什么是云工作量保护平台 (CWPP)？

CWPP 的优点包括宝贵的网络安全功能，可防止数据泄露，最大限度地减少停机时间，并确保在整个工作量生命周期内符合法规要求。这些功能包括：

• 实时可见性：CWPP 平台监控跨云环境的所有活动工作量，直至涵盖每个端点的访问控制，揭示重要的操作系统和应用程序信息，包括版本和补丁历史。

• 高级威胁检测：CWPP 可以通过检测云平台上的漏洞来减少组织的攻击面。机器学习、基于签名的检测和基于启发式的检测工具可抵御恶意软件和其他安全威胁。

• 提高监管合规性：CWPP 通过为复杂的云应用程序设计的广泛自动化和安全控制，帮助处理敏感数据的组织（例如金融和医疗机构）在简单防火墙之外保持监管合规性。

CWPP 在云安全状况管理 (CSPM) 中起着重要作用，通常集成到更广泛的云原生应用保护平台 (CNAPP) 中。

虽然不像包含应用安全的 CNAPP 那样全面，CWPP 平台通过保护工作量的完整性、机密性和可用性，帮助确保云工作量的安全。CWPP 解决方案可保护云基础设施架构和工作量，包括：

• 本地部署数据中心：位于现场数据中心的传统裸机资源。

• 云环境：私有云、公有云、混合云和多云变体。

• 虚拟机：虚拟机 (VM) 是模拟服务器，能够通过虚拟化模拟物理计算机系统，适用于在一台物理机上运行多种类型的操作系统。

• 容器：称为容器的系统级虚拟包用于在不同的云环境中协调一致地隔离和部署应用程序。

• 无服务器架构：基于云的无服务器功能，如更新或补丁，可以在无需管理底层基础设施代码的情况下进行部署。

CWPP 将各种安全工具整合到一个平台上，提供全面的网络安全保障，例如漏洞管理、入侵防御、运行时保护和合规性监控。这使安全团队能够快速做出事件响应和修复。

一个有效的 CWPP 是任何 DevOps 和 DevSecOps 云计算安全策略的关键组成部分。CWPP 在所有依赖云平台和云应用的行业中都很常见，对于降低安全风险、安全威胁和预防安全问题至关重要。

支撑云计算各项功能的基础，工作量指的是任何消耗云端资源的服务、应用或功能。简单来说，云工作量是访问云服务所需的资源、过程和辅助任务的任何组合。

云工作量可能包含计算资源、数据存储、网络功能、应用程序以及用于完成请求的任何数量的处理任务。虚拟机、数据库、应用程序、微服务、节点和其他工作量都容易受到安全威胁。

根据 Orca Security 2022年《云安全状态报告》(Cloud Security Report)¹，使用云服务的大多数企业面临安全事件的高风险，其中 81% 的企业存在暴露在公网的不安全资产。总体而言，在所有受访组织中，11% 的存储资产被发现容易受到多种安全威胁，其中包括以下几种：

• 数据渗透：数据泄露发生在未授权用户访问受保护的文件时，并可能对敏感信息进行破坏、窃取或泄露。IBM 数据泄露成本报告发现，存储在公有云中的泄露数据造成的平均泄露成本位居第二，为 468 万美元。

• 违规行为：组织将客户数据（例如健康记录或信用卡号码）存储在云端受到严格的网络安全法规约束。IBM^® X-Force Threat Intelligence Index 2025 发现，数据失窃占所有安全事件的 18%。当公司未能保护用户数据时，不仅会面临高额的法律责任罚款，更可能失去客户的信任。

• 中断与停机：云漏洞是潜在的严重攻击途径，可能会摧毁组织，甚至影响公共基础设施。一个例子是 Colonial Pipeline 攻击，该攻击导致美国东海岸的关键公共和私人燃料供应中断，造成 500 万美元的数据损失和近 100 万美元的监管罚款。然而，即使是较小的安全事件，也可能对企业的利润产生重大影响。《数据泄露成本报告》指出，遭受数据泄露的组织平均会遭受 138 万美元的业务损失。

随着基于云的服务在软件即服务 (SaaS) 应用、平台即服务 (PaaS) 产品以及日益远程化的员工队伍的推动下，云平台的保护变得越来越重要且复杂。

随着云资源在混合云和多云平台上分布，每种新型环境都带来了独特的挑战和参数。CWPP 可保护组织免受网络威胁，减轻服务中断，并帮助确保在日益复杂的云环境中符合监管要求。

CWPP 使用各种方法和工具自动检测和分析云环境中的任何活动工作量，以监控网络、检测潜在问题并应用可自定义的安全标准。

许多开发运营团队采用持续整合和持续部署 (CI/CD)方法，在云服务可用时立即启动更新，并不断迭代各种功能。CWPP 通过跟踪新部署，并在新功能和更新发布时应用和维护标准化安全协议，来贡献额外价值。

CWPP 的具体功能可能因供应商而异。但是，从 Gartner 到 Cloudstrike 的各种安全专家以及 Amazon Web Service (AWS) 和 Azure Kubernetes Service (AKS) 等领先提供商，均建议采用以下通用保护措施和功能：

• 网络可见性和工作量发现：CWPP 将为授权用户提供一个仪表板，以监控从整个网络到各个网段和用户的活动。管理员可以提供系统级控制，例如根据预定义的安全策略和安全最佳实践将特定应用程序、资源或活动列入白名单或黑名单。

• 漏洞扫描：漏洞评估会在部署工作量之前自动扫描工作量的潜在弱点或配置错误，从而轻松实现可扩展性。安全措施可能包括防火墙、恶意软件检测和微分段（将平台划分为更小的子部分，以减缓并遏制潜在的攻击）。端点检测和响应 (EDR) 和基于主机的入侵防御可以保护云工作量免受外部服务器攻击或渗透。CWPP 通过缩小组织的攻击面并促进左移安全态势和零信任方法论，强化所有新的和现有的云工作量。

• 配置和合规性监控：CWPP 提供持续的网络诊断，确保整个云系统按预期运行，以减轻可能导致攻击的任何云配置错误。此外，行为监控会扫描任何可疑的网络活动，这可能表明存在未经授权的使用或访问。

附加服务、功能和能力可能包括：

• 运行时保护

• 容器和 Kubernetes 安全配置

• 应用程序安全

• CI/CD 管道集成

• Web 应用程序和 API 安全 (WaaS)

• Web 应用程序防火墙 (WAF)

某些 CWPP 解决方案可能更适合（或更差）组织的特定工作流要求。虽然所有 CWPP 可能提供类似的安全措施，但它们以不同的方式提供保护。CWPP 的两种主要类型是传统的基于智能体的和更现代的无智能体类型。

传统的基于智能体的 CWPP 需要在每个云工作量上安装一个软件代理。基于代理的 CWPP 的优势包括：

• 详细了解工作量、网络流量和系统配置，以进行广泛的安全监控。

• 实时威胁检测，可缩短对活跃威胁的响应时间。

• 可定制的智能体可以根据单个工作量或工作量类别的需求进行配置。

虽然基于智能体的 CWPP 提供了一些优势，但它们的部署速度较慢，并且通常会因为增加大量开销而减慢工作量和平台的速度。由于基于智能体的 CWPP 在工作量级别提供安全性，因此部分部署的智能体会造成安全盲点，任何可能部署的工作量都会变得非常脆弱。

无智能体的 CWPP 集成在云服务提供商的 API 中，避免了为每个工作量单独打包智能体的需求。这种方法牺牲了精细控制和实时监控能力，换取了多项宝贵的优势，包括：

• 部署速度大大提高。

• 全面持续覆盖所有云资产，包括现有和新创建的资产。

• 通过消除与单独智能体相关的资源消耗和潜在的兼容性错误，减少了智能体部署、更新和管理的开销，并提高了工作量效率。