差异点,总结如下:
差异点EDRCWPP
防护对象终端主机(服务器、容器、serverless)
产品架构EDR一般使用轻代理方式,本地放置引擎和规则库等,本地客户端具备管理界面,可以独立使用。CWPP是轻端重云架构,管理都放在云端,本地无规则库和分析引擎,本地客户端没有管理界面,主打轻量化业务无侵害。
部署场景部署与企业办公网络中,针对日常办公终端使用,部分情况可以用于数据中心。主要定位在数据中心维度,强调混合数据中心下的统一部署和管理。
产品关注点关注重点在于病毒防护,针对事中阶段进行拦截处置,强调的是安全问题闭环处置。更关注基础运维相关的内容如:资产管理、进程监控、变更管理、日志管理、权限管理、基线管理、系统完整性监控、应用程序控制,行为监控等,更聚焦在日常性的基础运维工作。
使用阶段主要用于安全事件的事中阶段处理和事后阶段闭环。主要用于安全事件的事前阶段,强调加固的重要性,做事前防护。

第四章 CWPP产品形态
在本章节,通过深信服的CWPP产品,来展示CWPP产品的具体形态和常规功能实现方式。

4.1 资产管理
资产管理通过agent对工作负载的信息进行采集,可采集工作负载五个维度的信息,分别是系统信息采集、日志文件信息采集、流量信息采集、网络信息采集、进程信息采集。通过资产管理可以识别开放暴露的端口以及违规的进程等。
4.2配置加固和基线核查
CWPP通过基线核查功能以及弱密码检测技术等,识别工作负载的配置错误项,并给出合理的整改建议。如下图所示,是针对系统用户的弱密码的检测。

CWPP设备内置了不同等保级别的策略模板,通过基线扫描的方式,对工作负载环境进行检测和比对,用于发现不合规内容,以便管理员及时整改。


4.3 防火墙微隔离
CWPP基于工作负载本身的防火墙软件,通过agent进行策略下发,来实现微隔离的功能,针对东西向流量进行控制。

4.4 漏洞检测
漏洞检测支持Windows操作系统漏洞检测、Linux内核漏洞检测及50+ Linux第三方应用漏洞检测,管理员可以根据检测结果指引自行修复。

4.5 入侵行为检测
CWPP针对入侵全过程进行检测并处置,如webshell、反弹shell、暴力破解、异常命令、权限提升、端口转发、远程命令执行、访问恶意地址、异常登录、异常扫描等入侵行为检测和处置。


4.6 主机行为审计
针对主机进行行为审计,支持审计主机敏感行为,如服务变更、新增端口、执行下载命令、Web目录文件变更、远程命令执行、文件权限变更、用户变更等敏感行为。

4.7病毒防御
病毒防御支持手动下发查杀及文件实时监控,仅支持指定目录下对PE文件和ELF格式的文件防御。
第五章 总结
以CWPP技术为基础,针对细分的技术方向可以开发出不同功能的产品,不同的产品适用于不同的场景。针对具体的产品和功能,需要根据实际的情况进行选择。CWPP产品也仅仅解决了部分云安全的问题,还需要配合其他云安全产品,共同构建安全的云环境。

本文作者:王小伟,深信服安全技术认证专家(SCSE-T),产业教育中心资深讲师,具备云安全联盟零信任安全专家认证、阿里云专家级架构师认证、项目管理PMP认证等多个认证;擅长企业级网络架构与网络安全设计,曾负责媒体、能源、金融等行业数据中心的网络安全规划及交付,拥有深信服产品近十年一线交付经验;多次担任深信服合作伙伴技术认证的培训讲师,具备丰富的讲师与实战经验。

热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
自助服务平台操作指引
排障那些事
标准化排查
秒懂零信任
技术晨报
安装部署配置
原创分享
排障笔记本
玩转零信任
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
社区新周刊
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

90
268
0

发帖

粉丝

关注

本版达人