一、什么是CWPP

云工作保护平台（Cloud Workload Protection Platform）简称CWPP。自2016年到2019年连续四年Gartner的市场指南（Market Guide）分析报告中可以看出这四年里面的CWPP产品的定义、基本产品特性以及厂商都发生了很大的变化，同时云安全炒作曲线（Hype Cycle）也完成了从膨胀期到幻灭期的周期。在每年的云安全最酷厂商（Cool Vendor）中也不断有CWPP厂商的加入，让这个领域的厂商越来越多。

( 云工作负载安全防护平台）这一被Gartner连年力推的云安全工具,到底是什么？

CWPP，全称是Cloud Workload Protection Platform，顾名思义，云工作负载安全防护平台，这个产品品类是Gartner提出的。事实上，云工作负载主要就是指虚机和容器，因此CWPP就是虚机和容器的安全防护产品和解决方案，由于同时涉及到主机安全和网络安全，覆盖面很大，Gartner 2020年的CWPP市场指南中就已经把CWPP的技术方向细分到了十几个。

云计算的特点就是跨物理地域、分布式、动态变化，因此，传统安全防护手段无法满足安全防护需要，CWPP也就应运而生。Gartner对CWPP定义就是面向多云/混合云环境，大规模分布式部署，安全防护能力对云工作负载（虚机和容器）始终跟随的产品形态。

从技术角度来看，最核心的是跟云平台原生的对接，利用AWS或者Azure提供的接口来进行相关安全措施的处理。 比如说通过VPC接口可以做到相关业务的微隔离，也可以通过traffic flow log来进行流量的安全分析。

0. 背景

近年来，随着云计算市场的发展，不少企业都开始选择业务上云，并且企业并不只是采用一种云，而是采用多种云相互结合的方式，例如，公有云、私有云、混合云等等。企业采用多云方式已发展为主流趋势。

2014年是云在整个企业领域赢得认可的一年，那么2015年就是云产业成熟，称得上是一项主流技术的一年。云安全市场需求巨大，传统的服务器市场慢慢很多都在迁移到云上。

很多用户都开始做微服务、容器这块的技术。

Gartner曾提出三大云安全管理工具，分别是CASB、CSPM和CWPP。虽然这三大工具在一些功能上有所重叠，但三者之间更多是起到互补作用。

总结：CWPP，顾名思义，这是为云计算工作负载提供安全防护的产品。

1. CWPP主要守护范围

CWPP主要守护范围的是云计算的IaaS层，而从目前国内市场看，IaaS产品是最成熟同时应用最广泛的，“公私混托”各种模式都在成规模部署。

因为IaaS火，保护IaaS的CWPP自然就火了，成为云安全大框架下最热门的技术范畴。

工作负载涉及的保护层面太多，做成防护一两个层面的单体产品容易，做成面面俱到的“防护平台”就比较难了，也显得不专业。所以很多厂商针对CWPP 都是有多套产品。

2. 云工作负载保护平台（CWPP）

云工作负载保护平台（CWPP）市场是指以工作负载为中心的安全产品，旨在解决现代混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。CWPP应该不受地理位置的影响，为物理机、虚拟机、容器和无服务器工作负载提供统一的可视化和控制力。CWPP产品通常结合使用网络分段、系统完整性保护、应用程序控制、行为监控、基于主机的入侵防御和可选的反恶意软件保护等措施，保护工作负载免受攻击。

总结： 简单来说只要是业务的载体（运行平台）都可以叫工作负载，包括物理服务器、虚拟机、容器和无服务器（serverless）。

所谓工作负载，就是承载计算的各种类型节点（物理机、虚拟机、容器、无服务器）。

3. EDR、CWPP、微隔离——这仨货到底啥关系？（非原创，原文见参考URL）

EDR、CWPP、微隔离——这仨货到底啥关系？
参考URL: https://baijiahao.baidu.com/s?id=1675449053950557772

• EDR
  从EPP脱胎而来，核心能力在于深入的行为分析与系统响应。EDR中的D说的就是侦测（detection）。与过去的基于特征的签名比对技术不同，EDR一般来说是利用对系统行为的建模与数学分析来发现攻击。

• CWPP
  核心是为云计算工作负载提供安全防护的产品。CWPP也可以认为是从EPP分化出来的，因为云计算工作负载或者服务器自身的计算特征以及所面临的安全威胁的类型都完全不一样，直接将终端产品拿过来用往往并不合适，所以Gartner专门定义了一个CWPP产品，大家如果有兴趣去看会发现，CWPP和EPP有一定的功能重叠，但区别还是非常大的，所以Gartner将其定义为两个不同的品类。

• 微隔离
  对工作负载之间的访问流量进行可视化分析和访问控制的产品。 微隔离可以认为是对防火墙技术的发展与颠覆，用来对数据中心网络进行点到点的精细化访问控制。

适用范围的区别

首先我们要明确一件事情，那就是终端（endpoint）和服务器/工作负载（server/workload）是两类东西。终端就是指桌面电脑、笔记本、个人设备这一类用于访问网络、数据和应用的设备。而服务器/工作负载是提供服务、存储、计算的设备。这两者的区分一直非常明确。但是，在国内似乎有一种把这个区分给取消的声音，大家在把端点的概念泛化，把所有具备独立操作系统的东西都称之为端点。这种滥用给市场带来了信息上的混乱，也给用户在产品选型时带来了困扰。大家只要记住，EPP和CWPP是Gartner分别独立定义的产品就好了。从这个视角看，EDR是面向终端的产品，而CWPP和微隔离是面向服务器和工作负载的产品。

方法论的区别

CWPP作为一个品类，它可以承载很多不同的技术类型，所以其自身反而是个中性词，没什么方法论倾向。而EDR和微隔离却代表着两类截然不同的安全方法论。我们先扔个结论，EDR是攻防对抗思想的高峰，而微隔离是零信任思想的基石。

EDR的核心能力是异常行为分析，虽然相较于传统杀毒软件的基于恶意代码签名的特征匹配方式有了长足进步，但是它们的技术本质是一致的，那就是永无止境的猫鼠游戏，攻击者想尽办法去隐藏，防御者想尽办法去发现。

**而微隔离的技术思路则完全颠覆了攻防对抗的思想，它是当下正当红的“零信任”安全思想的核心技术。作为一种零信任技术，微隔离不再感兴趣坏人长什么样子，相反它更关心好人长什么样子。**坏人会想尽办法躲避你，而好人会竭尽努力配合你。所以，相较于发现坏人，识别好人要容易得多。所以，我们可以看到微隔离完全是基于白名单的一种技术，而EDR则需要配置黑名单。看到很多所谓的微隔离产品还在配黑名单，事实上这就很违和了，而在EDR上开启微隔离也是很有创造性…

总结

EDR、CWPP、微隔离这仨货究竟啥关系？理论上，EDR管办公网，CWPP和微隔离管数据中心。微隔离是一种网络安全技术，而CWPP是个筐，它可以装载微隔离也可以不装，而微隔离也可以被认为是只装有一个技术的CWPP。EDR发现坏人，微隔离放行好人。

二、参考

Gartner 2021 CWPP市场指南解读
参考URL: https://view.inews.qq.com/a/20210816A059CR00
干货|CWPP产品市场演进
参考URL: https://www.sohu.com/a/308819732_774137
赛迪网丨山石网科任亮：不懂CWPP，何以谈云安全？
参考URL: https://www.hillstonenet.com.cn/tag/cwpp/
青藤云安全细述：三大云安全工具（CASB、CSPM、CWPP）的使用场景
参考URL: https://www.aqniu.com/vendor/59616.html
数世咨询创始人对话安全狗CEO：CWPP在国内市场需求的发展方向
参考URL: https://www.freebuf.com/column/239764.html

最后

以上就是正直草莓为你收集整理的什么是CWPP一、什么是CWPP二、参考的全部内容，希望文章能够帮你解决什么是CWPP一、什么是CWPP二、参考所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错，欢迎将靠谱客网站推荐给程序员好友。