随着信息系统的发展,大家都在说网络安全要覆盖“云”、“管”、“端”,CWPP与EDR是目前非常火的产品,一个面向云端服务器的防护,一个是面向常规终端PC端的防护。
在介绍CWPP与EDR两个产品概念之前,先来简单说明一下主机、服务器、终端几个位置概念:
主机VS服务器。主机是一个统称,所有服务器(虚拟机)都是主机,但并非所有主机都是服务器,也就是主机覆盖服务器。主机和服务器的主要差别在于,主机是连接到网络的计算机或其他设备,而服务器是提供服务的软件或硬件设备,日常所说的服务器一般是指提供服务的主机。由此可见,主机安全并不是一个产品,而是对应一个需要被保护的位置,主机安全即主机侧的安全保护。
终端VS服务器。终端和服务器是两类东西。这里的终端指桌面电脑、笔记本、个人设备等用于访问网络、数据和应用的设备,而服务器则是提供服务、存储、计算的设备。当然,某种程度上来说,广义上的终端概念也可以包括服务器,但常规意义的终端不包括服务器。
对于一般的应用系统来说,服务器就是提供服务的主机如提供WEB、FTP、数据库等服务的服务器,终端就是访问服务的工作站、个人PC等。
一、CWPP的定义
现代数据中心支持运行在物理设备、虚拟机(VM)、容器以及私有云基础架构中的各种工作负载,并且几乎总是涉及一些在一个或多个公有云基础设施即服务(IaaS)提供商中运行的工作负载。
云工作保护平台(Cloud Workload Protection Platform)简称CWPP,市场定义为基于主机的解决方案,主要满足现代混合数据中心架构中,服务器工作负载的保护要求。它为信息安全领导者提供了一种集成的方式,通过使用单个管理控制台和单一方式表达安全策略来保护这些工作负载,而不用考虑工作负载运行的位置。
可以理解成为基于代理(Agent)的底层技术方案,和传统部署在网络边界上的安全产品不一样,CWPP部署在操作系统层,因此可以横跨物理机、公有云、私有云、混合云等多种数据中心环境,部署方式更加灵活、防护层面更加丰富。采用服务端agent+远程控制台的部署模式,agent支持云、物理、混合环境部署,能有效安全加固服务器、抵御黑客攻击和恶意代码。
Gartner定义的产品能力(需求)的金子塔说明了对CWPP产品能力的定义,越是靠近基座的功能越重要,越是靠近塔尖的功能越次要。
CWPP的核心能力:
- Congurationand vulnerability management 配置和漏洞管理
1.配置,即服务器优化,通过对操作系统进行合理配置,提升操作系统的安全性和抗攻击能力。
2.漏洞管理,分为操作系统漏洞管理和应用漏洞管理。目前网络攻击主要是通过web服务器或者web应用漏洞发起,因此CWPP产品要能提供标准化、同时支持制定自定义的web应用漏洞防护策略。 - Networksegmentation, isolation and traffic visibility 网络隔离与流可视
要求CWPP产品首先能图形化管理用户的主机业务资产,并且可以跨物理、虚拟架构、网络定于基于角色的访问策略(微隔离);对于主机之间的访问关系,可以图形化的展示和控制(流可视化)。 - Systemintegrity measurement, attestation and monitoring 系统完整性检测、认证和监测
可以保护系统文件或者指定目录、文件不被恶意修改,提供监控模式和防护模式。 - Application control应用防护
CWPP产品需要能识别到主机上运行的应用,并对不同的应用提供相应的防护策略,如云锁对web应用提供waf防护,对于sshd、remotedesktop提供防暴力破解防护等。 - Capabilities that augment/verify foundational operational controls 增强及验证基础运维能力
CWPP产品要求不能单纯依靠服务器账号、密码来验证管理员,而需要引入账号密码外的第二套验证机制。比如云锁的登陆防护功能,可以限制登陆服务的用户名、IP范围、登陆时间、登陆服务器使用的PC名称,如果不满足限制条件,即使拿到服务器的管理员账号密码也无法登陆服务器。 - Log management and monitoring日志管理和监测
要求CWPP产品能提供完整的日志,同时当安全事件发生后,CWPP产品需要关联相关日志最终形成事件IOC,帮助用户回溯攻击过程,快速定位风险点。
二、EDR的定义
根据Gartner的定义,EDR端点检测与响应(Endpoint Detection and Response)简称EDR是一种集成的终端安全解决方案,它将终端数据的实时连续监控和收集与基于规则的自动响应和分析功能相结合。该术语由Gartner的Anton Chuvakin提出,用于描述新兴的安全系统,用于检测和调查终端上的可疑活动,采用高度自动化使安全团队能够快速识别和响应威胁。完全不同于以往的端点被动防护思路,而是通过云端威胁情报、机器学习、异常行为分析、攻击指示器等方式,主动发现来自外部或内部的安全威胁,并进行自动化的阻止、取证、补救和溯源,从而有效对端点进行防护。
相比于传统端点安全防护采用预设安全策略的静态防御技术,EDR加强了威胁检测和响应取证能力,能够快速检测、识别、监控和处理端点事件,从而在威胁尚未造成危害前进行检测和阻止,帮助受保护网络免受零日威胁和各种新出现的威胁。安全模型如图所示:
- 资产发现:定期通过主动扫描、被动发现、手工录入和人工排查等多种方法收集当前网络中所有软硬件资产,包括全网所有的端点资产和在用的软件名称、版本,确保整个网络中没有安全盲点。
- 系统加固:定期进行漏洞扫描、补丁修复、安全策略设置和更新端点软件清单,通过软件白名单限制未经授权的软件运行,通过主机防火墙限制未经授权的服务端口开放,并定期检查和清理内部人员的账号和授权信息。
- 威胁检测:通过端点本地的主机入侵检测和借助云端威胁情报、异常行为分析、攻击指示器等方式,针对各类安全威胁,在其发生前、发生中、发生后进行相应的安全检测动作。
- 响应取证:针对全网的安全威胁进行可视化展示,能够针对安全威胁自动化地进行隔离、修复和补救,自动完成安全威胁的调查、分析和取证工作,降低事件响应和取证分析的技术门槛,不需要依赖于外部专家即可完成快速响应和取证分析。
三、CWPP与EDR的关系与区别
EDR与CWPP主机安全属于网络安全领域两个不同的方向,前者聚焦于常规的终端侧,后者聚焦于主机侧,两者作用于完全不同的位置。EDR的基因是根植于PC等常规终端的,它天然不适配于主机侧。
| 需求场景 | 需求求相同点 | 需求不同点 |
|---|---|---|
| 终端侧安全 | 资产梳理清点 统一集中管理 风险防护 |
安全需求>稳定需求,注重安全防护能力,重防御; 关注用户实体行为分析(UEBA),防止PC端成为威胁内网安全的导火索,防止敏感数据歪斜; 高危动作或安全风险尽可能自动化完成阻断动作,无需人工介入,确保整体网络的安全可靠。 |
| 主机侧安全 | 资产梳理清点 统一集中管理 风险防护 |
稳定需求>安全需求,注重安全检测能力,重检测; 更加关注主机上承载的业务应用和数据安全; 因业务连续性需要,安全加固工作需人工介入,要在确保业务连续稳定运行的基础上进行加固。 |
在安全的需求上,PC类的终端侧与主机侧的安全诉求差别很大。所以,面向终端的EDR产品与面向服务器/工作负载的主机安全产品CWPP,这两者之间有本质的区别,并不能混为一谈。主机侧的安全产品实现不了终端侧的安全防护,EDR也不能实现CWPP的防护效果。
两种产品的区别如下:
| 对比项 | CWPP | EDR |
|---|---|---|
| 产品定位 | 主机安全防护 | 终端安全防护 |
| 产品部署 | Agent不在内核安装驱动,稳定性高 | Agent安装需要在内核安装驱动,稳定性差,影响业务 |
| 资产清点 | 资产清点能力更全面,支持对业务层资产精准识别和动态感知 | 资产信息相对比较少,不够全面 |
| 风险发现 | 提供全面的风险检查,包括漏洞风险、弱密码、系统风险、应用风险、账号风险检查 | 支持漏洞风险检查,不具备其他风险检查能力 |
| 入侵检测与病毒查杀 | 不依赖特征库的检测方式,基于行为以及结合威胁情报、大数据、机器学习等方法,提供实时精准的入侵检测和响应能力 | 主要功能是病毒查杀,基于特征库或结合威胁情报,能够查杀绝大部分病毒,但仍属于被动防护 |
| 基线合规检查 | 提供等保或CIS国标标准的检查基线,支持对系统、应用、数据进行基线合规检查 | 通常不具备合基线合规检查能力,或提供少量的基线检查标准。 |
CWPP与EDR,一个面向服务器端的防护(CWPP),一个是面向常规终端PC端的防护(EDR)但是对于企业的整体安全防护来说,CWPP和EDR相互作为补充构建企业的云、端防护能力。
